La directive NIS est destinée à renforcer la cybersécurité des États membres de l’Union européenne. Les objectifs de la directive NIS sont les suivants :
établir des mesures pour assurer un niveau commun de sécurité des États membres de l’Union Européenne ;
désigner une autorité nationale compétente en sécurité des réseaux et des systèmes d’information ;
définir une stratégie nationale autour de la sécurité numérique ;
renforcer la cybersécurité des organismes essentiels au bon fonctionnement de chaque État membre ;
augmenter la coopération entre les États membres sur les aspects politiques et opérationnels de la cybersécurité.
La directive NIS désigne des Opérateurs de Services Essentiels (OSE) : ils fournissent un service dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.
Elle désigne également des Fournisseurs de Services Numériques (FSN). Ils offrent l’un des trois services suivant : places de marché en ligne, moteurs de recherche et services cloud.
Les entreprises sont concernées par la directive NIS si elles font partie des secteurs suivants :
Energie
Transport
Logistique
Fourniture et distribution d’eau potable
Traitement des eaux non potables
Banques, infrastructures de marchés financiers et services financiers
Assurances
Santé (établissements de soins de santé et produits pharmaceutiques)
Infrastructures numériques
Education
Alimentation et restauration
En France, les OSE et les FSN sont désignés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Si les OSE ont l’obligation de se conformer à la directive NIS, ce n’est pas le cas des FSN. Pour ces derniers, la mise en conformité se fait sur la base du volontariat.
La comprendre et savoir comment l’appliquer
Préserver la disponibilité du service essentiel et éviter les pertes de revenus
Eviter des cyberattaques très coûteuses et réaliser des investissements pertinents
Nous accompagnons les OSE sur tout ou partie de la mise en conformité NIS :
par du conseil et un accompagnement tout au long de la mise en conformité ;
par des solutions techniques exploitées par l’entreprise jusqu’au service totalement géré par nos équipes.
Sous 3 mois
accompagnement de l’opérateur dans l’identification de ses systèmes essentiels et dans sa déclaration à l’ANSSI ;
analyse d’écarts pour identifier les non-conformités par rapport aux règles de sécurité à mettre en place.
Sous 1 an
accompagnement à la cartographie des systèmes d’information ;
accompagnement à la mise en conformité en AMOA ;
déploiement des solutions de sécurité pour mettre en conformité telles que la gestion des identités, le filtrage réseau ou encore la sécurisation du système d’information d’administration (SIA).
Sous 3 ans
audit de sécurité des systèmes essentiels ;
analyse de risques ;
accompagnement à l’homologation.