Accueil | Logiciel de sauvegarde | Réglementation NIS2
Réglementation NIS2
Introduction à la Directive NIS2
La Directive NIS2 (Network and Information Security 2) est une initiative de l'Union européenne visant à améliorer la cybersécurité et la résilience des réseaux et systèmes d'information dans l'UE. Cette directive impose des obligations strictes en matière de sécurité aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN). Cependant, toutes les entreprises ne sont pas directement concernées par cette réglementation en fonction de leur taille et de leur secteur d'activité.
Kiwi Backup et la Directive NIS2
Chez Kiwi Backup, nous comprenons l'importance de la cybersécurité et de la protection des données. Bien que notre entreprise ne soit pas directement assujettie à la directive NIS2 en raison de sa taille, nous avons pris des mesures proactives pour aligner nos pratiques de sécurité avec les exigences de cette directive. En effet, nous avons mis en place des politiques et des procédures qui respectent la plupart des obligations de NIS2, et cela grâce à notre certification ISO 27001.
La Certification ISO 27001 : Un Gage de Conformité et de Sécurité
L'ISO 27001 est une norme internationale reconnue pour la gestion de la sécurité de l'information. Elle établit un cadre pour mettre en place, opérer, surveiller, réviser, maintenir et améliorer un système de management de la sécurité de l'information (SMSI). Cette certification garantit que nous suivons des pratiques rigoureuses pour protéger les données de nos clients.
Obligations de NIS2 et Conformité avec l'ISO 27001
Voici comment Kiwi Backup se conforme aux principales obligations de la directive NIS2 grâce à notre certification ISO 27001 :
Gouvernance de la Sécurité de l'Information
- NIS2: Les entreprises doivent avoir une gouvernance solide pour la sécurité de l'information, avec des politiques claires et des responsabilités définies.
- ISO 27001: Notre certification exige que nous ayons une politique de sécurité de l'information approuvée par la direction et communiquée à tous les employés. Nous avons des rôles et des responsabilités clairement définis pour la gestion de la sécurité.
Gestion des Risques
- NIS2: Les entreprises doivent réaliser des analyses de risque régulières et mettre en place des mesures pour atténuer les risques identifiés.
- ISO 27001: Nous effectuons des évaluations régulières des risques, identifions les menaces potentielles et mettons en œuvre des contrôles pour réduire ces risques. Ce processus est documenté et revu périodiquement.
Contrôles Techniques et Organisationnels
- NIS2: Il est nécessaire de mettre en place des contrôles techniques et organisationnels appropriés pour sécuriser les systèmes d'information.
- ISO 27001: Nous avons mis en place des contrôles techniques tels que le chiffrement des données, la gestion des accès, physiques et logiques, ainsi que des moyens de surveillance des systèmes. Nous avons également des contrôles organisationnels, comme des politiques de sécurité et des formations / sensibilisations régulières pour le personnel.
Gestion des Incidents de Sécurité
- NIS2: Les entreprises doivent disposer de procédures pour gérer les incidents de sécurité et notifier les autorités compétentes et les parties concernées.
- ISO 27001: Nous avons des procédures documentées pour la gestion des incidents de sécurité, incluant la détection, la réponse et la notification des incidents. Nous effectuons également des exercices réguliers pour tester notre capacité à répondre efficacement.
Continuité des Activités
- NIS2: Les entreprises doivent assurer la continuité des services en cas d'incidents graves.
- ISO 27001: Notre certification nous oblige à avoir un plan de continuité des activités (PCA) ainsi qu'un plan de reprise d'activité (PRA). Ces plan sont testés régulièrement pour s'assurer de leur efficacité en cas de besoin.
Protection des Données
- NIS2: La protection des données personnelles et sensibles est une exigence clé.
- ISO 27001: Nous avons mis en place des mesures strictes pour protéger les données personnelles et sensibles. Cela inclut le chiffrement, la double authentification sur les outils clés et des politiques de gestion des données conformes aux réglementations telles que le RGPD.
Sécurité de la chaîne d'approvisionnement
- NIS2: Les entreprises doivent évaluer la sécurité de la chaîne d'approvisionnement, en l'incluant dans leur analyse des risques afin d'identifier les vulnérabilité potentielle ainsi que la qualité globale des produis et services proposés par leurs fournisseurs.
- ISO 27001: L'ensemble de nos fournisseurs est répertorié et chaque prestataire majeur ou critique fait l'objet d'une relecture de son contrat au moyen d'une grille d'évaluation. Leurs services sont également passés au crible d'un point de vue vulnérabilités et analyse des risques. D'un point de vue technique, nous vérifions également les vulnérabilités des libraires externes intégrées dans nos logiciels.
Les prochaines étapes
La Commission Européenne publiera au plus tard le 17 octobre prochain les exigences exactes qui seront demandées aux entités assujetties.
Dès que possible, Kiwi Backup effectuera la démarche de notification auprès de l'ANSSI, l'Agence Nationale de la Sécurité des Systèmes d'Information, afin de valider sa conformité à la Directive. Ainsi, bien que la taille de notre entreprise nous exempte des obligations directes de la directive NIS2, il nous tient à cœur de démontrer notre implication et notre rigueur dans le respect des normes de sécurité en vigueur.