Directive NIS 2 pour les entreprises
La directive NIS 2 (Network and Information Security Directive) vise à améliorer considérablement la cybersécurité dans l’ensemble de l’Union européenne à partir d’octobre 2024.
Pour les entreprises, cela signifie essentiellement qu’elles doivent renforcer leur sécurité informatique.
Désormais, les entreprises devront procéder à une évaluation systématique des risques liés à leur infrastructure informatique et à leurs logiciels, et mettre en œuvre des mesures de sécurité appropriées en fonction des résultats obtenus.
Une attention particulière est accordée à la responsabilité de la direction : la directive exige que la direction générale soit activement impliquée dans la surveillance et la mise en œuvre des contrôles de sécurité.
En outre, les dirigeants peuvent désormais être tenus personnellement responsables en cas de violation de la sécurité.
Ce règlement montre à quel point l’UE prend au sérieux la menace des cyberattaques.
Mais ce n’est pas tout : elle souligne la nécessité de considérer la cybersécurité comme une tâche centrale de la gestion d’entreprise.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 est une évolution de la directive NIS originale de l’Union européenne de 2016.
L’un des principaux changements de NIS 2 par rapport à la première directive est l’élargissement du champ d’application.
En détail, cela signifie que la directive NIS 2 couvre désormais un éventail beaucoup plus large de secteurs et d’entreprises :
- Élargissement des secteurs concernés : Alors que la directive NIS initiale couvrait principalement les infrastructures critiques telles que l’énergie, les transports, les soins de santé et les services financiers, la directive NIS 2 va plus loin.
Elle inclut désormais des secteurs tels que les fournisseurs de services numériques (par exemple, les fournisseurs de services en nuage et les places de marché en ligne), les services postaux et de messagerie, les administrations publiques et même la gestion des déchets. - Catégorisation des entreprises : Le NIS 2 établit une distinction entre les entreprises « essentielles » et les entreprises « importantes ».
Les entreprises « essentielles » sont celles qui fournissent des services critiques dont la défaillance aurait un impact social ou économique important.
Les entreprises « importantes » sont celles dont la défaillance aurait également des conséquences importantes, mais un peu moins critiques. - Des exigences et des obligations de signalement accrues : Par rapport à la directive initiale, toutes les entreprises concernées doivent désormais mettre en œuvre des mesures de cybersécurité plus détaillées et plus rapides.
Il s’agit notamment de l’obligation de signaler les cyberattaques ou les attaques de pirates informatiques dans les 24 heures et de soumettre un rapport complet dans les 72 heures.
Supervision étatique élargie en vertu de la directive NIS 2
La directive NIS 2 met également l’accent sur une surveillance accrue de l’État, en particulier dans les infrastructures critiques.
Cette surveillance vise à contrôler la mise en œuvre cohérente de la directive.
C’est pourquoi toutes les entreprises qui relèvent de la directive NIS 2 sont tenues de s’enregistrer auprès des autorités compétentes.
En Allemagne, cette tâche est assurée par l’Office fédéral de la sécurité de l’information (BSI).
Un autre élément clé de la surveillance étendue par l’État est l’obligation pour les entreprises de fournir des preuves de leur conformité aux exigences de sécurité.
Ces preuves peuvent être fournies sous la forme d’audits internes et externes, de rapports d’essais et d’autres documents.
Les pouvoirs des autorités de contrôle nationales seront également étendus.
Désormais, le BSI et les autres autorités compétentes auront le droit d’effectuer des inspections inopinées, de demander des preuves et des informations et d’enquêter sur les incidents de sécurité.
Dans le même temps, la directive NIS 2 encourage la coopération entre les autorités nationales au sein de l’UE.
Cette coopération est essentielle pour une application uniforme de la directive et une lutte transfrontalière contre les cybermenaces.
Quelles sont les entreprises concernées par la directive NIS 2 ?
En France, la directive NIS 2 s’applique aux entreprises de plus de 50 salariés dont le chiffre d’affaires est supérieur à 1 million d’euros dans les secteurs concernés. Ces entreprises se répartissent en trois grandes catégories:
- PME
- grandes entreprises du CAC40
- les autorités locales et régionales
Comment le NIS 2 doit-il être mis en œuvre ?
Pour satisfaire aux exigences du NIS 2, les entreprises concernées doivent :
- Procéder à une évaluation approfondie des risques liés à leurs systèmes informatiques et à leurs données.
Cette évaluation doit permettre d’identifier les menaces et les vulnérabilités potentielles.
L’évaluation des risques doit être mise à jour régulièrement. - Élaborer et mettre en œuvre des lignes directrices en matière de sécurité : Sur la base des résultats de l’évaluation des risques , des politiques de sécurité spécifiques doivent être élaborées.
Ces politiques doivent inclure des mesures techniques telles que des technologies de cryptage pour sécuriser les données sensibles et l’introduction d’une authentification multifactorielle (MFA) pour empêcher tout accès non autorisé. - Mettre en place des mesures techniques.
Il s’agit notamment de :
- Cryptage des données
- Authentification multifactorielle
- Mises à jour régulières de la sécurité
- Élaborer des mesures organisationnelles.
Il s’agit notamment de
- Formation et sensibilisation régulières des employés.
- Protocoles de gestion des incidents
- Mettre en place un système de gestion des incidents afin d’identifier, de signaler et de résoudre rapidement les incidents de sécurité.
Cela inclut également l’obligation de signaler les incidents aux autorités compétentes dans certains délais.
- fournir la preuve du respect des exigences de sécurité.
Les exploitants d’installations ou d’infrastructures critiques (KRITIS) sont soumis à des audits obligatoires tous les trois ans, tandis que les autres installations font l’objet d’une documentation obligatoire et d’inspections aléatoires par les autorités.
Importance de la directive NIS 2 pour les entreprises utilisant Teamviewer
D’une manière générale, la directive NIS 2 pose de nouveaux défis à toutes les entreprises qui travaillent avec des logiciels et des données à caractère personnel – en particulier les fabricants de logiciels.
En effet, la directive exige des entreprises qu’elles axent davantage le développement et l’utilisation de leurs logiciels sur les aspects liés à la sécurité afin de faire justice à la question de la cybersécurité.
Mais que se passe-t-il lorsque d’autres logiciels sont utilisés pour permettre l’accès à distance aux ordinateurs d’autres personnes ?
Les entreprises qui utilisent TeamViewer à cette fin doivent désormais s’assurer que l’utilisation de l’outil est pleinement conforme aux exigences de la NIS 2.
Concrètement, cela signifie
- Seuls les utilisateurs autorisés peuvent avoir accès aux systèmes critiques.
- L’authentification multifactorielle (MFA) et les sessions cryptées doivent être mises en place à cet effet.
- Tous les accès et toutes les sessions à distance doivent être enregistrés avec précision.
- Un système de gestion des incidents doit être mis en place pour détecter et signaler rapidement les incidents de sécurité.
Comment TeamViewer contribue à la conformité NIS 2
TeamViewer a déjà pris des dispositions en ce sens.
Le logiciel contient de nombreuses fonctions qui sont directement axées sur le respect de la directive NIS 2.
Il s’agit des fonctions suivantes
Sécurité et conformité accrues
- Contrôle d’accès à distance: TeamViewer peut être configuré pour répondre aux exigences de sécurité de NIS 2.
Cela inclut des fonctions telles que l’authentification multifactorielle (MFA), les sessions cryptées et les contrôles d’accès granulaires.
Cela signifie que seules les personnes autorisées ont accès aux systèmes critiques. - Audit et surveillance : Toutes les sessions à distance sont enregistrées et consignées avec précision.
Réponse et gestion des incidents
- Une réponse rapide : En cas de cyberattaque, TeamViewer vous permet de réagir rapidement à distance.
Les équipes informatiques peuvent immédiatement accéder aux systèmes affectés, diagnostiquer les dommages, apporter des corrections et prendre des mesures de sécurité.
Plus vous réagissez rapidement, moins les dommages sont importants. - Outils de collaboration : Les fonctions de collaboration de Teamviewer permettent à plusieurs experts de travailler ensemble en temps réel sur un problème et de le résoudre.
Résilience et continuité
- Assistance à distance pour les infrastructures critiques: TeamViewer peut également être utilisé pour maintenir des services critiques.
- Planification de la continuité des activités : Dans le cadre d’une stratégie plus large de continuité des activités, TeamViewer veille à ce que le travail et l’assistance à distance se déroulent de manière transparente afin de permettre à l’entreprise de continuer à fonctionner – un autre point clé de la conformité NIS 2.
Formation et sensibilisation
- Formation à distance sécurisée : Les fonctions de TeamViewer peuvent être utilisées pour la formation à distance des employés – en particulier pour la formation au contenu de la directive NIS 2.
Toutes ces fonctions font de TeamViewer un outil utile pour les entreprises qui souhaitent mettre leur sécurité informatique en conformité avec les exigences de la directive NIS 2.
Et qui veulent également s’assurer que leur accès à distance continuera d’être sécurisé et contrôlé à l’avenir.
Contact
Préparez-vous à la directive NIS 2 ! Apprenez à sécuriser votre entreprise et à rester en conformité avec les nouvelles réglementations. Découvrez comment TeamViewer peut vous aider à améliorer votre cybersécurité. Contactez notre chef de produit Greg Clarke dès aujourd’hui pour une consultation personnalisée !