À moins d’un mois de la date limite pour la mise à jour de la directive historique sur la sécurité des réseaux et de l’information (NIS2), les organisations de toute l’UE se préparent à ce que la nouvelle réglementation entre pleinement en vigueur le 17 octobre. Cependant, cela ne s’arrête pas là. Le 17 janvier 2025, la nouvelle Loi sur la résilience opérationnelle numérique (DORA) s’appliquera également aux organismes financiers et aux fournisseurs informatiques tiers du secteur.
Les organisations dans toute l’UE, ainsi que celles basées ailleurs qui font affaire avec des entités de la région, sont confrontées à une pression croissante pour suivre le rythme de ces exigences réglementaires. La convergence de ces cadres affecte plus de 170 000 organisations européennes au total – 150 000 organisations sont concernées par NIS2 et on estime que plus de 22 000 institutions financières et fournisseurs de services TIC sont concernés par DORA.
Que sont NIS2 et DORA ?
NIS2 vise à fournir une législation complète à l’échelle de l’UE sur la cybersécurité. Elle élargit le champ d’application de la directive NIS et introduit des exigences de sécurité plus strictes pour 18 domaines d’activité. À l’instar du Règlement général sur la protection des données (RGPD), NIS2 s’efforcera de relier les mesures et approches de cybersécurité entre les organisations afin de contribuer à renforcer l’infrastructure numérique européenne.
DORA est une directive sectorielle destinée aux institutions financières, ciblant leur approche du risque opérationnel. Dora a deux objectifs clairs. Premièrement, resserrer la gestion des risques informatiques dans le secteur des services financiers. Deuxièmement, harmoniser les réglementations existantes en matière de gestion des risques informatiques déjà en place dans les États membres de l’UE.
DORA ne laisse aucune marge discrétionnaire au niveau des États membres, tandis que NIS2 est une directive qui permet aux pays d’élaborer des règles basées sur leurs besoins nationaux spécifiques.
Stratégies de conformité pour NIS2 et DORA
Même si cela peut avoir un impact énorme sur les entreprises qui sont déjà aux prises avec une situation économique difficile, de telles réglementations sont mises en place en réponse au paysage croissant des menaces, et la mise en œuvre des changements nécessaires contribuera à améliorer la cyber-résilience et il y aura de nouvelles opportunités pour croissance globale. Monnaie de sécurité. Pour profiter de ces opportunités et garder une longueur d’avance sur les réglementations à venir, voici neuf stratégies de conformité que les organisations devraient adopter :
Évaluation globale des risques : Les organisations doivent procéder à une évaluation approfondie des risques qui inclut les exigences de NIS2 et de DORA. Cela devrait inclure l’identification des actifs critiques, l’évaluation des menaces potentielles et l’évaluation de l’impact de différents scénarios de risque. Une approche intégrée d’évaluation des risques permet d’identifier les vulnérabilités courantes et de développer une stratégie d’atténuation rationalisée.
Éducation et formation : En raison de ressources limitées, les organisations se retrouvent souvent particulièrement vulnérables aux cybermenaces. Mais même lorsque les ressources sont limitées, les entreprises peuvent mettre en œuvre des sessions de formation et de sensibilisation continues, ainsi que créer et mettre en œuvre des mesures de sécurité bien définies. Grâce à cette formation régulière, les organisations peuvent favoriser la culture nécessaire à la conformité et à la sensibilisation à la sécurité.
Adoption d’un modèle de responsabilité partagée : Ces dernières années, les cybercriminels ont perfectionné leurs tactiques, soumettant les entreprises à une pression considérable pour qu’elles agissent rapidement. Une façon de répondre à ces préoccupations consiste à adopter un modèle de responsabilité partagée pour garantir que les politiques et pratiques de sécurité sont à jour et appliquées uniformément dans toutes les organisations, sans rien négliger. Une stratégie de conformité proactive commence par des rôles, des responsabilités et des objectifs clairement définis au sein de la politique d’entreprise, conformément aux directives NIS2 et DORA.
Rapport d’incident intégré : Les organisations doivent créer un plan de réponse aux incidents cohérent et intégré pour répondre aux exigences de NIS2 et de DORA, car elles imposent toutes deux des mécanismes de signalement des incidents. Cela implique d’organiser efficacement les canaux de communication, d’assurer une communication transparente avec les consommateurs et de rendre compte en temps opportun aux autorités compétentes.
Faire de la cybersécurité une valeur fondamentale : Les responsables de la sécurité doivent travailler dur pour démystifier la cybersécurité et démontrer comment quelques changements de comportement alignés sur NIS2 et DORA peuvent protéger l’ensemble de l’organisation. Il est de la responsabilité des équipes de direction d’intégrer dès le début la sécurité et la confidentialité dans les initiatives liées aux données.
Gouvernance inter-cadre : Les entreprises devraient envisager de créer des équipes de conformité dédiées ou d’intégrer des responsabilités dans les fonctions de gestion des risques existantes pour surveiller la conformité selon plusieurs cadres. En créant une structure de gouvernance claire, les organisations peuvent maintenir la continuité – en évitant la duplication des efforts et en garantissant la responsabilité.
Tests de cyber-résilience : Il n’y a pas de conformité sans tests réguliers des systèmes et des processus. Les organisations doivent développer un programme de tests complet comprenant des tests d’intrusion, des équipes rouges et des exercices de continuité des activités pour répondre aux exigences de NIS2 et de DORA. Les organisations doivent aligner leurs processus de test sur les exigences du cadre pour garantir une posture de sécurité plus flexible.
Tirer parti de la technologie : Pour faciliter la gestion de la conformité, les entreprises doivent utiliser et intégrer des solutions technologiques dans leur stratégie globale de sécurité. Cela inclut des solutions basées sur des données pour l’évaluation des risques, la gestion des incidents et les tests de résilience. Pour garantir des rapports plus précis, des solutions automatisées doivent être envisagées pour aider à rationaliser les processus et à réduire les efforts manuels.
Développer la confiance et la transparence : Pour maintenir la confiance, les organisations doivent partager la manière dont l’entreprise gère les données et les informations personnelles, y compris la manière dont elles sont protégées, conformément à NIS2 et DORA. La fourniture de ces informations contribuera grandement à renforcer les initiatives globales de cybersécurité. Une réponse solide en matière de sécurité va bien au-delà de la sécurité des données et inclut les régulateurs, les employés, les consommateurs, etc. Par conséquent, une conformité continue peut faire la différence entre un mal nécessaire et un partenaire digne de confiance.
Transformer les défis de conformité en opportunités
À l’approche des échéances des normes NIS2 et DORA, l’adoption d’une approche intégrée de la gestion des risques, du signalement des incidents, des tests de résilience, de la technologie et bien plus encore peut aider les organisations à naviguer efficacement dans le paysage réglementaire. L’objectif n’est pas simplement de se conformer à ces cadres, mais de les exploiter comme catalyseurs pour améliorer la posture globale de sécurité et la résilience opérationnelle.
Nous avons répertorié les meilleurs outils de surveillance du réseau.
Cet article a été produit dans le cadre de la chaîne Expert Insights de TechRadarPro, où nous présentons les esprits les plus brillants et les plus brillants du secteur technologique actuel. Les opinions exprimées ici sont celles de l’auteur et pas nécessairement celles de TechRadarPro ou Future plc. Si vous souhaitez contribuer, découvrez-en plus ici : https://www.techradar.com/news/submit-your-story-to-techradar-pro
