NIS 2 arrive : voici ce que les organisations britanniques doivent savoir

Par Phil Muncaster • 4 juillet 2023

Le Royaume-Uni Règlement sur les réseaux et les systèmes d'information (NIS) est entrée en vigueur en mai 2018, à la suite de la directive européenne NIS de 2016. En raison du moment choisi pour leur introduction, la plupart des médias se sont concentrés sur l’événement le plus important du moment : l’arrivée du nouveau RGPD. Mais en cherchant à améliorer la sécurité de base parmi les « opérateurs de services essentiels » (OES) dans les secteurs des infrastructures critiques, les réglementations NIS n’étaient pas moins importantes.

Le NIS britannique a cherché à rendre obligatoire le développement d'un appareil national de gestion des incidents, à améliorer le partage d'informations entre les États membres et à renforcer la gestion des risques au sein de la communauté OES. Mais le temps est l’ennemi des planificateurs de la cybersécurité, et l’UE a récemment approuvé une nouvelle version : la directive NIS2. Il s’appliquera à toutes les organisations OES basées au Royaume-Uni qui opèrent dans l’UE.

Cependant, le Royaume-Uni a désormais quitté le bloc ; c'est le régime réglementaire s'écartera de celui de NIS 2. Tout cela n’est pas encore entièrement détaillé, mais voyons quelles sont les implications pour les organisations concernées telles quelles.

Relever la barre en matière de cybersécurité à l’échelle de l’UE

As Deloitte explique, NIS 2 a été conçu avec trois objectifs en tête :

Améliorer la cyber-résilience dans un nombre croissant de secteurs OES dans l’UE
Réduire les incohérences dans les niveaux de résilience dans les secteurs déjà couverts par la SNI
Améliorer encore le partage d'informations et définir de nouvelles règles de réponse aux incidents, renforçant ainsi la confiance entre les autorités compétentes (régulateurs)

Plus précisément, il inclut plusieurs nouveaux éléments :

Un périmètre plus large : NIS 2 couvre les organisations de nouveaux secteurs comme les télécommunications, les médias sociaux, les eaux usées et l'alimentation et s'appliquera à toutes les moyennes et grandes organisations des secteurs considérés comme fournisseurs de services « essentiels » ou « importants ». Certaines organisations du secteur public seront également couvertes.

Des amendes plus lourdes : Les régulateurs pourront imposer des sanctions en cas de non-conformité grave pouvant aller jusqu'à 2 % du chiffre d'affaires annuel, ou 10 millions d'euros (8.6 millions de livres sterling), selon le montant le plus élevé.

Exigences de sécurité de base : NIS 2 introduit un ensemble minimum de mesures auxquelles toutes les organisations doivent adhérer. Ceux-ci inclus:

Politiques de gestion des risques et de sécurité de l’information
Gestion des incidents pour la prévention, la détection et la réponse aux cyberincidents
Continuité des activités et gestion de crise
Sécurité de la chaîne d'approvisionnement
Test et audit des mesures de sécurité
Cryptage fort

Sécurité de la chaîne d'approvisionnement : Les organisations seront responsables de la gestion des risques de cybersécurité dans leurs chaînes d’approvisionnement et de la supervision de la posture de sécurité des fournisseurs.

Responsabilité du directeur : Les cadres supérieurs seront tenus responsables de la maturité de leur fonction de sécurité. Ils doivent recevoir une formation en cybersécurité et procéder régulièrement à des évaluations des risques en conséquence.

Rapports d'incidents: Tout incident ayant un impact potentiellement grave doit être signalé au régulateur dans les 24 heures suivant sa découverte. Un rapport de notification complet doit être envoyé au bout de 72 heures, avant un rapport final un mois après l'incident initial.

Quoi de neuf pour le Royaume-Uni ?

Dans sa réponse à un appel à propositions sur des propositions visant à améliorer la cyber-résilience du Royaume-Uni, le gouvernement s’est montré assez sans équivoque à propos de NIS 2, déclarant : « Étant donné que le Royaume-Uni n’est plus lié par la législation européenne et ne mettra pas en œuvre NIS 2, il y aura des différences. entre l’UE et le Royaume-Uni. La législation britannique est conçue pour l'économie britannique et pour maximiser les avantages pour le Royaume-Uni.

Alors qu’est-ce que cela signifie en pratique ? Voici les principaux domaines de divergence :

Fournisseurs de services gérés (MSP) : Le Royaume-Uni étendra le type de fournisseurs de services numériques concernés (actuellement limités aux moteurs de recherche, aux marchés en ligne et aux fournisseurs de cloud) aux MSP. Cela inclut les fournisseurs qui sont :

B2B
Axé sur les services informatiques
S'appuyant sur les réseaux et les systèmes d'information
Assurer une gestion et un support réguliers, une administration active et/ou une surveillance des systèmes informatiques, de l'infrastructure, du réseau et/ou de la sécurité.

Cela contraste avec NIS 2, qui ajoute plusieurs nouveaux secteurs à la liste couverte par le règlement, notamment les télécommunications, les médias sociaux et l'administration publique. Il est également plus prescriptif quant à la taille de l'organisation afin de garantir que seules les organisations de taille moyenne et grande soient couvertes.

Notification d'incident : Le Royaume-Uni propose qu'un plus large éventail d'incidents soient signalés au régulateur, y compris ceux qui présentent un risque élevé ou ont un impact significatif sur un service, même s'ils ne le perturbent pas.

NIS 2 contient également des exigences plus strictes en matière de déclaration des « incidents importants », c'est-à-dire ceux qui ont causé, ou sont susceptibles de générer, des perturbations opérationnelles ou des pertes financières significatives pour l'entité concernée ou pour d'autres. Il exige également que le rapport initial soit effectué dans les 24 heures.

Organisations exonérées : Les centres de données non réglementés en tant que fournisseurs de cloud seront exemptés, tout comme les développeurs de logiciels et les petites/micro-entreprises. Cependant, le régulateur, l'ICO, peut désigner des petits/micro-fournisseurs de services numériques spécifiques à inclure dans le champ d'application s'ils sont jugés essentiels aux services critiques du Royaume-Uni ou à la sécurité nationale.

Fournisseurs de services numériques : L'ICO est sur le point d'adopter une approche plus basée sur les risques pour réglementer les services numériques, en fonction de l'importance des fournisseurs dans la fourniture des services essentiels.

NIS 2 adopte une ligne plus ferme, avec des amendes potentiellement élevées en cas de non-conformité des fournisseurs OES.

NIS évolutif : Le gouvernement britannique se réserve le droit de modifier la réglementation à l'avenir après avoir consulté le public, éventuellement en ajoutant de nouveaux secteurs jugés essentiels à l'économie.

Qu'as tu besoin de faire

Les organisations britanniques doivent d'abord décider ce qui s'applique à elles : NIS 2, la réglementation britannique NIS modifiée ou les deux, selon Marija Nonkovic, avocate chez Saumon de Burges.

« Bien qu’il existe des similitudes entre les deux régimes, les différences entraîneront un certain niveau de divergence, ce qui obligera les organisations opérant dans l’UE et au Royaume-Uni à évaluer soigneusement leurs obligations en matière de conformité en matière de cybersécurité », explique-t-elle.

« Les entreprises devraient prendre le temps d'allouer les ressources appropriées dès le début pour garantir que des mesures de sécurité appropriées sont en place pour se protéger contre les cybermenaces, ainsi que pour maintenir leur résilience à la lumière d'une cyber-attaque afin d'éviter d'encourir les coûts et les dommages à la réputation qui peuvent en résulter. incidents de cybersécurité.

Le défi sera celui du timing. Le NIS 2 est entré en vigueur le 16 janvier 2023 et doit être mis en œuvre par les États membres d’ici le 17 octobre 2024. Toutefois, il est peu probable qu’un nouveau régime de réglementation du NIS soit en place avant 2024, selon les experts juridiques.

"Une différence dans le calendrier de mise en œuvre est susceptible d'augmenter les coûts dans une certaine mesure, car les entreprises actives au Royaume-Uni et dans l'UE devront consacrer du temps et des ressources aux exercices de conformité à deux reprises plutôt qu'une", affirme le cabinet d'avocats. Travers Smith. Il reste à voir si les divergences britanniques permettront réellement de minimiser le fardeau réglementaire pesant sur les entreprises nationales, comme l’espère le gouvernement.

Alors qu'est-ce qui se passe ensuite?

Comme le conseille EY, les entreprises concernées par NIS 2 doivent gérer leurs risques en matière de sécurité des informations. La mise en œuvre d’un système de gestion de la sécurité de l’information (ISMS) est le meilleur moyen d’y parvenir. Cela contribuera à rationaliser le processus de conformité aux normes telles que ISO 27001 et ISO 22301, qui à leur tour peuvent fournir un bon cadre pour se conformer à NIS 2.

Pour ceux qui se concentrent sur le Règlement NIS, une approche similaire jetterait également les bases de la conformité. Pour plus d'informations, le National Cyber Security Center (NCSC), qui fait office d'équipe de réponse aux incidents de sécurité informatique (CSIRT) et de point de contact unique (SPOC) pour les incidents NIS, a également publié un guide pratique. Il est Collection du cadre d'évaluation de la cybersécurité (CAF) est une autre ressource utile.

Préparez votre organisation au succès

Si vous souhaitez vous conformer à la norme NIS 2 et commencer votre voyage vers une meilleure information et une meilleure cybersécurité, nous pouvons vous aider.

Téléchargez notre guide essentiel sur NIS 2, lisez-en davantage et armez-vous des informations dont vous avez besoin pour garder une longueur d'avance et garantir que votre organisation est prête à réussir.

Téléchargez

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster

La cyber-sécurité 27 Janvier 2026

L'importance de la protection de la vie privée : ce que les équipes de conformité peuvent attendre en 2026

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Le 28 janvier est la Journée mondiale de la protection des données – l’occasion de célébrer le droit à la confidentialité et à la protection des données que beaucoup d’entre nous tiennent aujourd’hui pour acquis.

Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster