La directive NIS 2

NIS 2 (Network and Information Security) ou NIS2 est le principal règlement de l'Union européenne visant à renforcer la cybersécurité de ses États membres.

Il a été publié le 27 décembre 2022, remplace la précédente NIS de 2016 et sera transposée en droit national avant le 17 octobre 2024.

Demander une démo

Quelles sont les entreprises concernées par NIS2 ?

La directive NIS 2 impose des exigences de sécurité à un large éventail d’acteurs.
Une façon simple de vérifier si votre entité est assujettie à la directive NIS 2 ?
Depuis le 26 mars 2024, le gouvernement a mis en place un simulateur pour vous aider à déterminer si votre organisation est concernée.

Les entités essentielles (EE) et les entités importantes (EI)

qui remplacent les anciens Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN). Cela inclut leurs sous-traitants et fournisseurs.

Les entreprises de plus de 50 salariés

réalisant plus d’un million d’euros de chiffre d’affaires, qu’il s’agisse de PME, de grandes entreprises ou, dans certains cas, de collectivités territoriales.

Tout le monde est concerné

Les fournisseurs peuvent être utilisés comme relais pour compromettre une cible réelle, comme lors de l'attaque de la chaîne d'approvisionnement SolarWinds.

Une opération de piratage nommée SUNBURST a introduit une porte dérobée dans le produit SolarWinds pour pirater plusieurs agences gouvernementales américaines.

NIS 2 exige que les entités essentielles et importantes prennent en compte la cybersécurité de leurs fournisseurs (85).

"Les entités essentielles et importantes devraient donc évaluer et prendre en compte la qualité globale et la résilience des produits et services, les mesures de gestion des risques de cybersécurité intégrées à ces produits et services, ainsi que les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisées."

Quelles sont les sanctions possibles par NIS 2 ?

Les entreprises qui n'ont pas mis en place les mesures de sécurité requises ou qui n'ont pas atteint la conformité peuvent s'exposer à des amendes considérables :

  • Fournisseurs de services numériques importants : > 7 millions € ou 1,4% du CA annuel global

  • Opérateurs de services essentiels : > 10 millions $ ou 2% du CA annuel global

Quelles sont les critères à respecter par NIS2 ?

NIS2 fournit de nouvelles exigences sur la gestion des incidents, la gestion des risques, les tests de sécurité et la sécurité de la chaîne d'approvisionnement.

Par la suite chaque entité devra fournir certaines de ces informations à l’ANSSI comme preuve de respect à cette norme.

Tests de sécurité continus

NIS 2 exige que les entités essentielles et importantes effectuent des audits de sécurité proactifs et réguliers, ainsi que des analyses de sécurité, afin d'identifier les vulnérabilités connues, mais aussi les vulnérabilités inconnues.

En ce qui concerne les actifs exposés sur Internet, cela inclut tous les risques OWASP (rédiger un article sur les risques OWASP) tels que :

  • Contrôle d'accès défaillant

  • Conception non sécurisée

  • Configuration de sécurité incorrecte

  • Composants obsolètes

  • Injection...

Identification des systèmes critiques

Les entités essentielles et importantes doivent identifier en temps réel les systèmes critiques et les systèmes qui y sont liés. Ces systèmes peuvent inclure des :

  • Bases de données clients

  • Serveurs de paiement en ligne

  • Applications de banque mobile

Patrowl permet une (re)découverte continue de tous vos actifs exposés sur Internet (orientés vers l'extérieur).

Solution et outil : directive NIS2

Patrowl est entièrement conforme aux exigences de NIS 2 en matière de tests d'intrusion en continu des actifs grâce à la solution de sécurité offensive.

Nos dernières actualités

Voir plus d'actualités