New call-to-action

Directive NIS2 : Préparez vos organisations à se mettre en conformité

08-04-2025 | 6 lecture minimale | Conformité au RGPD, Cybersécurité

L’auteur : Priyasha Purkayastha, Responsable du contenu mondial, Groupe TJC

Le plus souvent, les organisations du monde entier tombent dans le collimateur des cybercriminels. Les gouvernements du monde entier mettent tout en œuvre pour élaborer des directives et des politiques qui contribueront à protéger les organisations contre ces cyberattaques et ces menaces. La sécurité des réseaux et des systèmes d’information, ou NIS, vise le même objectif. Lisez ce blog pour comprendre en profondeur ce qu’est cette directive.

Table des matières

Introduction – La mise en œuvre de la directive NIS

La directive sur la sécurité des réseaux et des systèmes d’information (NIS) a été établie en juillet 2016 dans le but d’accroître et de renforcer la cyber-résilience dans l’ensemble de l’UE. La NIS se concentre sur le renforcement de la cybersécurité au niveau national par le biais de mesures réglementaires, améliorant ainsi la collaboration entre les États membres de l’Union européenne. Tout en visant à faire de la cyber-résilience l’ADN des organisations, les autorités ont défini deux groupes d’entreprises qui doivent se conformer à la directive NIS. Il s’agit de –

a) les opérateurs de services essentiels

b) les fournisseurs de services numériques.

Il est intéressant de noter que la directive NIS, en vigueur depuis plusieurs années, a entraîné un changement important dans l’état d’esprit concernant l’approche de la cybersécurité par le biais d’approches institutionnelles et réglementaires. Toutefois, elle a été confrontée à des défis, dont certains ont donné lieu à une approche divisée au niveau des États membres. En fait, l’expansion rapide du paysage numérique, y compris la composante de la cyberguerre, a conduit à la croissance du paysage des menaces. Par conséquent, les changements dans la directive NIS étaient beaucoup plus impératifs que ce que l’on pouvait anticiper.

Directive NIS2 | La mise à jour tant attendue

Gardant à l’esprit le paysage numérique récent et la cyberguerre, l’Union européenne a adopté une nouvelle version améliorée de la directive sur la sécurité des réseaux et de l’information, c’est-à-dire la directive NIS2, en janvier 2023. Dans le but d’établir un niveau plus élevé de cybersécurité et de résilience, les membres de l’UE ont mis en œuvre la directive améliorée dans leur législation nationale le 17 octobre 2024. Les organisations doivent maintenant se préparer à se conformer à la directive NIS2. Mais avant cela, examinons les nouvelles mises à jour de la directive.

Qu’est-ce que la directive NIS2 ? L’extension du champ d’application ?

Conformément à la directive NIS2, les organisations doivent protéger la confidentialité, l’intégrité et la disponibilité des données au sein du réseau et des systèmes d’information de l’entreprise contre les cybermenaces. En outre, la directive prévoit la détection et le signalement des incidents de sécurité importants dans un délai prescrit, y compris les incidents qui ont un impact sur les solutions critiques de l’entreprise.

La directive NIS2 définit deux catégories de champ d’application pour les organisations : important et essentiel. Les établissements relevant de ces deux catégories doivent répondre à des exigences précises. Toutefois, la différence entre les deux catégories se traduira par des mesures de surveillance et des sanctions. Alors que les entités importantes seront soumises à un contrôle a posteriori, les entités essentielles sont tenues de respecter les exigences de contrôle dès l’introduction du NIS2. Pour les entités importantes, la surveillance ex post signifie que si les autorités reçoivent des preuves de non-conformité à la directive, des mesures seront prises.

Dans l’ensemble, la directive NIS2 a contribué à simplifier l’exercice de délimitation du champ d’application que les autorités doivent effectuer. En outre, une série de secteurs a été identifiée, établissant une règle fondamentale qui stipule que toute grande entreprise (avec un effectif supérieur à 250 ou un revenu supérieur à 50 millions) ou toute entreprise moyenne (avec un effectif supérieur à 50 ou un revenu supérieur à 10 millions) au sein de ces secteurs sera automatiquement incluse dans le champ d’application du NIS2. Ceci dit, il est impératif de garder à l’esprit que les petites et micro-organisations ne sont pas strictement exclues. En effet, les États membres ont la possibilité d’étendre ces exigences si une entreprise répond à des critères spécifiques démontrant son rôle significatif dans la société, l’économie ou des secteurs ou services particuliers.

Directive NIS2 | Enregistrement des établissements essentiels

Avec la directive NIS2 dans l’UE, les membres sont tenus d’identifier les établissements essentiels qui entrent dans le champ d’application du mandat. La date limite pour ce faire est le 17 avril 2025. En outre, les établissements identifiés doivent déterminer si leurs services entrent dans le champ d’application de la directive NIS2 ; ils doivent ensuite identifier les États membres qui fournissent des services entrant dans le champ d’application et s’enregistrer avant la date limite dans chaque État membre. Les conditions que les établissements doivent remplir pour l’enregistrement sont les suivantes

  • Le nom, l’adresse, les coordonnées et le numéro d’enregistrement de l’organisation
  • Le secteur (ou sous-secteur) dont ils relèvent dans le SNI2
  • Les États membres dans lesquels l’organisation opère – il peut s’agir d’un ou de plusieurs États.
  • La liste détaillée des adresses IP qui leur sont attribuées

Par ailleurs, l’enregistrement final et la liste supplémentaire d’informations requises seront déterminés lors de la transposition de la directive NIS2 dans la loi.

Téléchargez notre dernier livre électronique :https://www.tjc-group.com/fr/ressource/stimuler-linnovation-genique-dans-la-transformation-du-s4hana-par-le-declassement/

Mise en œuvre d’éléments sécurisés dans la directive NIS2

Un aspect important du nouveau mandat du système d’information et de réseau (NIS2) est son objectif, qui est de rationaliser la coordination des incidents et des menaces cybernétiques au sein des États membres de l ‘UE. Dans ce cadre, l’Agence européenne pour la cybersécurité (ENISA) créera une base de données européenne de divulgation des vulnérabilités, qui facilitera le partage d’informations et de connaissances entre les États membres.

En outre, la directive NIS2 prévoit un nouveau délai pour le signalement des incidents. Voici ce que vous devez savoir –

  • Tout incident, quel qu’en soit l’impact, doit être signalé par l’établissement sans délai.
  • Dans les 24 heures, une alerte rapide doit être donnée, ainsi que des informations sur le type d’incident.
  • Après 72 heures, les établissements doivent communiquer un rapport détaillé comprenant l’évaluation de l’incident, sa gravité et son impact, ainsi que des indicateurs de pertes éventuelles.
  • Après 30 jours, les organisations doivent soumettre un rapport final.

N’oubliez pas que tous les rapports et communications doivent être soumis aux Computer Security Incident Response Teams (CSIRT) des États membres de l’UE.

Cela dit, le mandat du NIS2 encourage à rendre le processus de notification des incidents aussi simple que possible. Ceci est assuré par la mise en place d’un point d’entrée unique pour les incidents qui réduira encore la charge administrative pour les autorités au sein des États membres et entre les États membres.

En outre, conformément à la nouvelle directive, le CSIRT ou l’autorité compétente de l’État membre de l’UE doit rendre compte des incidents à l’ENISA. Il doit le faire tous les trois mois en utilisant des informations anonymes. En outre, l’ENISA rendra compte tous les six mois des incidents survenus, ce qui permettra aux établissements et aux États membres de tirer des enseignements des incidents et d’apporter, le cas échéant, des modifications cruciales à la directive NIS2.

Systèmes legacy – L’obsolescence ne va pas de pair avec la sécurité

Comment se conformer à la directive NIS2 pour les solutions SAP ?

En résumé, la directive NIS2 comprend des éléments nécessaires pour protéger la confidentialité, l’intégrité et la disponibilité des données dans tous les réseaux et systèmes d’information. La directive vise à protéger les données des systèmes contre les cybermenaces et à faciliter la détection et le signalement des incidents de sécurité, y compris les incidents sur les données qui ont un impact sur les solutions critiques pour l’entreprise.

Les solutions SAP jouent un rôle essentiel dans les organisations, car elles gèrent une multitude de données sensibles, qu’il s’agisse de données financières ou personnelles. Une faille dans la sécurité des données, qu’il s’agisse d’une fuite de données, d’une fraude financière ou d’une indisponibilité du système, a de graves conséquences. C’est pourquoi la directive NIS2, avec ses lignes directrices claires, s’avère très utile pour protéger ces systèmes critiques. Les organisations qui utilisent des solutions SAP soulignent la nécessité de protéger les réseaux et les systèmes d’information tout en veillant à ce que les incidents soient signalés en temps utile.

Pour les environnements SAP, les mesures de sécurité doivent inclure la conformité avec les références du secteur et les meilleures pratiques de SAP pour le durcissement du système, l’application de correctifs et la sécurisation du code personnalisé. Les guides et normes de sécurité de SAP proposent des recommandations détaillées pour chaque produit et domaine. En outre, les organisations doivent mettre en œuvre des mécanismes de détection, d’investigation et de signalement des incidents de sécurité à l’aide des journaux SAP. Plusieurs techniques avancées, telles que le filtrage et la détection des anomalies, peuvent améliorer considérablement le contrôle de la sécurité des données dans les systèmes.

Chez TJC Group, nous mettons l’accent sur la sécurité et la confidentialité des données, en mettant en œuvre des mesures strictes qui contribuent à protéger les systèmes SAP contre les cyber-attaques et les menaces imminentes. Pour en savoir plus sur nos mesures de sécurité des données, cliquez ici !

Pour obtenir plus d’informations sur la gestion globale des données pour la migration S/4HANA, la conformité, etc., contactez-nous dès maintenant !

Retour à tous les blogs
Archivage des données SAP Carrières Conformité au RGPD Conformité entre les entreprises et les pouvoirs publics Conformité SAF-T Cybersécurité DART Décommissionnement des systèmes legacy Durabilité Enterprise Legacy System Application (ELSA) Événement Facturation et déclaration électroniques au niveau mondial Fichier des Écritures Comptables (FEC) Gestion des données pour la migration S/4HANA Gestion des données SAP Points forts de SAP Préparation fiscale et d'audit SAP BTP SAP Information Lifecycle Management Tendances informatiques TJC Group Corporate
April 2025March 2025February 2025January 2025December 2024November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Articles récents

Archivage des données SAP et développement durable : Une fusion pour un avenir meilleur

27/03/2025 |  

6 lecture minimale
Conformité de l’archivage des données SAP, exigences légales, etc : Un aperçu plus approfondi

26/03/2025 |  

7 lecture minimale

Plus comme ça

Virginia's data privacy law

Loi sur la protection de la vie privée : Tout ce que vous devez savoir sur la CDPA de Virginie

12/12/2024 |  

7 lecture minimale
New Jersey Data Privacy

Comprendre la NJDPA – la loi du New Jersey sur la protection de la vie privée en détail

11/12/2024 |  

8 lecture minimale
SAP DRC KEY BENEFITS

Comprendre les principaux avantages de SAP DRC pour les organisations

09/12/2024 |  

6 lecture minimale