Cela fait plusieurs mois que le règlement européen NIS 2 est au cœur des discussions concernant ses implications dans le monde des entreprises. Une question revient fréquemment : suis-je concerné par cette certification ?
Pour résumer de manière concise, la réponse est oui, car la sécurité, de manière générale, concerne chacun d'entre nous. De nos jours, il est rare de voir des personnes conduire sans attacher leur ceinture de sécurité, alors pourquoi ne pas adopter le même niveau de précaution lors de notre navigation sur internet ?
De nombreuses personnes ne sont pas toujours conscientes des risques auxquels elles s'exposent en ligne.
Pour illustrer cela de manière plus concrète, voici le top 8 des attaques menées en 2023-2024.
La NIS-2 vous concernera-t-elle?
Le Parlement et le Conseil sont tous deux plus ou moins d'accord sur les secteurs à inclure dans la NIS-2. Outre les discussions sur les secteurs supplémentaires proposés, tels que les instituts de recherche, les bornes de recharge rapide et les fournisseurs de services (de sécurité) gérés, ou les débats sur le secteur spécifique des pouvoirs publics, il est clair que tous les secteurs suivants seront inclus: énergie (électricité, pétrole, gaz, chauffage urbain et hydrogène), transports (aérien, ferroviaire, par voie navigable et routier), banques, infrastructures des marchés financiers, santé (y compris les laboratoires et la recherche concernant les produits pharmaceutiques et les dispositifs médicaux), eau potable, eaux usées (mais seulement s'il s'agit d'une activité principale), infrastructures numériques (télécoms, DNS, TLD, centres de données, services de confiance, services cloud), services numériques (moteurs de recherche, marchés en ligne, réseaux sociaux), espace, services postaux et de distribution de courrier, gestion des déchets, Produits chimiques (production et distribution), alimentation (production, transformation et distribution) et fabrication (en particulier, mais sans s'y limiter, les équipements médicaux, informatiques et de transport). Pour une liste détaillée de ces secteurs et du type d'opérateurs prévus, veuillez consulter les annexes de chacune des trois propositions, auxquelles vous pouvez accéder en cliquant sur les liens ci-dessus.
Une entité active dans l'un de ces secteurs et qui compte (au cours de ses deux derniers exercices comptables) plus de 50 employés ou plus de 10 millions d'euros de chiffre d'affaires annuel (c’est-à-dire les grandes ou moyennes entreprises) devra se conformer aux règles de la directive.
Plus précisément, les entités devront se conformer aux règles des États membres dans lesquels elles possèdent un établissement. Un régime de guichet unique est toutefois introduit pour certains secteurs numériques: les entités ne seront soumises qu'aux règles d'un seul pays, où elles ont leur « établissement principal » (mais ce pays peut demander à d'autres États membres de l'aider à assurer la surveillance sur son propre territoire). L'Agence européenne pour la cybersécurité (ENISA) tiendra également un registre de ces guichets uniques, afin d'éviter tout manquement.
Ce sont là les grandes lignes, mais certains détails et exceptions rendront la situation plus complexe. Par exemple, dans certains (sous-)secteurs spécifiques, notamment les infrastructures numériques, la taille n'aura pas d'importance et toutes les entités du secteur seront concernées. Les États membres pourront également identifier des entités indépendamment de leur taille, si celles-ci sont jugées critiques pour les fonctions sociétales ou économiques.
Compte tenu de toute cette complexité et du très grand nombre de nouvelles entités attendues, les colégislateurs européens ont proposé que les États membres établissent une vue d'ensemble des entités, par exemple via une plateforme nationale d'auto-enregistrement dans laquelle des informations de base devront être fournies.
Le débat reste cependant ouvert pour ce qui est des catégories dans lesquelles les entités seront placées: les entités essentielles ou les entités importantes. La différence résiderait principalement dans le fait que les entités essentielles pourraient être plus strictement inspectées et faire l'objet de sanctions plus lourdes. La Commission et le Parlement veulent diviser ces catégories par secteur: toutes les entités actives dans les secteurs énumérés à l'annexe I seraient essentielles; les entités actives dans les secteurs épinglés dans l'annexe II seraient importantes. Le Conseil, quant à lui, veut également instaurer des différences proportionnelles au sein des secteurs. Pour lui, seules les grandes entités (donc plus de 250 employés ou 50 millions d'euros de chiffre d'affaires annuel) des secteurs de l'annexe I seraient essentielles. Les entités moyennes de l'annexe I et toutes celles de l'annexe II seraient importantes. Certains secteurs numériques seraient tous essentiels, quelle que soit leur taille, et les États membres auront toujours la possibilité de classer des entités dans une catégorie supérieure.
Une collaboration entre deux entreprises pour une solution clé en main.
La société BLEV sarl, basée au Luxembourg, offre une gamme variée de services IT, notamment dans le domaine médical. C'est lors d'une rencontre informelle autour d'un café que l'idée d'une collaboration a émergé. Besim et moi-même avons réfléchi à une solution tout-en-un, un service pratique pour les entreprises souhaitant se conformer rapidement à la certification NIS2 de l'Union Européenne.
D-IT s'est donc impliqué dans ce projet aux côtés de l'équipe de BLEV. Après plusieurs semaines d'études et d'analyses pour évaluer la faisabilité de cette solution, nous sommes parvenus à proposer un dispositif adapté à toutes les entreprises concernées par cette nouvelle certification, désireuses de renforcer la sécurité de leur système informatique et de leur infrastructure.
Cette solution a été baptisée Secure Secure.
Nous sommes ravis de pouvoir vous la présenter dès aujourd'hui et de la déployer sur vos infrastructures.
Mais en quoi consiste-t-elle exactement ?
Il s'agit d'une solution de contrôle de trafic et d'alerte en temps réel. Elle agit comme une ceinture de sécurité, un allié incontournable pour garantir la pérennité de vos données. Elle inclut également une équipe dédiée à votre accompagnement et à la formation de votre personnel aux bonnes pratiques, les aidant à acquérir les réflexes adéquats. Elle offre une vision claire des menaces pesant sur votre entreprise et vous aide à apporter les corrections nécessaires dans des délais records. Enfin, elle représente une garantie de tranquillité d'esprit.
Cette solution vous intéresse ?
N'hésitez surtout pas à nous contacter pour entamer ensemble votre parcours vers la tranquillité d'esprit, grâce à une solution rapide et facile à déployer.