Blog WatchGuard

NIS 2 : Mettre en œuvre une gouvernance plus stricte en matière de cybersécurité

La nouvelle directive NIS 2 de l’UE place la barre plus haut en matière de cybersécurité, en particulier pour les secteurs d’infrastructures critiques. Toutefois, cette directive ne se limite pas aux mises à niveau technologiques. Elle met l’accent sur un engagement résolu de la part des dirigeants dans l’élaboration d’une entreprise résiliente face aux risques de cybersécurité.

Qu’est-ce que cela signifie pour votre entreprise ?

     1. Mettre l’accent sur la gestion des risques

La directive NIS 2 nécessite une approche de la cybersécurité basée sur les risques. Autrement dit, les entreprises (classées comme « essentielles » ou « importantes » dans la directive) doivent élaborer un plan clair pour repérer les cybermenaces, les évaluer et y faire face.

     2. Une gouvernance plus forte : Mettre la direction à contribution

Voici comment la directive NIS 2 change la donne en matière de leadership :

  • Adhésion de la direction : La cybersécurité ne peut plus simplement être l’affaire des équipes informatiques. Les organes de direction doivent approuver et superviser les mesures de gestion des risques de cybersécurité.
  • Formation de la direction : Bien que les CEO n’aient pas besoin d’être des spécialistes en matière de cybersécurité, une compréhension de base est néanmoins nécessaire. La directive NIS 2 exige une formation de l’équipe de direction pour lui permettre de mieux appréhender les risques de cybersécurité et leur impact sur les activités de l’entreprise.
  • Sensibilisation des salariés : Une bonne posture en matière de cybersécurité exige que tout le monde participe. La directive NIS 2 encourage les entreprises à fournir une formation régulière sur la cybersécurité aux salariés.

     3. Impliquer la haute direction

Par le passé, la responsabilité de la cybersécurité incombait exclusivement aux équipes informatiques. La directive NIS 2 change la donne. Pour favoriser le partage des responsabilités et réduire la pression sur les équipes informatiques, la directive introduit des mesures qui tiennent la haute direction personnellement responsable des insuffisances en matière de cybersécurité lors d’incidents de sécurité majeurs, s’il existe des preuves de négligence grave.

Les États membres de l’UE peuvent désormais demander des comptes aux responsables et exiger des entreprises qu’elles prennent les mesures suivantes :

  • Divulgation publique des violations : Les entreprises peuvent être tenues de déclarer publiquement leur non-conformité à la directive NIS 2.
  • Désignation publique : Les déclarations publiques peuvent désigner les individus (personnes physiques et représentants légaux) responsables de la violation.

Pour les fournisseurs d’infrastructures critiques (entités « essentielles »), les sanctions sont encore plus sévères. En cas de violations répétées résultant d’une négligence grave, les autorités peuvent interdire temporairement aux individus d’occuper des postes de direction.

Les avantages d’une gouvernance forte

Ces exigences ne visent pas seulement à sanctionner, mais aussi à atteindre deux objectifs clés :

  • Accroître la responsabilité des dirigeants : En impliquant la haute direction, la directive NIS 2 encourage une approche plus volontaire de la gestion des risques de cybersécurité.
  • Prévenir les négligences graves : La menace de conséquences personnelles dissuade de négliger les efforts de cybersécurité.

Fondamentalement, la directive NIS 2 modifie le modèle de responsabilité en matière de cybersécurité. Cette question ne relève plus seulement des équipes informatiques, mais aussi de la direction de l’entreprise, avec les conséquences que cela peut avoir pour les dirigeants.

Transformer les exigences en avantages

Ces exigences de gouvernance constituent un signal d’alarme, mais elles peuvent également s’avérer bénéfiques pour votre entreprise :

  • Une responsabilité transparente : La responsabilité des dirigeants favorise une culture de la responsabilité en matière de cybersécurité, en veillant à ce que chacun s’investisse dans la protection de ses systèmes.
  • Une prise de décision améliorée : Avec une compréhension plus approfondie des risques de cybersécurité, la direction peut prendre des décisions éclairées concernant l’allocation des ressources et les investissements en matière de sécurité.
  • Approche proactive : L’accent mis sur la gestion des risques encourage une approche proactive de la cybersécurité plutôt qu’une simple réaction aux incidents.

Mesures à prendre

Satisfaire aux exigences de gouvernance de la directive NIS 2 demande un certain engagement. Voici quelques mesures que vous pouvez prendre :

  • Passer en revue votre structure de direction : Assurez-vous que votre équipe de direction assume clairement la responsabilité de la cybersécurité.
  • Élaborer un programme de formation : Investissez dans la formation des dirigeants et des salariés pour accroître la sensibilisation et la compréhension des cybermenaces.
  • Intégrer la cybersécurité dans la gestion des risques : Considérez les risques de cybersécurité et les autres risques de l’entreprise conjointement afin de créer une approche holistique.

 

La directive NIS 2 peut sembler contraignante, mais l’accent qu’elle met sur la gouvernance constitue une étape positive. En donnant aux dirigeants les moyens d’agir et en favorisant une culture de la sensibilisation à la cybersécurité, les entreprises peuvent renforcer leur défense face à des cybermenaces en constante évolution.

 

Il s’agit de la deuxième partie d’une série d’articles de blog en quatre parties sur la directive NIS 2. Cliquez ici pour consulter la première partie qui présente la directive NIS 2.