Avec l’augmentation des cyberattaques, l’Union européenne a renforcé dès 2022 son bouclier législatif avec la Directive NIS2 (Network and Information Security). Ce texte européen, dont l’objectif est l’harmonisation des exigences en matière de cybersécurité, doit être transposé par les Etats Membres dans leur droit national, au plus tard le 17 octobre 2024.
Une approche « tous risques » de la cybersécurité
Les entreprises concernées devront prendre des mesures techniques et opérationnelles importantes pour gérer les risques liés à la cybersécurité. Ces mesures comprennent a minima :
- les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;
- la gestion des incidents;
- la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
- la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;
- la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
- des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
- les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
- des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
- la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;
- l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
S’ajoutent à ces mesures des obligations de divulgation des vulnérabilités et une obligation de reporting.
IP Twins qualifiée d’Entreprise Essentielle
La directive NIS2 décrit deux secteurs concernés par ces obligations :
- secteurs hautement critiques: contiennent soit des entités essentielles (EE) soit des entités importantes (EI), selon des critères d’activité, de chiffre d’affaires, de bilans financiers et de nombres d’employés
- autres secteurs critiques : contiennent exclusivement des entités importantes (EI)
La différence réside dans le fait qu’une interruption des services d’un acteur essentiel entrainerait des conséquences importantes pour l’ensemble de la société de l’Etat membre concerné.
En tant que bureau d’enregistrement de nom de domaine et fournisseur de services DNS, IP Twins est qualifiée d’Entreprise Essentielle au sens de la Directive.
IP Twins satisfait déjà à l’ensemble des obligations de sécurité découlant des dispositions de la directive NIS2, et sera déclarée auprès de l’ANSSI. Nos activités registrar et de service DNS sont certifiées ISO 27001, dans un engagement permanent à respecter les normes les plus élevées en matière de sécurité des données, qui démontre notre dévouement à protéger les informations sensibles de nos clients et à maintenir leur confiance dans nos services.
