"El 17 de octubre, no pasará nada", dijo Vincent Strubel en su discurso inaugural de reuniones de seguridad en Mónaco La semana pasada. El director general delAnsi Referido aquí a la fecha de entrada en vigor de la Directiva NIS (NETS e Information System Security) 2. Este último tiene éxito la primera versión de este marco que tenía como objetivo fortalecer la ciberseguridad de ciertos actores que brindan servicios considerados esenciales. En 2022, este texto fue revisado por la Unión Europea para aumentar los requisitos de seguridad y ampliar el número de entidades en cuestión. Un proyecto Titanic, porque Francia enumera 15,000 estructuras (empresas privadas, autoridades locales, centro de investigación, instalaciones de salud, etc.) afectadas.

Como todas las directivas, la de NIS 2 debe transponerse a la ley nacional antes de postularse. El ANSSI ya había realizado trabajos de preparación para identificar a los actores impactados y las obligaciones de ciberseguridad. Paralelamente, se elaboró ​​un proyecto de ley en abril pasado, pero la disolución de la Asamblea Nacional interrumpió su discusión. Este miércoles, El texto fue al Consejo de Ministros Y, por lo tanto, tendrá que discutirse pronto en el Parlamento sin una fecha por el momento fijado.

Índice
  1. Una identificación de las entidades interesadas y una lista de obligaciones
  2. Tres años para el cumplimiento mínimo

Una identificación de las entidades interesadas y una lista de obligaciones

El proyecto de ley proporciona detalles sobre las definiciones de entidades esenciales e importantes. El primero incluye compañías en otras "que emplean al menos 250 personas o cuya facturación anual excede € 50 millones y cuya evaluación anual total excede € 43 M", EPIC (establecimiento industrial público y comercial), operadores de comunicación electrónica, regiones, departamentos, municipios de una población mayor de 30,000 habitantes, ... por entidades importantes, en particular en particular ", que usan al menos 50 personas o el total de la población de la población de 30,000. €-, establecimientos de enseñanza que realizan actividades de investigación, ciertas comunidades, comunidad de municipios, etc.

Para estas dos entidades, la Directiva NIS 2 requiere varias obligaciones de seguridad de nivel. Por lo tanto, deben llevar a cabo un análisis de riesgos para conocer su debilidad y la superficie del ataque, pero también los de los proveedores y socios. La ley también establece la obligación de notificar a los incidentes de seguridad en el ANSSI, un decreto debe especificar los términos y, en particular, la fecha límite. Se solicitan esfuerzos en la resistencia de los sistemas de TI. Las preguntas de conciencia y capacitación no se olvidan con el deber de inculcar una cultura de ciberseguridad dentro de la organización. Finalmente y no menos importante, el texto arregla multas (que pueden aumentar hasta el 2% de la facturación y € 10 millones máximo para entidades esenciales y hasta 1.4% de la facturación y € 7 millones máximo para entidades importantes).

Tres años para el cumplimiento mínimo

En este aspecto coercitivo, Vincent Strubel prefiere el lado educativo y benevolente dejando un período de tres años para cumplir con la Directiva NIS 2. Pero eso no significa no hacer nada durante este período de tiempo. Estableció un mínimo requerido para establecerse durante este período, a saber, "la grabación a la ANSSI de la entidad regulada en el portal de Monespacenis 2, notificaciones de incidentes y para mostrar inversiones en soluciones de seguridad" una pequeña presión sobre las entidades que para algunos ya han comenzado a trabajar en el sujeto, pero que para una mayoría no sabe dónde comenzar.

Los editores y los proveedores de soluciones están listos para ayudarlos. Los actores de la salvaguardia en particular lo ven como una oportunidad importante de los negocios en torno a la resiliencia. Por lo tanto, DataCore, con motivo de su reciente evento en Menon, anunció cambios en sus ofertas para apoyar a los clientes sobre el cumplimiento de NIS 2. En los pasillos de los Assizes de seguridad en Mónaco, muchas de ellas promueven sus soluciones (autenticación, protección de AD, EDR, etc.). Una cosa es segura, tal vez no suceda nada el 17 de octubre, pero sin duda es el comienzo de algo ...