La directive NIS2 introduit de nouvelles obligations pour les organisations dans quatre domaines principaux : la gestion des risques, la responsabilité des entreprises, les obligations d'information et la continuité des activités.
Les organisations doivent réduire les cyber-risques pour se conformer à la nouvelle directive. La gestion des incidents, l'amélioration de la sécurité de la chaîne d'approvisionnement, le renforcement de la sécurité des réseaux, l'amélioration du contrôle d'accès et le cryptage font partie des méthodes mises en œuvre.
- Responsabilité des entreprises
La NIS2 impose à la direction de l'entreprise de superviser et d'approuver les procédures de cybersécurité de l'entité, d'être formée à ces procédures et de faire face aux cyber-risques. En cas d'infraction, la direction peut être sanctionnée, notamment par la mise en jeu de sa responsabilité et l'exclusion temporaire de ses fonctions de direction.
- Obligation de rendre des comptes
Les entités essentielles et cruciales doivent mettre en place des systèmes de notification des événements de sécurité ayant un impact majeur sur leur offre de services ou leurs destinataires, et ce dans les plus brefs délais. Le NIS2 précise les délais de notification, par exemple une "alerte précoce" de 24 heures.
Les organisations doivent planifier la manière dont elles maintiendront la continuité de leurs activités en cas d'incidents cybernétiques graves. Cette stratégie doit prendre en compte la récupération des systèmes, les procédures d'urgence et la formation d'une équipe d'intervention en cas de crise.