Découvrez toutes les questions et les réponses correctes du quiz NIS2 ci-dessous.
J'ai bien compris ce qu'il faut faire avec les 10 questions !
Aucune information de paiement n'est nécessaire.
Votre avis :
A : Améliorer la cybersécurité des entreprises européennes
B : Réduire le risque de violation de données
C : Aligner les mesures européennes sur le site cyber security
D : Toutes ces réponses sont correctes
Le NIS2 est la nouvelle loi européenne sur la cybersécurité. Cette loi devrait permettre de mieux protéger les entreprises européennes contre la cybercriminalité. Cette meilleure protection devrait, par exemple, réduire le risque de violation des données.
En outre, l'objectif est d'harmoniser les mesures de sécurité européennes. L'europarlementaire Bart Groothuis en parle à la Chambre de commerce : "Les développements techniques vont très vite. Le NIS 1 est en vigueur depuis 2018 et est dépassé. Tous les États membres n'appliquent pas la loi de la même manière ou strictement partout. Si vous faites désormais des affaires avec d'autres pays européens ou si vous avez une succursale dans plusieurs pays, des règles différentes s'appliquent partout. Cela ne fonctionne pas. Nous allons tracer une ligne unique à ce sujet".
Votre avis :
B : Organisations dont le chiffre d'affaires est supérieur à 50 millions d'euros
C : Organisations essentielles et importantes dans des secteurs spécifiques
Le NIS2 s'appliquera à toutes les organisations essentielles et importantes dans les secteurs figurant dans le tableau ci-dessous. Les critères suivants s'appliquent :
Les organisations essentielles...
...sont de grandes organisations opérant dans un secteur du groupe A du tableau ci-dessous.
Une organisation est grande à :
1. 250 employés ou plus ou ;
2. Un chiffre d'affaires net annuel de 50 millions d'euros ou un total de bilan de 43 millions d'euros ou plus.
Les grandes organisations...
...sont des organisations de taille moyenne opérant dans un secteur du groupe A ou B du tableau ci-dessous.
Une organisation est de taille moyenne si
1. 50 employés ou plus ou ;
2. Un chiffre d'affaires annuel ou un total de bilan de 10 millions d'euros ou plus.
| Groupe A (organisations essentielles et importantes) | Groupe B (organisations importantes) |
| L'énergie | Fournisseurs numériques |
| Transport | Services postaux et de messagerie |
| Banque | Gestion des déchets |
| Infrastructure | Alimentation |
| Soins de santé | Produits chimiques |
| Eau potable | Recherche |
| Infrastructure numérique | Fabrication et production |
| Eaux usées | |
| Services publics | |
| L'espace | |
| Gestion des services TIC |
Votre avis :
A : Seules les organisations essentielles sont contrôlées
B : Les organisations essentielles sont auditées avant et après, les organisations importantes seulement après.
C : Il n'y a pas de distinction entre les organisations essentielles et les organisations importantes.
Le contrôle des organisations essentielles sera plus strict que celui des organisations importantes. Les organisations essentielles seront contrôlées à l'avance.
DigitalTrustCenter du ministère des Affaires économiques et du Climat, vous pouvez lire ce qui suit : "Les entités essentielles sont soumises à un régime de surveillance plus intensif, à la fois ex ante et ex post. Les entités importantes sont soumises à une forme plus légère de surveillance, uniquement ex post. Par exemple, s'il y a des indications de non-conformité à la loi ou si un incident s'est produit".
Votre avis :
A : Oui
B : Non
Le NIS2 s'appliquera également aux PME. C'est-à-dire aux organisations essentielles et importantes dans les secteurs mentionnés.
Le député européen Bart Groothuis explique à la Chambre de commerce : "Tous ceux qui fournissent un service essentiel aux consommateurs tombent sous le coup de la nouvelle loi. Il en va de même pour les petits prestataires de services. Nous discutons encore de ce que nous entendons exactement par 'essentiel'. Les fournisseurs d'accès à Internet, les petites usines, les entreprises qui s'occupent de l'eau ou de l'énergie : ces types d'entreprises seront considérés comme essentiels.
Votre avis :
R : Une directive, il s'agit de recommandations en matière de sécurité.
B : Législation, prescrivant une sécurité de base minimale.
C : Une directive européenne que les États membres doivent transposer dans leur législation.
Le NIS2 est la nouvelle législation européenne en matière de cybercriminalité. Il s'agit d'une directive européenne que les États membres intègrent dans leur législation nationale.
Aux Pays-Bas, le NIS a ainsi été intégré à la loi sur la sécurité des réseaux et des systèmes d'information (Wbni) en 2018.
Un accord sur le NIS2 a été conclu au niveau européen en décembre 2022 et est entré en vigueur un mois plus tard. Les États membres doivent l'intégrer dans leur législation nationale dans un délai de 21 mois à compter de cette date. Cela signifie que la législation entrera en vigueur aux Pays-Bas au plus tard en octobre 2024.
Notez qu'aux Pays-Bas, on parle de NIB2 (Network and Information Security) au lieu de NIS2.
Votre avis :
A : Chaque organisation est responsable de ses propres systèmes.
B : Chaque organisation est responsable de ses propres systèmes et de ceux des fournisseurs et des autres acteurs de la chaîne.
C : Chaque organisation est responsable de ses propres systèmes, de ceux des fournisseurs et des autres acteurs de la chaîne, ainsi que de ceux des autres partenaires (de coopération).
Le NIS2 rend les organisations responsables de leurs propres systèmes, de ceux des fournisseurs et des autres acteurs de la chaîne, ainsi que de ceux des autres partenaires (de coopération). La NIS2 impose donc une protection contre les risques liés aux systèmes. Plus précisément, les organisations doivent Évaluer le site cyber security des fournisseurs.
- Examiner d'un œil critique les risques de sécurité dans les entreprises de la chaîne d'approvisionnement.
- Participer à l'évaluation des risques de la chaîne d'approvisionnement au sein de l'industrie.
- Mettre en place une évaluation et une gestion des risques de la chaîne d'approvisionnement pour les tiers.
- Prendre des mesures pour sécuriser les communications électroniques avec les fournisseurs.
- Informer les clients et les autorités des menaces émanant de tiers.
Plus précisément, selon le NIS2, les organisations doivent surveiller activement tout risque cybernétique dans la chaîne (d'approvisionnement). Les organisations doivent
- Identifier et évaluer les menaces pesant sur les produits et services de tiers.
- Élaborer des politiques, des plans et des solutions pour faire face aux menaces.
- Prendre des mesures pour sécuriser l'approvisionnement et la fourniture de produits et services de tiers.
Enfin, les organisations doivent surveiller, évaluer et prendre des mesures appropriées en permanence afin d'examiner et de traiter sérieusement les cyberrisques liés aux tiers. Par exemple, il est important de procéder à des évaluations régulières, voire à des audits, des tiers. En outre, il convient d'accorder une attention régulière aux accords conclus avec les fournisseurs.
S'il s'avère que la sécurité des tiers est insuffisante, les organisations doivent prendre elles-mêmes des mesures, y compris mettre fin à un partenariat si nécessaire.
Votre avis :
A : Non, il s'agit d'un avis pour lequel les autorités émettent des avertissements.
B : Oui, jusqu'à un maximum de 100 000 euros par incident
C : Oui, jusqu'à un maximum de 1 000 000 d'euros par incident
D : Oui, jusqu'à un maximum de 10 000 000 d'euros ou 2 % du chiffre d'affaires annuel mondial
Comme pour le NIS, les autorités peuvent imposer des amendes en cas de non-respect. L'amende peut atteindre un maximum de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. C'est le montant le plus élevé qui détermine le montant de l'amende.
Votre avis :
A : Les amendes ou les pénalités peuvent être moins élevées
B : Les organisations reçoivent une certification
C : Ces mesures n'ont aucun impact
Les autorités décident des amendes ou des sanctions à imposer aux organisations en infraction.
Votre avis :
A : Une notification immédiate en cas de violation de données
B : une notification immédiate pour tout cyberincident affectant les activités de l'entreprise
C : un rapport final décrivant l'incident, le type de menace, la gravité et les conséquences, ainsi que les mesures appliquées et en cours.
D : Toutes ces réponses
Les organisations doivent immédiatement signaler tous les cyberincidents qui affectent les activités de l'entreprise, y compris les violations de données.
Le National Cyber Security Center écrit : "La directive NIS2 exige des entités qu'elles signalent les incidents au régulateur dans les 24 heures. Il s'agit d'incidents qui (peuvent) perturber de manière significative la fourniture du service essentiel. Dans le cas d'un cyberincident, il doit également être signalé à l'équipe de réponse aux incidents de sécurité informatique (CSIRT)".
L'obligation de déclaration comporte deux rapports :
Rapport direct :
Les organisations doivent faire un rapport dès que possible en fournissant les informations strictement nécessaires, telles que ce qui s'est passé, la cause (possible) et l'acte illégal ou malveillant qui a eu lieu. Les organisations feront un rapport à l'autorité nationale appropriée ou à l'équipe de réponse aux incidents de sécurité informatique (Computer Security Incident Response Team - CSIRT). L'autorité ou le CSIRT répondra au rapport dans les 24 heures.
Notification finale :
Dans un délai d'un mois à compter de la notification initiale, les organisations doivent présenter un rapport final. Ce rapport doit comprendre les éléments suivants
Votre avis :
A : octobre 2023
B : mars 2024
C : octobre 2024
Un accord a été conclu au niveau européen en décembre 2022. Cet accord est entré en vigueur un mois plus tard. Les États membres ont 21 mois pour transposer le NIS2 dans leur législation nationale.
Cela signifie que le NIS2 entrera en vigueur aux Pays-Bas au plus tard en octobre 2024.
Notez qu'aux Pays-Bas, on parle de NIB2 (Network and Information Security) au lieu de NIS2.
