Votre organisation est-elle "essentielle" ou "importante" ?

Les mêmes exigences en matière de gestion de la cybersécurité et les mêmes obligations de notification des incidents s'appliquent aux deux catégories, mais le contrôle de la conformité diffère. Les organisations "essentielles" doivent contrôler de manière proactive la mise en œuvre des mesures, tandis que les organisations "importantes" doivent se contenter d'un contrôle réactif, c'est-à-dire uniquement en cas d'incident de cybersécurité. 
 

Quatre exigences principales

En comparaison à la première directive NIS de 2016, la NIS2 comporte quatre nouvelles exigences principales :

Gestion des risques : les organisations doivent faire face à tous les risques potentiels, y compris l'erreur humaine, la défaillance des systèmes, la malveillance, les catastrophes naturelles et la sécurité physique et environnementale des systèmes.
Responsabilité : les cadres supérieurs doivent veiller à la bonne application de la loi. En cas de violation, ils sont tenus personnellement responsables et risquent la suspension.
Exigences en matière de rapports : le NIS2 contient des exigences détaillées en matière de rapports sur les incidents de sécurité.
Continuité des activités : le NIS2 s'applique aux organisations qui fournissent des services essentiels au fonctionnement de la société. En cas d'incident de sécurité, ces organisations doivent pouvoir s'appuyer sur des plans garantissant la continuité de leurs services, tels que la récupération des systèmes, les procédures d'urgence et la mise en place d'une équipe d'intervention en cas de crise. 

Dix règles de base 

Les organisations concernées par la directive NIS2 doivent prendre dix mesures de base pour prévenir les incidents de sécurité et minimiser leur impact :

• Analyse des risques et de la sécurité des systèmes d’information ;
• Gestion des incidents ;
• Continuité des activités (gestion des sauvegardes, reprise des activités, gestion des crises, etc.) ;
• Sécurité de la chaîne d’approvisionnement ;
• Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
• Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
• Pratiques de base en matière de cyberhygiène et de formation à la cybersécurité ;
• Politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
• Sécurité des ressources humaines, des politiques de contrôle d’accès et de la gestion des actifs ;
• Utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.