Soyons honnêtes. Se tenir au courant des réglementations et directives en matière de cybersécurité, en particulier si votre organisation opère au sein de l'Union européenne (UE), peut s'avérer un véritable défi. La mise en œuvre du NIS2 ne fait pas exception à la règle.
Si vous travaillez dans ce domaine, vous connaissez peut-être déjà les raisons qui sont à l'origine de cette législation, ses objectifs et les risques auxquels les organisations sont confrontées à mesure que la technologie évolue. Cependant, il existe un fossé entre la compréhension du NIS2 et sa mise en œuvre actuelle. Comment mettre en œuvre des directives telles que NIS2 ? Quels sont les éléments à prendre en compte ? Par où commencer ?
Pour donner un aperçu du processus, nous avons invité Morten Eeg Ejrnæs Nielsen (conseiller et conférencier sur la sécurité de l'information et la conformité), Wathagi Ndungu (expert en sécurité chez ZEISS Group) et Gennady Kreukniet (CISO et consultant principal en sécurité OT chez CNV Cyber), trois spécialistes de la cybersécurité, à discuter des premières étapes de la mise en œuvre de la directive, des principaux défis auxquels est confronté le domaine de la cybersécurité et de quelques réflexions basées sur leurs expériences personnelles.
Voici les principaux points de l'épisode 80 de notre podcast, Ticket Volume.
On s'y met !
|
|
Qu'est-ce que le NIS2 ? Historique et contexte
NIS est l'acronyme de Network and Information Systems (systèmes d'information et de réseau). Le chiffre 2 à la fin de l'acronyme signifie qu'il s'agit d'une version révisée ou d'une deuxième version de la même directive. Qu'entendons-nous par "directive" ? Dans le contexte du Parlement européen, une directive est un texte législatif qui fixe des buts ou des objectifs spécifiques que tous les États membres doivent atteindre dans un certain délai.
Dans ce cas particulier, la directive NIS2 a été approuvée pour atteindre un niveau commun élevé de cybersécurité dans l'ensemble de l'Union européenne. Ce qu'il faut retenir, c'est que la directive a une date limite : tous les États membres de l'UE doivent la mettre en œuvre d'ici octobre 2024. Cela représente un énorme défi pour les gouvernements (car ils doivent adopter des lois spécifiques) et pour les organisations classées comme essentielles (car elles doivent s'adapter à la nouvelle directive).
Heureusement, nous avons contacté trois spécialistes de la cybersécurité pour savoir ce qu'ils pensent de l'échéance NIS2, comment elle est mise en œuvre, quels sont les pays qui mènent le mouvement et ce qu'il faut faire pour atteindre un objectif aussi important.
NIS2 : faut-il paniquer ?
Comme nous l'avons mentionné précédemment, la mise en œuvre du NIS2 devient une réalité (ou le sera d'ici octobre prochain). Mais devons-nous paniquer ? Sommes-nous suffisamment préparés ? Pour commencer la conversation, Morten, Wathagi et Gennady ont partagé leurs premières impressions sur la directive et ont discuté de la façon dont les différents pays l'intègrent dans leur stratégie de gestion de la conformité.
Pour Wathagi, le sentiment qui domine dans l'atmosphère informatique n'est pas l'anxiété mais plutôt l'optimisme. Elle pense que la directive initiale partait d'une bonne intention, mais qu'elle a échoué en raison de son champ d'application limité et de sa mise en œuvre incohérente. Selon elle, non seulement le NIS2 corrige ces problèmes passés, mais il pourrait également établir une norme mondiale en matière de cybersécurité.
Cependant, Gennady a ajouté qu'à l'approche de la date butoir, la mise en œuvre de la directive pose encore quelques problèmes, car elle nécessite des efforts de collaboration de la part des États membres et des organisations qui y opèrent. Il a également souligné le temps nécessaire aux pays pour traduire cette directive en lois, ainsi que le temps nécessaire à chaque organisation pour s'adapter à cette nouvelle réglementation.
De son côté, Morten s'est également montré optimiste quant à la possibilité d'une mise en œuvre réussie de la directive, car il estime que nombre de ses lignes directrices devraient déjà faire partie de la stratégie d'une organisation. Il s'est également montré très enthousiaste à l'égard de certaines des nouvelles idées apportées par la directive, en particulier la responsabilité qui incombe à la direction. Voici ce qu'il a dit à ce sujet :
|
|
Morten Nielsen |
Les pays qui montrent la voie avec NIS2
Certains pays européens sont plus avancés dans leur processus de mise en œuvre . Ils servent de référence et représentent donc une grande opportunité pour ceux qui sont à mi-chemin ou qui rencontrent des difficultés pour respecter les délais. Selon Wathagi, la Hongrie et la Croatie ont déjà mis en place des lois pour suivre la directive.
Au-delà des pays qui ont déjà réussi à adopter leurs lois respectives, la question sous-jacente pour les autres est de savoir comment entamer leur processus de manière organisée. Selon les experts, il existe plusieurs alternatives, mais aucune n'est parfaite. Il s'agit d'explorer différentes possibilités.
Gennady préfère une "approche harmonisée" parce qu'elle donne la priorité à l'efficacité. Mais il a également mentionné comme possibilité la voie choisie par l'Allemagne, qui dispose d'une réglementation détaillée et même d'une feuille de calcul Excel contenant un grand nombre d'exigences à respecter. Il a également indiqué que la Belgique a récemment élaboré une ligne directrice pour la mise en œuvre.
Les plus grands défis de la mise en œuvre du NIS2
L'un des plus grands défis de la mise en œuvre de la directive sur la cybersécurité est de savoir par où commencer. Morten est parvenu à une excellente conclusion. C'est très simple : il suffit de commencer. Que la loi soit en place ou non, il y a beaucoup à faire en tant qu'entreprise ou professionnel de l'informatique avec la documentation, les directives et les cadres qui sont déjà en place.
M. Wathagi a insisté sur le fait qu'il ne s'agit pas de la première réglementation dont nous devons tenir compte. Vous ne partez donc pas de zéro et il est très important de ne pas paniquer. C'est ce qu'elle a voulu dire, avec ses mots :
|
|
"Si vous avez fait de la sécurité dans votre organisation, vous avez déjà quelque chose, donc vous ne partez pas de zéro. Il y a eu toutes ces autres réglementations. Essayez d'utiliser ce que vous avez déjà et partez de là pour faire de petites améliorations continues. Wathagi Ndungu |
Gennady est allé plus loin et a donné une sorte de ligne directrice étape par étape pour commencer le processus. Il l'a formulé en ces termes :
|
|
Gennady Kreukniet |
En plus d'être d'accord avec Gennady, Wathagi s'est appuyé sur l'expression "savoir ce que l'on a", mais l'a également appliquée à la chaîne d'approvisionnement. Cela permet de vérifier les vulnérabilités et les procédures de sécurité, et de savoir ce qui se passe en cas d'incident. C'est un bon point de départ.
Dernières réflexions
L'épisode 80 de Ticket Volume s'est concentré sur une question simple : comment mettre en œuvre la directive NIS2 et respecter la date limite fixée par l'UE pour le mois d'octobre. Nous avons réuni trois experts qui ont non seulement fourni des informations pertinentes, mais aussi partagé leurs propres expériences en matière de cybersécurité.
Ils ont également introduit un concept fondamental dans la discussion : la nécessité de créer une culture de la sécurité qui mette l'accent sur l'éducation, la sensibilisation et l'appropriation. Vous pouvez accéder à l'épisode complet sur Apple Podcasts, Spotify, YouTube ou votre plateforme de podcast préférée.
