L’objectif est de faire de la cybersécurité une responsabilité de la direction de l’organisation. La nouvelle directive européenne entrera en vigueur le 17 octobre 2024.
La nouvelle directive sur la cybersécurité exige que les organisations opérant dans des secteurs critiques accordent plus d’attention qu’auparavant aux problèmes de sécurité des informations. Adobe Stock / AOP
Centre de cybersécurité de l’agence finlandaise des transports et des communications Traficom ressembler de la directive NIS 2, qui entrera en vigueur en octobre, également connue sous le nom de directive sur la cybersécurité de l’Union européenne. Elle remplace l’ancienne directive sur la sécurité des réseaux et de l’information.
Dans la nouvelle directive, les secteurs critiques de la société et les organisations qui y opèrent se voient attribuer des exigences de renforcement de la sécurité de l’information et des obligations de reporting. La directive énumère entre autres les mesures minimales que tous les opérateurs doivent mettre en œuvre afin de gérer les risques de sécurité de l’information affectant les opérations de leur organisation.
Avec la nouvelle directive, les organisations considérées comme centrales ou importantes auront l’obligation de signaler les écarts significatifs en matière de sécurité des données.
L’obligation de notification est en trois étapes, c’est-à-dire que l’exploitant doit soumettre la première notification à l’autorité de surveillance dans les 24 heures suivant la détection de l’écart, après quoi la notification de suivi doit être effectuée dans les 72 heures. A la fin de la situation anormale, un rapport final doit être remis à l’autorité de contrôle.
De lourdes sanctions
La directive précise également les amendes administratives imposées en cas de manquement aux obligations.
Pour un acteur clé de la société, l’astreinte maximale s’élève à 10 millions d’euros ou à 2 % du chiffre d’affaires mondial total, le montant le plus élevé étant retenu. Pour les opérateurs non essentiels, la pénalité s’élève au maximum à 7 millions d’euros, soit 1,4 pour cent du chiffre d’affaires total.
Le principal expert en sécurité de l’information de l’unité cybersécurité de CGI Ilmari Luoma a écrit sur le blog de CGI Au printemps dernier, la particularité de NIS 2 réside dans l’orientation très forte des exigences à l’avenir vers les échelles de gestion des entreprises et des organisations. Selon Luoma, la responsabilité des managers est soulignée dans un langage exceptionnellement fort.
– Selon la directive, le devoir de la direction est de diriger les travaux de sécurité de l’information et de veiller à ce que les procédures de sécurité de l’information spécifiées soient mises en œuvre. Dans les situations problématiques, la direction ne peut pas non plus compter sur un manque de sensibilisation, mais la condition pour agir dans une position de leadership est que vous vous informiez suffisamment sur les sujets liés à la sécurité de l’information pour pouvoir prendre des décisions, écrit Luoma.
Vous pouvez en savoir plus sur les exigences fixées par la directive NIS 2 Depuis le site de Traficom.
Traficom a également répertorié sur son site Internet pratiques de cyberhygiène recommandées pour les organisationscomme former le personnel aux pratiques de base en matière de sécurité de l’information, protéger les systèmes d’information, gérer les informations confidentielles en toute sécurité et se préparer aux exceptions en matière de cybersécurité.