Skip to content

Directive NIS 2 : strengthen IT safety in Europe

I printed him pair

– 388 views

The NIS 2 directive is printed: changing the 2016 directive, it’s supposed to strengthen the resilience of EU IT infrastructures in opposition to pc assaults. The record of secteurs involved is lengthy. Consequence: the title of the businesses probably impacted significantly extra. Il est pressing, pour chaque entreprise, de se poser la query: « suis-je concerné ? » et, dans l’affirmative, de préparer un plan d’motion.

The directive a reçu are nom officiel: Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 decembre 2022 in regards to the measures supposed to make sure a degree élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement ( EU) n° 910/2014 and directive (UE) 2018/1972, and abrogating directive (UE) 2016/1148 (directive SRI 2).

It’s printed within the Official Journal of December 27, 2022.

Elle doit être transposée pour le 17 octobre 2024 au plus tarde dans chaque État membre.

The NIS 1 directive

La première directive en la matière, dite NIS 1 était oriented autour de 3 axes principaux :

1. So as to obtain a excessive degree of preparation for members, the NIS directive requires that members undertake a nationwide technique on the safety of sources and data methods. The members are additionally tenus of designers of the nationwide pc safety incident response groups (CSIRT), who’re accountable for dealing with dangers and incidents, a reliable nationwide authority and a single level of contact (SPOC). The SPOC doit train a liaison perform to make sure cross-border cooperation between the authorités de l’État member, the authorités compétentes de autres États membres et le groupe de coopération NIS.

2. The NIS directive établit le groupe de coopération NIS pour soutenir et faciliter la coopération stratégique et l’échange d’informations entre les États membres, et le réseau CSIRT qui favorise une coopération opérationnelle rapide et efficace entre les CSIRTs nationaux.

3. The NIS directive sees that the measures of cybersecurity are essential within the sept secteurs, who’re important for the financial system and society and who’re strongly depending on ICT, comparable to vitality, transport, banking infrastructures, infrastructures des marchés financiers, l’eau potable, les soins de santé et les infrastructures numériques.

Plus of involved secteurs

The record of secteurs involved has elevated significantly with a distinction:

  • The “extremely vital” sectors are recognized in annex 1: vitality, transport, banking sector, monetary marches infrastructures, well being, ingesting water, used water, digital infrastructures, ICT service administration, public administrations, area.
  • Les «autres secteurs critiques» are identifiés dans l’annexe 2: postaux et d’expédition companies, gestion des déchets, fabricación, manufacturing et distribution de produits chimiques, manufacturing, transformation et distribution des denrées alimentaires, fabrication, fournisseurs numériques, recherche.

On le voit, the record is lengthy.

Based on sure estimates, the variety of corporations involved was multiplied by 10 for rapport with the primary government.

Corollaire de cette nouvelle approche sectorielle: the notion « d’operateur de companies essentiels », used within the earlier directive, disparaît ; l’objectif est d’éviter que les états membres determinent eux-mêmes les entités considérées comme essentielles, avec comme however ultime une harmonization aussi complète que potential des secteurs concernés.

The “important” and “essential” entities

Au sein des secteurs identifiés ci-dessus, les obligaciones sont à géométrie variable en fonction de la taille de l’entité concernée :

  • Sont des entités « essentielles », celles qui emploient plus de 50 folks et ont un chiffre d’affaires supérieur à 10 million d’euros;
  • les entités qui n’atteignent pas ces seuils mais font partie des secteurs identifés ci-dessus, sont dites «importantes».

L’administration et le secteur public répondent à des règles spécifiques.

A holistic method

La directive demande aux entités concernées une method holistic: les risques doivent être envisagés de façon globale.

For instance, corporations will need to combine of their mild by reflecting on the prize in compte des risques associés à la chaine de valeur (sous-traitants, fournisseurs, and many others.). The logic is straightforward to grasp: if a vaccine producer capabilities impeccably quite a lot of hours of fioles en verre pour livrer le produit en raison d’une attaque informatique chez son fournisseur de fioles, c’est toute la manufacturing du vaccin qui se trouve arrêtée.

An concerned and…accountable administration

The leaders of the important and essential entities are impliqués benefit, and are accountable in sure circumstances.

Tel est l’esprit de l’article 20, titled « gouvernance », selon lequel :

  • Les États membres veillent à ce que les organes de directe des entités essentielles et importantes approvent les mesures de gestion des risques en matière de cybersécurité prizes par ces entités afin de se conformer à la directive, supervisent identical en œuvre et puissent être tenus responsables de the violation of leurs obligations par ces entités.
  • Les États membres veillent à ce que les membres des organes de directe des entités essentielles et importantes soient tenus de suivre une formation et ils encourage les entités essentielles et importantes à régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour determiner les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur affect sur les companies fournis par l’entité.

des obligations lourdes

Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures methods, opérationnelles et organizationnelles appropriées et proportionnées pour gérer les risques qui menacent la securité des réseaux et des systèmes d’info que ces entités utilisent dans le cadre de leurs ou actions de la fourniture de leurs companies, ainsi que pour éliminar ou réduire les conséquences que les incidents ont sur les destinataires de leurs companies et sur d’autres companies.

The message is essential: it doesn’t suffit pas d’adopter des mesures methods; elles doivent également être opérationnelles et organizationnelles. Il est donc déséillé de déléguer la problematique au (seoul) service IT.

Ces mesures sont fondées sur une method « tous risques » qui vise à protéger les réseaux et les systèmes d’info ainsi que leur environnement physique contre les incidents, et elles comprennent au moins:

  1. les politiques kin à l’analyse des risques et à la sécurité des systèmes d’info;
  2. incident administration;
  3. the continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
  4. la sécurité de la chaîne d’approvisionnement, y compris les features liés à la sécurité regarding les relations entre chaque entité et ses fournisseurs ou prestataires de servicios directes;
  5. the safety of acquisition, growth and upkeep of sources and data methods, and compris therapy and disclosure of vulnerabilities;
  6. des politices et des procédures pour évaluer l’efficiacité des mesures de gestion des risques en matière de cybersécurité;
  7. les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
  8. des politiques et des procedures kin à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
  9. the safety of human sources, entry management insurance policies and asset administration;
  10. l’utilisation de options d’authentification à plusieurs facteurs ou d’authentification proceed, de communications vocales, vidéo et textuelles securisées et de systèmes securisés de communication d’urgency au sein de l’entité, selon les besoins.

Objectif de ces mesures : assure, for the sources and the knowledge methods, a degree of safety tailored to the present danger, in tenant compte de l’état des connaissances et, s’il ya lieu, des normes européennes et internationales relevant, ainsi que du coût de mise en œuvre.

Lors de l’évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité , and compris leurs conséquences sociétales et économiques.

An accrue coordination

The duty of the system rests on 3 sorts of intervenants:

  1. Pc safety incident response facilities (Pc Safety Incident Response Groups – CSIRTs). Il s’agit d’un middle établi par (et dans) chaque État membre, pursuant to directive NIS 1, charged de répondre aux incidents de sécurité.
  2. Le Groupe de Coopération NIS, qui rédige les lignes directives à l’intention des autorités nationales et coordonne leur motion ;
  3. EU-CyCLONE (European cyber crises liaison group community), nouvelle occasion en cost de la réponse aux incidents de grande échelle.

L’interplay entre ces 3 intervenants devrait permettre d’assurer une coopération transfrontalière accrue.

Plus d’infos?

The directive is offered in annexe.

Leave a Reply

Your email address will not be published. Required fields are marked *