La directive NIS 2, adoptée en 2023, constitue un tournant majeur pour la cybersécurité en Europe. Destinée à renforcer et harmoniser la régulation en matière de sécurité des réseaux et des systèmes d’information, elle implique de nombreuses entreprises.
Découvrez comment effectuer la mise en conformité de votre entreprise avec cette nouvelle réglementation.
C’est quoi NIS 2 ?
Introduite en 2020, et récemment entrée en vigueur le 16 janvier 2023, la directive NIS 2 est une continuation et une expansion de la précédente directive de l’UE sur la cybersécurité, NIS. Elle a été proposée par la Commission Européenne pour remédier aux lacunes de la directive NIS initiale.
NIS 2 vise à renforcer la sécurité des réseaux et des systèmes d’information au sein de l’UE en exigeant des opérateurs d’infrastructures critiques et de services essentiels qu’ils mettent en œuvre des mesures de sécurité appropriées et qu’ils signalent tout incident aux autorités compétentes.
Par rapport à la NIS, la NIS2 étend ses exigences de sécurité à l’échelle de l’UE et élargit le champ des organisations et des secteurs couverts afin d’améliorer la sécurité des chaînes d’approvisionnement, de simplifier les obligations de notification et d’appliquer des mesures et des sanctions plus strictes dans toute l’Europe.
Qu’est-ce que ça veut dire NIS ? Définition !
NIS est l’acronyme de Network and Information Security Directive, soit en français directive sur la sécurité des réseaux et des systèmes.
Juillet 2016 : L’Europe établit la règlementation NIS
Avant de nous intéresser à NIS 2, petit retour en arrière en Juillet 2016. C’est à cette date que la directive sur la sécurité des réseaux et des systèmes d’information (NIS) a été établie. Cette directive visait à accroître la cyber-résilience dans l’ensemble de l’Union européenne par le biais de mesures réglementaires.
Elle met l’accent sur le renforcement des capacités de cybersécurité au niveau national, l’amélioration de la collaboration entre les États membres et l’intégration de la cybersécurité dans l’ADN des organisations. Les organisations qui doivent se conformer à la directive NIS sont au nombre de deux : les opérateurs de services essentiels et les fournisseurs de services numériques concernés ; nous reviendrons sur cette notion un peu plus tard dans cet article.
La directive NIS est en vigueur depuis plusieurs années et a déclenché un changement de mentalité dans l’approche institutionnelle et réglementaire de la cybersécurité. Néanmoins, elle a été confrontée à certains défis pour lesquels la législation n’a pas pu fournir une réponse appropriée, ce qui a entraîné une approche fragmentée au niveau des États membres.
Au cours des dernières années, l’expansion rapide du paysage numérique, causée par un large éventail de circonstances telles que l’enchaînement rapide des innovations, la pandémie, la composante de cyberguerre de l’invasion russe, etc., a assuré une croissance égale du paysage des menaces complexes conduisant à un nombre accru de cyber-attaques ciblant les organisations et les États membres.
En janvier 2023, l’Union Européenne a adopté une nouvelle version de la directive sur la sécurité des réseaux et de l’information. Cette « NIS2 » vise à faire passer l’UE à la vitesse supérieure et à établir un niveau plus élevé de cybersécurité et de résilience au sein des organisations de l’Union européenne.
Les États membres de l’UE devront transposer la NIS2 dans leur législation nationale d’ici le 17 octobre 2024. Les organisations devraient déjà commencer à préparer leur mise en conformité.
Quand est-ce que NIS 2 sera effective ?
Le 27 décembre 2022, la directive NIS 2 a été officiellement publiée dans le Journal Officiel de l’Union Européenne. Cette directive accorde une période de 21 mois à chaque pays membre de l’UE pour intégrer les diverses exigences réglementaires dans leur législation nationale. En conséquence, la mise en application de la NIS 2 en France est prévue au plus tard pour la deuxième moitié de l’année 2024 ; et très probablement au mois d’Octobre 2024.
Comment savoir si je suis concerné par NIS 2 ?
NIS 2 introduit un mécanisme de proportionnalité et définit deux catégories d’entités concernées : importantes et essentielles. Les entités des deux catégories devront répondre aux mêmes exigences. Toutefois, la distinction se fera au niveau des mesures de contrôle et des sanctions.
Les entités essentielles seront tenues de satisfaire aux exigences de surveillance à compter de l’introduction du NIS 2, tandis que les entités importantes seront soumises à une surveillance ex post. Ce qui signifie que si les autorités reçoivent des preuves de non-conformité, des mesures sont prises. NIS 2 a simplifié l’exercice de cadrage que les autorités compétentes doivent effectuer.
Une liste de secteurs d’activité a été définie et une règle de base de toute grande (effectif supérieur à 250 ou plus de 50 millions de chiffre d’affaires) ou moyenne (effectif supérieur à 50 ou plus de 10 millions de chiffre d’affaires) de ces secteurs sera directement incluse dans le périmètre.
Cependant, les petites ou micro-organisations ne sont pas nécessairement exclues. Les États membres peuvent étendre ces exigences si une entreprise remplit des critères spécifiques indiquant un rôle clé pour la société, l’économie ou pour des secteurs ou types de services particuliers.
Annexes 1 et 2 – Quels secteurs d’activité sont impactés par la directive ?
Pour être certain de savoir si vous êtes concerné par la directive NIS 2, les annexes 1 et 2 précisent les secteurs, sous secteurs et les types d’entité qui sont concernées.
- Secteurs d’activité présents dans NIS 1 : banques, énergie, fourniture et distribution d’eau potable, infrastructures de marchés financiers, infrastructures numériques, secteur de la santé et transports.
- Secteurs d’activité ajoutés à NIS 2 : administration publique, alimentation, chimie, eaux usées, espace, fabrication, fournisseurs numériques (comme les moteurs de recherche, les places de marché en ligne, les réseaux sociaux, les services d’informatique en cloud) gestion des déchets, recherche et services postaux et d’expédition.
Comment préparer votre organisation à NIS 2 ?
Une fois que vous avez déterminé que vous êtes couvert par NIS2, commencez par créer un aperçu de vos processus métier liés à la sécurité des informations. Cela vous permettra d’évaluer les risques dans chaque processus, afin d’avoir une idée de l’endroit où le risque d’incident grave est le plus élevé.
Vous n’êtes pas obligé de traiter tous ces domaines immédiatement, mais vous devez être en mesure de montrer aux autorités que vous disposez d’une feuille de route pertinente pour ceux qui ne sont pas encore sécurisés. Vous devez être en mesure de montrer que vous surveillez et traitez systématiquement toutes les cybermenaces qui surviennent.
Ce qui nous amène donc à nous pencher plus précisément sur vos obligations et les sanctions que vous risquez en cas de non respect de la directive.
Les obligations
Afin de renforcer la résilience de l’Europe face aux cybermenaces actuelles et futures, la directive NIS2 introduit de nouvelles exigences et obligations pour les organisations dans quatre domaines généraux : la gestion des risques, la responsabilité d’entreprise, les obligations de reporting et la continuité des activités.
- Gestion des risques : Pour se conformer à la nouvelle directive, les organisations doivent prendre des mesures pour minimiser les cyber-risques. Ces mesures comprennent la gestion des incidents, une sécurité renforcée de la chaîne d’approvisionnement, une sécurité renforcée du réseau, un meilleur contrôle d’accès et le cryptage.
- Responsabilité d’entreprise : NIS2 exige que la direction de l’entreprise supervise, approuve et soit formée aux mesures de cybersécurité de l’entité et traite les cyber-risques. Les violations peuvent entraîner des sanctions pour la direction, y compris une responsabilité et une éventuelle interdiction temporaire d’exercer des fonctions de direction.
- Obligations de déclaration : Les entités essentielles et importantes doivent avoir des processus en place pour signaler rapidement les incidents de sécurité ayant un impact significatif sur leur prestation de services ou leurs destinataires. NIS2 fixe des délais de notification spécifiques, comme une « alerte précoce » de 24 heures.
- Continuité de l’activité : Les organisations doivent planifier la manière dont elles entendent assurer la continuité de leurs activités en cas de cyberincidents majeurs. Ce plan doit inclure des considérations sur la récupération du système, les procédures d’urgence et la mise en place d’une équipe de réponse aux crises.
Mesures de sécurité de base et gestion des risques (article 21)
En plus des quatre domaines d’exigence généraux, NIS2 exige que les entités essentielles et importantes mettent en œuvre des mesures de sécurité de base pour faire face à des formes spécifiques de cybermenaces probables. Ceux-ci inclus :
- Évaluations des risques et politiques de sécurité des systèmes d’information ;
- Politiques et procédures d’évaluation de l’efficacité des mesures de sécurité ;
- Politiques et procédures d’utilisation de la cryptographie et, le cas échéant, du cryptage ;
- Un plan de gestion des incidents de sécurité ;
- Sécurité autour de l’approvisionnement en systèmes ainsi que du développement et de l’exploitation des systèmes. Cela signifie avoir des politiques pour gérer et signaler les vulnérabilités ;
- Formation en cybersécurité et pratique d’hygiène informatique de base ;
- Procédures de sécurité pour les employés ayant accès à des données sensibles ou importantes, y compris les politiques d’accès aux données. Les organisations concernées doivent également avoir une vue d’ensemble de tous les actifs pertinents et s’assurer qu’ils sont correctement utilisés et gérés ;
- Un plan de gestion des opérations commerciales pendant et après un incident de sécurité ;
- Cela signifie que les sauvegardes doivent être à jour. Il doit également y avoir un plan pour garantir l’accès aux systèmes informatiques et à leurs fonctions opérationnelles pendant et après un incident de sécurité ;
- L’utilisation de l’authentification multifacteur, de solutions d’authentification continue, du cryptage de la voix, de la vidéo et du texte et des communications d’urgence internes cryptées, le cas échéant ;
- Sécurité autour des chaînes d’approvisionnement et de la relation entre l’entreprise et le fournisseur direct. Les entreprises doivent choisir des mesures de sécurité adaptées aux vulnérabilités de chaque fournisseur direct. Ensuite, les entreprises doivent évaluer le niveau de sécurité global de tous les fournisseurs.
Les sanctions
Le NIS1 prévoyait des sanctions en cas de non-conformité par les OES et les DSP, tandis que le NIS2 introduit des sanctions plus strictes en cas de non-conformité ; notamment des amendes pouvant aller jusqu’à 10 % du chiffre d’affaires annuel d’une entité.
- Pour les entités essentielles : des amendes administratives pouvant aller jusqu’à 10 000 000 € ou au moins 2 % du chiffre d’affaires mondial annuel total de l’exercice précédent de la société à laquelle appartient l’entité essentielle ; le montant le plus élevé étant retenu.
- Pour les entités importantes : des amendes administratives pouvant aller jusqu’à 7 000 000 € ou au moins 1,4 % du chiffre d’affaires mondial annuel total de l’exercice précédent de la société à laquelle appartient l’entité importante ; le montant le plus élevé étant retenu.
Le rôle de contrôle de l’ANSSI
Ensuite, intéressons-nous à présent au rôle de l’ANSSI en France. Le contrôle du respect de la règlementation sera notamment assuré par l’ANSSI. L’Agence Nationale de la Sécurité des Systèmes d’Information, en plus de mettre à disposition des outils de diagnostiques, envisage de mettre en place un mécanisme de présomption de conformité pour les entités qui utilisent des services certifiés par l’ANSSI.
Le coût financier
Il est complexe de chiffre le coût financier de NIS2 pour les entreprises concernées compte tenu de la diversité des contextes. Chaque entité présente une situation unique en matière de sécurité numérique.
La progression de certains acteurs dans ce domaine contraste fortement avec les lacunes d’autres, nécessitant ainsi une approche personnalisée. Les facteurs influençant cette diversité incluent le degré de dépendance aux technologies numériques, le volume d’équipements numériques utilisés, ainsi que les ressources humaines dédiées à la cybersécurité.
La roadmap de NIS 2 de 2023 à 2027
- Adoption par le Parlement européen le 10 novembre 2022 ;
- Publication au Journal Officiel de l’Union européenne le 27 décembre 2022 ;
- Entrée en vigueur de NIS 2 le 16 Janvier 2023 ;
- Premier rapport du Cyber Crisis Liaison Organisation Network (EU-CyCLONe) le 17 Juillet 2024 ;
- Adoption et publication des mesures pour se conformer à la directive NIS 2 par les Etats Membres le 17 Octobre 2024 ;
- Evaluation par le réseau des CSIRT des progrès réalisés en matière de coopération opérationnelle le 17 Janvier 2025 ;
- Etablissement d’une liste d’entités essentielles et importantes par les États Membres le 17 Avril 2025 ;
- Révision de la directive le 17 Octobre 2027.
Projet de texte de loi français : transposition de la directive NIS 2 et régulation
Comme l’indique la roadmap ci-dessus, la transposition de la directive NIS 2 dans le droit national doit intervenir au plus tard le 18 octobre 2024. C’est à ce moment là que nous connaitrons précisément le cadre juridique tenu par la France pour les entités essentielles et importantes.
Mais les entreprises ne doivent pas attendre cette date et le projet de loi pour débuter leur mise en conformité. Compte tenu de l’ampleur de la tâche, du changement majeur que cela implique pour nombre d’entre elles, mieux vaut entamer dès à présent une démarche proactive et déterminer dès à présent leur niveau de maturité en matière de cybersécurité.
Pouvons-nous vous aider ?
EXTER est prêt à aider votre entreprise à se préparer à NIS2. Que vous ayez besoin d’une analyse de ce qu’il vous manque afin de vous conformer à la législation, d’une évaluation des risques de votre cybersécurité ou de la mise en œuvre de systèmes tels que la cybersécurité Zero Trust, les experts en sécurité de EXTER peuvent vous aider pour votre mise en conformité.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !