Loi sur la sécurité informatique 2.0 et NIS 2 : qui doit agir et où ?
La loi sur la sécurité informatique 2.0 est en vigueur. La mise en œuvre de la NIS 2 arrive. Et avec elle, des secteurs élargis, des règles plus strictes et de nouvelles obligations. Objectif de la directive : un niveau de protection commun élevé dans l'Union européenne. Certaines de ces dispositions font déjà partie de la loi sur la sécurité informatique. D'autres vont encore venir s'y ajouter. Découvrez ce qui est déjà applicable aujourd'hui, ce qui le sera à l'avenir et pourquoi l'état de votre mise en œuvre doit être examiné dès maintenant. Un aperçu.
NIS 2 fait de la sécurité informatique une affaire de chef. Le temps passe.
Loi sur la sécurité informatique 2.0/Partie 1
En vigueur depuis décembre 2021. Application aux opérateurs KRITIS. OBJECTIF assurer la disponibilité, l'intégrité, l'authenticité & la confidentialité des données de manière globale
CHANGEMENT Par rapport à la loi sur la sécurité informatique 1.0 de 2015, la loi contient principalement des développements concernant les mesures de sécurité informatique avec les principales nouveautés suivantes :
SECTEURS Comme dans la loi sur la sécurité informatique 1.0.
Alimentation
Santé
Énergie (électricité et gaz)
Eau & eaux usées
Finance et assurance + NOUVEAU
Collecte des déchets urbains & services municipaux
Opérateur UBI (entreprise d'intérêt public) IT-SIG2.0/Partie 2
NNOUVELLES OBLIGATIONS DE DÉCLARATION ET D'AUDIT Le délai de mise en œuvre de deux ans prévu par la loi sur la sécurité informatique 1.0 ne s'applique plus. A la place, les délais s'appliquent à partir du jour 1 de la classification correspondante de l'entreprise. Le délai s'applique également si votre entreprise dépasse soudainement les seuils et devient une SIE ou une KRITIS pendant la durée de la loi. Pour KRITIS-est applicable à l'opérateur :
Obligation d'enregistrement des installations KRITIS avec indication des personnes de contact
Déclaration des faits concernant l'exactitude des informations au BSI
Signaler les informations relatives à la gestion des incidents et autres mesures de sécurité
L'utilisation de composants critiques doit être signalée
Les déclarations de garantie des fabricants doivent être transmises pour les composants critiques neufs et existants (concerne les fabricants + les fournisseurs de toute la chaîne d'approvisionnement).
Pour les nouveaux produits, il faut attendre 2 à 4 mois avant l'installation.
Des normes de sécurité minimales doivent être respectées (par exemple, des systèmes de détection des attaques).
Loi sur la sécurité informatique 2.0/partie 2
Valable à partir de mai 2023. Application aux exploitants d'AIEP.
UBI1 : entreprises soumises au règlement sur le commerce extérieur, par exemple les fabricants d'armement ou de produits informatiques pour les informations classifiées de l'État
UBI2 : entreprises qui font partie des plus grandes entreprises d'Allemagne en termes de valeur ajoutée nationale, par exemple les groupes Dax (autres dans BSI KRITIS Verordnung 2.0)
UBI3 : exploitant d'une zone d'exploitation de la classe supérieure de l'ordonnance sur les accidents majeurs (par exemple entreprises de l'industrie chimique, ...)
Les entreprises < 50 personnes, < 10 millions d'euros de chiffre d'affaires ne sont pas concernées.
NNOUVELLES OBLIGATIONS DE DÉCLARATION ET D'AUDIT
Obligation d'enregistrement auprès du BSI avec indication des interlocuteurs
Remise d'auto-déclarations (p. ex. sur les certifications, la sécurisation des processus dans la sécurité informatique (systèmes, composants, ...)
Une fois initiale, puis tous les deux ans
Signaler les perturbations importantes est une obligation
Mais : pas d'obligation de notification concernant les composants critiques
UN CADRE D'AMENDE ADAPTÉ
Jusqu'à deux millions d'euros d'amende possible. Par exemple, dans le cas de KRITIS : impossibilité de joindre le point de contact. Dans le cas d'une AIEP : auto-déclaration non fournie
Amende également contre les personnes ayant agi
Directive européenne NIS 2
En vigueur depuis le 16 janvier 2023. A transposer dans le droit national par les Etats membres d'ici 2024. Contexte : la nouvelle directive européenne est basée sur la directive NIS 1 de 2016, dont le champ d'application et les exigences en matière de sécurité ne correspondaient plus aux évolutions réelles. En outre, il n'y avait pas suffisamment d'harmonisation entre les États membres en ce qui concerne la catégorisation des incidents de cybersécurité, les obligations de notification et les sanctions.
OBJECTIF Un niveau de protection élevé et commun dans l'Union européenne.
CHANGEMENT NIS 2 limite la marge de manœuvre des États membres et indique comment la directive doit être transposée dans le droit national. Avec sa loi sur la sécurité informatique 2.0, l'Allemagne remplit déjà une grande partie des exigences. On ne sait pas encore dans quelle mesure les nouvelles exigences y seront ancrées ou s'il y aura une loi sur la sécurité informatique 3.0. Outre l'extension des secteurs et des obligations, les changements les plus importants concernent la responsabilité personnelle des dirigeants et le montant des amendes possibles en cas de non-respect. Les autorités nationales seront chargées de la surveillance et de l'application des règles.
SECTEURS Extension des secteurs KRITIS définis/essentiels :
Alimentation
Santé
Énergie (électricité et gaz)
Eau & eaux usées
Finance et assurance
+
Transports et circulation
Infrastructure numérique
Plus NOUVEAUX secteurs/importants :
Gestion des services ICT (en B2B)
Administration publique (chauffage urbain à l'hydrogène/services municipaux & fournisseurs d'énergie)
Services postaux et de courrier
Gestion des déchets
Chimie
Industrie/métiers de la transformation
Pharmacie
Huile
Espace
Recherche
Services numériques (moteurs de recherche, réseaux sociaux)
NNOUVELLES OBLIGATIONS DE DÉCLARATION ET D'AUDIT Exigences minimales pour les entrepreneurs et les exploitants:
Analyse et évaluation des risques de sécurité informatique
Mise en place d'une gestion des incidents informatiques, comprenant : la prévention, la détection des incidents de sécurité, l'identification, le confinement, l'atténuation des conséquences et la manière de réagir
Assurer la continuité des activités
Mise en place d'une gestion de crise
Assurer la sécurité lors de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information
garantir les contrôles des exigences de sécurité, y compris pour les fournisseurs de la chaîne d'approvisionnement
Notification initiale : obligation de signaler les incidents importants dans les 24 heures, rapport final dans le mois suivant
EXTENSION DU CADRE DES AMENDES
Responsabilité propre et personnelle des dirigeants
Les amendes s'élèvent jusqu'à dix millions d'euros ou deux pour cent du chiffre d'affaires annuel mondial.
Exceptions pour les petites et micro-entreprises, par exemple en cas de monopole ou lorsque les réseaux de communication publics sont concernés.
Conclusion
D'ici octobre 2024, l'Allemagne doit Directive NIS 2 de l'UE dans le droit national. Cela signifie que l'attentisme n'est pas une option. Le niveau de menace n'a jamais été aussi élevé et les défis dans le cyberespace vont continuer à augmenter rapidement. Nous recommandons à toutes les organisations de passer au crible leur propre niveau de mise en œuvre de la sécurité informatique et de voir où des améliorations doivent être apportées. Analyses des risques informatiques et le monitoring de votre surface d'attaque informatique à l'échelle de l'organisation fournissent la transparence nécessaire et constituent une préparation idéale pour les contrôles et les certifications à venir. En outre, un système intelligent Gestion des risques fournisseurs de nombreux processus manuels et rend l'administration nettement plus efficace.
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
Voulez vous en savoir plus, réserver une démo ou juste échanger un instant? Alex se réjouit d'avance!
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.
Français 
Deutsch 
English