- NIS2 est la directive de l'UE sur la cybersécurité mise à jour — portée plus large que NIS1, exigences plus strictes
- Elle s'applique aux entités "essentielles" et "importantes" dans 18 secteurs — de nombreux OEM ont une portée
- L'obligation fondamentale : signaler les incidents importants à votre autorité nationale dans des délais précis
- Un workflow structuré de gestion des incidents satisfait automatiquement à l'exigence de déclaration si elle est correctement configurée
NIS2 — la directive 2 de l'UE sur la sécurité des réseaux et de l'information — est entrée en vigueur en octobre 2024, date à laquelle les États membres de l'UE ont été tenus de la transposer dans le droit national. Si vous êtes une entreprise européenne dans un secteur réglementé ou critique, ou un fournisseur d'un secteur, NIS2 s'applique à vous — et le régime de pénalité est sérieux: jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial pour les entités essentielles.
Ce poste n'est pas un avis juridique, et la mise en œuvre des NIS2 varie selon les États membres. Ce que c'est, c'est une explication en anglais clair de ce que la directive exige réellement et pourquoi un workflow structuré de gestion des incidents est le moyen le plus pratique de satisfaire à l'obligation fondamentale.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
À qui NIS2 s'applique
NIS2 divise les entités en deux catégories — «essentiel» et «important» — dans 18 secteurs. Les secteurs clés sont les suivants :
Le seuil pour les entités « importantes » est généralement de 50 salariés ou 10 millions d'euros de revenus annuels. Mais il y a des exceptions: les opérateurs d'infrastructures essentielles peuvent avoir une portée quelle que soit leur taille, et les États membres peuvent désigner d'autres entités.
Au-delà de l'applicabilité directe, il y a la dimension chaîne d'approvisionnement. NIS2 exige des entités essentielles et importantes qu'elles gèrent les risques de cybersécurité dans leurs chaînes d'approvisionnement, ce qui signifie que leurs fournisseurs doivent faire face à des pressions pour démontrer des pratiques de sécurité comparables, même si elles ne sont pas directement de portée.
Ce que NIS2 nécessite réellement
La directive comporte plusieurs exigences. La première priorité de la plupart des entreprises, parce qu'elle a les implications opérationnelles les plus claires, est la déclaration des incidents.
Lorsqu'un incident important survient, vous devez :
Alerte rapide à l ' autorité nationale
Dans les 24 heures suivant la prise de conscience de l'incident, soumettre une alerte rapide. Cela n'a pas besoin de contenir l'image complète — c'est une notification qu'un incident a eu lieu et que vous en êtes au courant.
Avis d'incident
Dans les 72 heures, fournir un avis d'incident complet comprenant la nature de l'incident, l'évaluation initiale de l'impact, tout indicateur de compromis et les mesures de confinement initiales prises.
Rapport final
Dans un délai d'un mois à compter de l'incident, soumettre un rapport final avec une description détaillée, une analyse des causes profondes, un impact transfrontalier (le cas échéant) et des mesures prises pour prévenir la récidive.
Qu'est-ce qui compte comme un incident « significatif »? En vertu de la NIS2, un incident est important s'il a causé ou aurait pu causer de graves perturbations opérationnelles, des pertes financières ou des dommages importants à autrui. C'est intentionnellement large. En cas de doute, signalez. La pénalité pour sous-déclaration est plus élevée que le fardeau administratif d'un rapport inutile.
Pourquoi la plupart des entreprises ne sont pas prêtes pour ça
L'exigence d'alerte rapide 24 heures sur 24 est serrée. Pour une entreprise qui suit les incidents dans un tableur partagé ou un fil Slack, l'assemblage d'une notification cohérente dans les 24 heures suivant la détection est un véritable défi. Vous devez savoir quand l'incident a été détecté pour la première fois, par qui, quelle est l'analyse d'impact initiale et quelles mesures de confinement ont déjà été prises. Si cette information est dispersée dans les fils, les notes personnelles et la mémoire de Slack, l'horloge 24 heures crée une pression opérationnelle réelle.
L'exigence de rapport final d'un mois – une analyse des causes profondes avec un échéancier documenté et des étapes d'assainissement – est encore plus difficile à produire si l'incident a été traité de façon informelle. Reconstruire une chronologie à partir de Slack et des courriels semaines après le fait est long, et le résultat est rarement aussi complet qu'un enregistrement contemporain serait.
Le changement de flux de travail qui couvre la plupart de ceux-ci
Un système structuré de gestion des incidents — un système où chaque incident est enregistré à partir du moment de la détection, avec des mises à jour horodatées à chaque étape — produit le matériel de déclaration NIS2 en tant que sous-produit du flux normal des incidents.
Voici comment le flux de travail correspond aux exigences en matière de rapports :
- Incident détecté et enregistré — horodatage enregistré, classification appliquée, description initiale capturée. Cela devient la base de l'alerte rapide 24 heures sur 24.
- Mises à jour enregistrées au cours de l'enquête — chaque mesure prise, chaque constatation, chaque décision d'augmenter ou de contenir. Ceux-ci deviennent la notification de l'incident à la limite de 72 heures.
- Examen post-incident terminé — analyse des causes profondes, reconstruction chronologique, plan d'assainissement. Ceci devient le rapport final d'un mois.
Si le flux de travail est structuré, le rapport écrit lui-même. Si ce n'est pas le cas, quelqu'un doit le reconstruire sous la pression du temps — c'est là qu'apparaissent les erreurs, les omissions et les risques réglementaires.
Au-delà de la déclaration: les autres exigences NIS2
La déclaration des incidents est l'exigence opérationnelle la plus urgente, mais NIS2 exige également :
- Politiques de gestion des risques — politiques documentées pour le risque de cybersécurité, y compris le risque de la chaîne d'approvisionnement
- Planification de la continuité des opérations — plans documentés pour maintenir les opérations pendant et après un incident important
- Gestion de l'accès — contrôle de l'accès aux systèmes critiques, avec justification documentée
- Cryptographie et chiffrement — utilisation d'un chiffrement approprié pour les données et communications sensibles
- Sécurité dans la chaîne d'approvisionnement — Évaluation des pratiques de sécurité des fournisseurs
Bon nombre de ces exigences sont couvertes par des contrôles opérationnels que la bonne gestion des TI devrait déjà avoir. NIS2 les formalise et ajoute l'exigence de documenter et de démontrer la conformité.
Est-ce que HubSecure Gestion des incidents produit des rapports formatés NIS2?
HubSecure La gestion des incidents comprend un modèle d'examen post-incident aligné sur les exigences de déclaration de NIS2 - échéancier, cause profonde, facteurs contributifs, mesures d'assainissement avec les propriétaires et dates d'échéance. Le rapport est produit à partir du dossier de l'incident, et non à partir de zéro. Nous soutenons également l'exportation d'alerte rapide 24 heures sur 24 dans un format compatible avec la plupart des portails de soumission des autorités nationales.
Et si on ne savait pas si on était dans le champ ?
C'est une question pour un avocat qualifié dans votre État membre — la mise en œuvre de NIS2 varie, et les seuils ont nuance. Ce que nous voudrions dire, c'est que les contrôles opérationnels requis par NIS2 — la gestion structurée des incidents, les contrôles d'accès documentés, le chiffrement, la planification de la continuité des activités — sont de bonnes pratiques pour toute entreprise dépendante de la technologie, quelle que soit sa portée officielle.
Ce billet est à titre informatif seulement et ne constitue pas un avis juridique. La mise en œuvre des NIS2 varie selon les États membres de l'UE. Consultez un avocat qualifié pour obtenir des conseils spécifiques à vos obligations.
Voir la gestion des incidents avec la déclaration NIS2 intégrée
Nous passerons par un cycle de vie d'incident complet — détection, escalade, enquête, examen post-incident — et vous montrerons comment le rapport NIS2 est généré automatiquement.
Réservez une démo