Facilitez votre parcours NIS 2
Nous vous aidons à vous conformer à la nouvelle législation européenne en matière de cybersécurité
Qu'est-ce que la directive NIS 2 ?
La Directive NIS 2, également connue sous le nom de Directive sur la Sécurité des Réseaux et des Systèmes d'Information, est une législation importante visant à améliorer la cybersécurité et à protéger les infrastructures critiques dans l'Union Européenne (UE). Elle s'appuie sur la précédente Directive NIS 1, corrigeant ses lacunes et élargissant son champ d'application pour renforcer les exigences de sécurité, les obligations de signalement et les capacités de gestion de crise. La conformité à la Directive NIS 2 est cruciale pour les entreprises opérant dans l'UE afin de protéger leurs systèmes, atténuer les menaces cybernétiques et garantir la résilience.
La Commission européenne a publié le 16 janvier 2023 le texte final de la Directive NIS 2 - niveau élevé commun de cybersécurité dans l'Union. Cela signifie que d'ici au 17 octobre 2024, le Luxembourg et les autres états membres doivent adopter et publier une législation nationale incorporant les dispositions de la NIS 2.
Proximus NXT vous aide à vous conformer à cette nouvelle législation européenne sur la cybersécurité.
Proximus NXT est l'un des leaders des services convergents ICT et télécoms au Luxembourg, offrant des solutions globales à toutes les entreprises et administrations publiques. Ses domaines d'expertise comprennent les services de télécommunication, l'infrastructure ICT, le Multi-Cloud, les solutions de confiance numérique, la cybersécurité, les applications métier et les services gérés.
Quels sont les secteurs concernés ?
Initialement, la Directive NIS 1 régissait 19 secteurs. Avec cette nouvelle version, elle couvre désormais 35 secteurs. Les 19 secteurs couverts par la NIS 1 comprennent : l'énergie, le transport, la banque, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, l'infrastructure numérique, la gestion des services numériques, les administrations publiques et le secteur spatial.
De plus, la NIS 2 élargit son champ d'application aux secteurs suivants : les services postaux et d'expédition, la gestion des déchets, les produits chimiques, l'alimentation, la fabrication, les fournisseurs de services numériques et la recherche. Le secteur financier sera également soumis à la Digital Operational Resilience Act (DORA).
Les derniers facteurs permettant de définir si votre entité est soumise ou non à cette directive sont le nombre d'employés et le chiffre d'affaires annuel.
Tous ces critères définissent l'impact sur le type d'entité auquel vous appartenez : Essentielle ou Importante
Quels sont les risques ?
Avec la Directive NIS 2, le régime de sanctions est renforcé. Une organisation qui ne met pas en œuvre des mesures appropriées de gestion des risques ou qui ne signale pas promptement un incident de sécurité, par exemple, s'expose à une amende proportionnelle à son chiffre d'affaires et à son niveau de criticité. Ainsi, les entreprises peuvent être passibles d'amendes de 7 millions d'euros ou de 1,4 % de leur chiffre d'affaires mondial pour les Entités Importantes, et de 10 millions d'euros ou de 2 % de leur chiffre d'affaires mondial pour les Entités Essentielles (selon le montant le plus élevé).
De plus, les États membres de l'Union européenne ont le pouvoir d'exiger que les entités fassent l'objet d'audits ou d'inspections. Si nécessaire, ils peuvent émettre des avertissements et des instructions.
Evaluation
La première étape du parcours NIS 2 consiste à avoir une vision de la situation actuelle et de l'objectif à atteindre. Forte de l'expertise et de l'expérience de notre service de conseil en cybersécurité et GRC, Proximus NXT effectuera une évaluation en tenant compte du contexte et de votre entreprise afin de vous fournir une vision des efforts nécessaires pour être conforme à la directive NIS 2.
Identifiez et gérez vos risques
L'un des critères les plus importants de la loi est de connaître et de gérer les risques de votre système d'information. L'analyse des risques et le suivi vous donneront une visibilité essentielle sur vos menaces et sur la manière de les gérer. Proximus NXT réalise ce type d'analyse et de suivi conformément à la norme ISO 27005.
Améliorez votre positionnement en matière de cybersécurité
Conformément à l'article 21 de la directive NIS 2, Proximus NXT est en mesure de vous fournir des conseils, des solutions et des services toujours liés à votre situation informatique actuelle et au contexte de votre entreprise. De la mise en place d'un système de gestion de la sécurité de l'information à l'installation d'une solution d'authentification multi-facteurs, nous sommes capables de vous accompagner dans toutes les améliorations en matière de sécurité et de cybersécurité.
Au-delà des projets de cybersécurité
Les obligations et exigences de la directive NIS 2 impactent plusieurs parties de votre système d'information. Selon votre modèle informatique (hébergement public/privé, sur site), Proximus NXT, en tant que fournisseur de services ICT et télécoms, est en mesure de traiter des sujets autres que la cybersécurité. La continuité des opérations, les services de communication, les télécommunications et l'infrastructure sont autant d'aspects impactés par la NIS 2 qui doivent être pris en considération.
Evaluation
La première étape du parcours NIS 2 consiste à avoir une vision de la situation actuelle et de l'objectif à atteindre. Forte de l'expertise et de l'expérience de notre service de conseil en cybersécurité et GRC, Proximus NXT effectuera une évaluation en tenant compte du contexte et de votre entreprise afin de vous fournir une vision des efforts nécessaires pour être conforme à la directive NIS 2.
Améliorez votre positionnement en matière de cybersécurité
Conformément à l'article 21 de la directive NIS 2, Proximus NXT est en mesure de vous fournir des conseils, des solutions et des services toujours liés à votre situation informatique actuelle et au contexte de votre entreprise. De la mise en place d'un système de gestion de la sécurité de l'information à l'installation d'une solution d'authentification multi-facteurs, nous sommes capables de vous accompagner dans toutes les améliorations en matière de sécurité et de cybersécurité.
Identifiez et gérez vos risques
L'un des critères les plus importants de la loi est de connaître et de gérer les risques de votre système d'information. L'analyse des risques et le suivi vous donneront une visibilité essentielle sur vos menaces et sur la manière de les gérer. Proximus NXT réalise ce type d'analyse et de suivi conformément à la norme ISO 27005.
Au-delà des projets de cybersécurité
Les obligations et exigences de la directive NIS 2 impactent plusieurs parties de votre système d'information. Selon votre modèle informatique (hébergement public/privé, sur site), Proximus NXT, en tant que fournisseur de services ICT et télécoms, est en mesure de traiter des sujets autres que la cybersécurité. La continuité des opérations, les services de communication, les télécommunications et l'infrastructure sont autant d'aspects impactés par la NIS 2 qui doivent être pris en considération.
-
Selon la directive NIS 2, les organisations sont tenues de signaler tout incident de cybersécurité significatif affectant la disponibilité, la confidentialité, l’intégrité ou l’authenticité des réseaux et systèmes d’information.
Cela inclut les violations de données, les attaques par ransomware, les interruptions de service, les accès non autorisés ou tout incident pouvant avoir un impact substantiel sur des services critiques ou essentiels.
La déclaration doit respecter des délais et des formats spécifiques, incluant des notifications d’alerte précoce et des rapports détaillés à soumettre aux autorités nationales compétentes. -
Les États membres de l’UE doivent transposer la directive NIS 2 dans leur législation nationale d’ici le 17 octobre 2024. Les organisations concernées devront ensuite se conformer rapidement aux nouvelles exigences.
Pour se préparer, les entreprises devraient :Identifier si elles sont classées comme entités essentielles ou importantes, Réaliser une évaluation des risques et des écarts en matière de cybersécurité, Revoir et mettre à jour leurs plans de réponse aux incidents, politiques de sécurité et processus de gouvernance, S’assurer de leur capacité à surveiller, détecter et signaler les incidents comme requis.
-
La directive NIS 2 introduit des mécanismes d’application plus stricts et des sanctions financières importantes.
Les entreprises qui ne mettent pas en œuvre les mesures de cybersécurité adéquates, ne signalent pas les incidents ou ne respectent pas les obligations réglementaires peuvent encourir :Des amendes administratives allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu),
Des mesures correctives contraignantes, telles que des audits ou des plans de remédiation obligatoires,
Dans certains cas, des interdictions temporaires pour les dirigeants d’exercer des fonctions managériales.
La directive renforce les pouvoirs des autorités nationales en matière de contrôle et d’application par rapport à NIS 1.
-
Une évaluation de maturité commence par une cartographie des contrôles de cybersécurité existants par rapport aux principaux domaines de NIS 2, tels que :
La gestion des risques, La réponse aux incidents, La sécurité de la chaîne d’approvisionnement, La continuité des activités, Les mesures techniques et organisationnelles.
En s’appuyant sur des cadres de référence reconnus (ex. ISO/IEC 27001, NIST CSF), vous pouvez identifier les écarts, hiérarchiser les actions et définir une feuille de route vers la conformité.
Travailler avec des experts externes permet d’obtenir une évaluation objective, des recommandations adaptées et un alignement optimal avec les exigences réglementaires.
-
Démarrer une démarche de conformité à NIS 2 nécessite une approche claire et structurée. Les premières étapes clés incluent :
Délimitation du périmètre : déterminer si votre organisation est concernée, et dans quelle catégorie (entité essentielle ou importante),
Analyse des écarts : évaluer les capacités actuelles et identifier les points de non-conformité,
Mise en place de la gouvernance : définir les rôles, responsabilités et processus de pilotage de la conformité,
Plan d’action : élaborer une feuille de route priorisée incluant les besoins techniques, procéduraux et de formation.
Une préparation anticipée permet de réduire les risques de non-conformité et de s’aligner efficacement avec les futures exigences nationales.
-
Se conformer à NIS 2 ne se limite pas à une checklist technique — cela nécessite une vision stratégique, une compréhension réglementaire et une exécution opérationnelle.
Un partenaire de confiance peut vous aider à :Interpréter les exigences légales et techniques complexes,
Structurer votre programme de conformité, de l’évaluation à la mise en œuvre,
Renforcer la résilience, la gouvernance et la capacité de réponse de votre organisation,
Assurer un alignement complet avec la transposition nationale de la directive.
Faire appel à des experts en cybersécurité accélère la mise en conformité et limite les risques d’erreurs ou de retards.