La NIS2 entre en vigueur – quels préparatifs les entreprises industrielles doivent-elles entreprendre ?

L’objectif de la directive NIS2 (UE) 2022/2555 est de répondre à l’évolution rapide de l’environnement des cyber-opérations et d’améliorer le niveau de sécurité dans l’espace européen. Le champ d’application de la directive englobe les acteurs dont les activités sont considérées comme critiques pour la société. La directive exige par conséquent des mesures dans divers secteurs industriels – ou du moins un examen plus approfondi des processus. La directive européenne NIS2 est entrée en vigueur en janvier 2023. Les États membres ont jusqu’à octobre 2024 pour la transposer dans leur droit national. Aujourd’hui déjà, de nombreuses informations sont disponibles sur la nouvelle directive. C’est une raison suffisante pour commencer à se préparer sans tarder.

Dans cet article, vous apprendrez ce qu’il faut entendre par la directive NIS2, quels sont les secteurs concernés et quelles sont les exigences imposées aux exploitants. Et nous vous informons des solutions qui vous permettront d’atteindre plus facilement les exigences.

NIS2 est une directive sur la cybersécurité (UE 2022/2555) qui vise à améliorer le niveau de cybersécurité dans l’UE et ses États membres. La directive fixe des exigences minimales auxquelles les opérateurs couverts par la directive doivent se conformer, sous peine de sanctions. Parmi ces exigences figurent la gestion des risques et l’obligation de faire rapport afin de renforcer la cybersécurité. La date limite pour la transposition de la directive dans le droit national des États membres est octobre 2024. Elle remplace l’ancienne directive sur la sécurité des réseaux et de l’information NIS1 (directive NIS1, 2016/1148).

Le champ d’application des secteurs industriels concernés par la NIS2 a presque doublé par rapport à son prédécesseur, la NIS1. Ainsi, le champ d’application de la directive a été étendu aux secteurs industriels tels que la gestion des déchets et l’industrie alimentaire. Le NIS2 a été étendu au secteur de l’énergie et aux entreprises actives dans le domaine de la santé. En général, le règlement s’applique aux moyennes et grandes entreprises, avec des exceptions (les exceptions sont expliquées plus en détail à l’article 2, paragraphes 3 et 4, de la directive). L’élément déterminant est que l’entreprise est considérée comme critique pour la société et qu’une surveillance plus étroite de ses activités est donc jugée appropriée. En cas de non-respect de la directive, les sanctions peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

La directive classe les entreprises concernées en deux catégories : Indispensable (Critical) et Important (Important). Cette répartition est pertinente pour le système de contrôle et de sanction.

Dans la NIS2, les organes de direction et le top management jouent un rôle encore plus central et actif dans l’amélioration de la cybersécurité. Il est important que le niveau de sécurité des réseaux et des systèmes informatiques soit proportionnel aux risques.

(Source : Directive NIS2 (UE) 2022/2555, 21)

En outre, les entrepreneurs doivent s’occuper de l’obligation de notification. Cela signifie par exemple que les entreprises doivent transmettre à l’autorité de surveillance, dans les 24 heures, la première notification concernant d’éventuelles cybermenaces qui auraient pu entraîner un risque important. La notification ultérieure doit être envoyée dans les 72 heures et le rapport final dans un délai d’un mois (= obligation de notification en trois étapes).

octoplant est une plateforme logicielle modulaire qui combine le contrôle de version, la sauvegarde et la cybersécurité des logiciels d’automatisation et des appareils OT. Lisez dans les paragraphes suivants comment les différents modules d’octoplant (en illustration) aident à répondre aux exigences de NIS2.

Le module Threat Protection est un outil puissant pour effectuer des analyses de risques dans l’environnement OT. Il aide à identifier les vulnérabilités dans l’environnement de production et les évalue en fonction du risque attendu. De cette manière, les entreprises obtiennent une vue d’ensemble fiable des vulnérabilités et peuvent les prioriser à temps.

Le module Threat Protection accède aux bases de données internationales sur les cyber-risques (CVE, CERT et CISA) et signale automatiquement les menaces potentielles en fonction de la base installée. En outre, des sauvegardes automatiques et des comparaisons de composants garantissent que des modifications non autorisées ne passent pas inaperçues et que la dernière sauvegarde fonctionnelle peut être rapidement lancée en cas de besoin. octoplant est ainsi en mesure de protéger l’environnement du bloc opératoire de manière préventive et permet de réagir rapidement en cas de panne et de rétablir le fonctionnement.

Comme vous disposez à tout moment de l’historique complet de toutes les versions et sauvegardes, vous pouvez rapidement retrouver la dernière version en parfait état, la restaurer dans le système concerné et reprendre votre production dans les plus brefs délais.

octoplant est un outil de gestion des changements qui gère et documente les modifications dans l’environnement OT, que vous fassiez appel à des fournisseurs externes ou à des prestataires de services. Le reporting sur les points faibles éventuels facilite leur gestion et la communication vers l’extérieur, comme par exemple lors du respect de l’obligation de déclaration NIS2.

Dans octoplant, vous pouvez créer un contrôle utilisateur pour chaque composant individuel. Cela signifie que les collaborateurs, les conseillers externes ou les autres utilisateurs du système n’ont accès qu’aux composants ou aux fichiers qui les concernent. La gestion des utilisateurs garantit en outre que n’importe qui ne peut pas supprimer ou ajouter des informations au système. L’historique permet de voir que les modifications ont été effectuées comme convenu. Cela renforce la sécurité de la chaîne d’approvisionnement de l’entreprise et permet de travailler efficacement avec les installations qui sont précisément pertinentes pour la continuité de la production.

Avec octoplant, vous savez qui a fait quoi, quand et pourquoi. Les modifications qui se produisent en dehors du système sont également enregistrées et versionnées grâce à la fonction de sauvegarde automatique. Grâce à octoplant, il est possible d’implémenter facilement des méthodes d’exploitation permettant de gérer et d’évaluer les risques de cybersécurité de l’entreprise.

La directive NIS2 s’applique à un nombre sans cesse croissant d’entreprises industrielles. Les directives visent à améliorer la cybersécurité dans l’UE et ses États membres en définissant des exigences minimales en matière de rapports et de gestion des risques. Tous les détails ne sont pas encore connus, mais la directive NIS2 devrait déjà faire partie de la législation européenne en octobre 2024. Les entreprises concernées feraient bien de commencer à se préparer dès maintenant. De manière générale, les menaces dans l’environnement numérique ont fortement augmenté ces dernières années et même sans l’entrée en vigueur de la directive, il est vivement recommandé de se protéger.

Avec octoplant, vous pouvez effectuer des analyses de risques fiables, recevoir des notifications en cas de modifications suspectes et savoir qui a fait quoi et pourquoi. En outre, une sauvegarde automatique et sa comparaison garantissent que les productions fonctionnent avec les bons projets et qu’en cas d’incohérence, il est possible de rétablir à tout moment l’état de travail précédent.