NIS2 : quelles sont les mesures minimales de cyber-sécurité pour les Entités Essentielles ?

Date limite de mise en conformité à la NIS 2 : décembre 2024

La directive Européenne NIS 2 constitue un pas important vers une Europe cyber-résiliente. Dans une Europe sous tension son objectif est de protéger les citoyens et les entreprises contre les cybermenaces croissantes. L’objectif est de garantir la continuité des services essentiels au bon fonctionnement des membres de l’Union Européenne.
A cet effet les entités essentielles doivent mettre en place des mesures de cyberprotection des réseaux OT et IT ; la date limite de mise en conformité se rapproche rapidement, puisqu’elle est fixée au 31 décembre 2024.

Quelles entités essentielles sont visées par la NIS 2?

Les entités concernées sont de taille moyennes ou grandes et fournissent des services essentiels au bon fonctionnement d’un état. Elles sont plusieurs milliers en France (source La Tribune ).

  • Secteurs d’activité critiques: énergie, transports, eau, déchets, santé, industries numériques, etc.
  • Critères de taille: Effectif minimum de 50 employés et chiffre d’affaires annuel supérieur à 1 million d’euros.

Quelles sont les mesures minimales à mettre en œuvre pour être conforme à la NIS2 ?

L’Agence européenne pour la cybersécurité (ENISA) joue un rôle crucial dans la mise en œuvre et l’application de la directive NIS 2 (plus d’informations à ce sujet). On retrouve sur le site de l’Enisa une page consacrée aux mesures minimales de sécurité pour les Entités Essentielles pour la NIS2
On y trouve notamment les références à la norme cybersécurité IEC 62443 ( en savoir plus sur l’IEC 62443), à NIST et à l’ISO 27001.
Ci dessous la capture d’écran du site de l’Enisa au 18 juin 2024 – https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new/minimum-security-measures-for-operators-of-essentials-services

Quelles solutions choisir pour mettre en conformité les réseaux industriels ou OT ?

Un réseau OT connectent les équipements et collectent leurs données pour qu’elles soient traitées en local ou dans le Cloud. Cet accès distant aux équipements ouvrent des portes aux cyberattaques accidentelles ou intentionnelles.
Il est donc vivement recommandé de choisir des composants ( switchs, routeurs, serveur de port série, etc..) conformes à l’IEC 62443-4-2 avec un niveau de protection 2 ( SL2) contre des attaques accidentelles ou intentionnelles. Le SL2 est en effet le niveau qui semble le plus adapté aux réseaux OT (il existe des niveaux SL3 et SL4 pour des entités à très haut risque comme les centrales nucléaires).
A ce jour Moxa a de très loin le plus large portfolio IEC 62443 du marché avec un SL2 qui est le niveau adapté à la plupart des situations OT.

Moxa EDF-G1002-BP , une solution pour mettre en place un patching virtuel d’équipements indispensables – intègre les fonctions Firewall, virtual patching, IPS/IDS et LAN bypass

Webinaire-19-avril-2024-Pourquoi-et-Comment-proteger-un-reseau-OT-avec-Moxa