Image mise en avant pour l'article

Directive NIS 2 : renforcer la cybersécurité en Europe

3 octobre 2024
Stratégie Digitale - Actualités du digital - Sécurité web
La directive NIS 2 marque un tournant pour la cybersécurité en Europe. Face aux menaces croissantes, elle renforce les mesures de protection des réseaux et systèmes d'information. Découvrez comment cette réglementation impacte votre entreprise et les étapes pour garantir votre conformité.


Évolution majeure de la directive NIS, qui réglementait jusqu'ici la cybersécurité en Europe, la directive NIS 2 met un grand coup de pied dans la fourmilière. En effet, NIS ne concernait que 300 entités en France, alors que NIS 2 élargit son champ d'action au point de multiplier par 20 ou 30 le nombre d'entreprises concernées. Pourquoi un tel changement ? Pour faire simple, il s'agit à la fois d'établir un niveau de sécurité homogène au sein de l'Europe, qui englobe aussi bien les administrations que les sociétés de toute taille, et de passer d'une approche réactive à une stratégie proactive. En bref, NIS 2 renforce les acquis de la NIS pour davantage de sécurité.

Entrée en vigueur le 16 janvier 2023, de nombreuses incertitudes demeurent quant à la transposition de la directive NIS 2 en droit national français. Une certitude s'impose néanmoins avec l'introduction de sanctions financières pour les entités en défaut, ce qui souligne l'urgence pour les organisations de se préparer à ce nouveau cadre réglementaire. On fait le point.

llustration de cybersécurité montrant des symboles technologiques avec un cadenas représentant la protection des données.

Contexte et nécessité de la directive NIS 2

Depuis 2016, la première version de la directive sur la Sécurité des Réseaux et des Systèmes d’Information (NIS) a renforcé la sécurité des opérateurs de services essentiels et des fournisseurs de services numériques. Cependant, l'évolution rapide des technologies et des menaces a mis en évidence ses limites. Pour répondre à ces défis, l'Union européenne a adopté une deuxième version de la directive NIS - Network and Information Systems Security Directive - en décembre 2022, à savoir NIS 2.

Celle-ci prévoit un délai de 21 mois pour que chaque État membre de l’UE transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France le 17 octobre 2024, au plus tard. Certaines exigences seront appliquées directement et d’autres devraient être soumises à un délai de mise en conformité.

Cette mise à jour vise à améliorer la coopération entre États membres sur le sujet, à renforcer la résilience des infrastructures critiques et à protéger les services essentiels et numériques.

Où en est la France ?

Dans le cadre européen, la France a une maturité de niveau 3. Elle est donc clairement avancée législativement quant à ce sujet.

Carte de l'Europe montrant différents niveaux de maturité dans la transposition des projets de loi, classés en 4 niveaux de maturité par pays.

L’ANSSI a privilégié une méthode participative qui implique des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS, etc.).

Un travail de mise en cohérence de la transposition de NIS avec celle de la REC (Résilience des Entités Critiques) est prévu par les autorités afin de clarifier le cadre réglementaire des organisations concernées par les deux lois.

 

Principales dispositions de la directive NIS 2

Dans la directive NIS 1, les États membres étaient responsables de nommer individuellement, au sein de leur périmètre national, les opérateurs soumis à la directive. NIS 2 vient supprimer ce mécanisme de désignation afin d’augmenter la résilience de l’ensemble des acteurs d’un même secteur d’activité.

Avec la directive NIS 2, une entité est qualifiée d’essentielle ou d’importante sur la base de deux critères :

  • La taille de l’entité (nombre d’employés, chiffre d’affaires, bilan annuel) ;
  • La criticité du secteur d’activité : à quel type d’entités renvoient les activités réalisées par l’entité ?

Tableau présentant les critères NIS2 : taille de l'entité, nombre d'employés, chiffre d'affaires, bilan annuel, secteurs hautement critiques et autres secteurs critiques pour différentes tailles d'entreprises (intermédiaire et grande, moyenne, micro et petite).

Des exceptions sont prévues : NIS 2 autorise les États membres à inclure et exclure, si nécessaire, des acteurs indépendamment de ces deux critères (situation de monopole, service essentiel transfrontalier, service particulièrement critique pour l’État membre, etc.).

Les impacts sur les entreprises

Comme nous venons de le voir, la directive NIS 2 change la donne et s’applique désormais à bien plus d’entreprises que par le passé. Mais à quels secteurs appartiennent-elles exactement ? Et surtout, en quoi consistent leurs nouvelles obligations ? Voyons cela ensemble.

Qui est concerné par la directive NIS 2 ?

La directive NIS 2 distingue deux catégories d’entités, régulées en fonction de leur niveau de criticité, du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille : les entités essentielles (EE) et les entités importantes (EI).

Illustration indiquant « Plus de 10 000 entités concernées sur 18 secteurs », avec des icônes pour collectivités territoriales, administrations publiques, moyennes et grandes entreprises.

Ces deux catégories couvrent un large éventail de secteurs. Par exemple, les entités essentielles comprennent :

Illustration montrant les « Secteurs et sous-secteurs d’activités essentielles » avec des icônes pour l’énergie, les transports, la santé, l’espace, l’eau potable, les eaux usées, l'administration publique, l’infrastructure numérique, les banques, les infrastructures des marchés financiers, et la gestion des services TIC. Les secteurs ajoutés par la directive NIS 2 sont marqués d'un signe plus vert.

Quant aux entités importantes, elles ne sont pas en reste :

Illustration présentant les « Secteurs et sous-secteurs d’activités importantes », avec des icônes pour les services postaux, la gestion des déchets, les places de marché en ligne, la recherche, la fabrication chimique, alimentaire et automobile. Les secteurs ajoutés par la directive NIS 2 sont marqués d'un signe plus vert.

À noter que pour ces dernières, un certain nombre d’autres secteurs ont été ajoutés par la directive NIS 2.

Les nouvelles obligations

La directive NIS 2 introduit des exigences plus spécifiques et détaillées en matière de sécurité, y compris des mesures techniques et organisationnelles, et des obligations de gouvernance et de gestion des risques plus strictes.

En ce qui concerne la conformité et la réglementation, les entités doivent respecter toutes les obligations légales. Parmi les changements majeurs, on note entre autres l’obligation de signaler rapidement les incidents de sécurité qualifiés « d’importants » aux autorités compétentes (CSIRT, autorité nationale).

Signalons qu’un incident important est défini comme un incident qui :

  • A causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
  • A affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Le délai et le format de notification des incidents sont également précisés par NIS 2. NIS 1 n’imposait jusque-là aucun délai précis (en dehors de signaler l’incident « le plus rapidement possible ») ni format de notification particulier.

Illustration d'une chronologie de gestion d'incident de sécurité, avec quatre étapes : Alerte précoce (24h), Notification d'incident (72h), Rapport intermédiaire, et Rapport final (1 mois). Chaque étape contient des détails sur les actions à entreprendre, incluant la gravité de l'incident, les mises à jour de la situation et la description détaillée dans le rapport final.

Les contrôles

Afin de renforcer le rôle des autorités compétentes dans la mise en place de ces mesures, le texte définit un nouveau schéma de contrôle minimum et commun à l’ensemble de l’UE.

Les EE pourront ainsi connaître deux types de contrôles :

  • Des contrôles ex ante qui font référence à la prise de mesures de contrôle à l’avance ;
  • Des contrôles ex post qui font référence à la prise de mesures de contrôle lorsqu’il existe des preuves ou des indications qu’une entité ne satisfait pas aux exigences en matière de cybersécurité et de notification d’incidents.

Les EI, quant à elles, ne pourront être soumises qu’à des contrôles ex post.

Les modalités des contrôles ex ante restent à définir au sein des transpositions, mais le texte précise que ces derniers seront basés sur des critères objectifs, non discriminatoires et transparents.

Les responsabilités

Enfin, la directive NIS 2 introduit une responsabilité individuelle accrue en ce qui concerne les conseils d’administration et de direction, les dirigeants pourront être tenus personnellement responsables en cas de non-respect grave des exigences.

Illustration décrivant les sanctions en cas de violation de l'obligation de notification d'un incident ou des mesures de cybersécurité, distinguant les entités essentielles (suspension des certifications, interdiction temporaire de direction, amendes jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires) et les entités importantes (amendes jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires).

En renforçant ces responsabilités, la directive NIS 2 veut intégrer la cybersécurité dans la stratégie globale des entités, de même qu’assurer une meilleure préparation et apporter une réponse plus efficace aux cybermenaces.

Les conséquences en cas de non-conformité

NIS 2 renforce les pouvoirs des autorités nationales pour surveiller, enquêter et imposer des sanctions. De plus, cette directive favorise une coopération plus étroite entre les États membres de l'UE.

N’hésitez pas à télécharger le document paru au journal officiel de l’Union européenne pour aller plus loin dans votre compréhension.

En parallèle, l’ANSSI développe de nouveaux outils, avec notamment la création du service numérique « MonEspaceNIS2 » dont la vocation est d’accompagner les assujettis dans leur mise en conformité à la directive. Ce service s’étoffera au fil du temps pour proposer des services pertinents pour les entités. L’ANSSI souhaite en effet capitaliser sur ses actions historiques de conseil, de sensibilisation et d’assistance opérationnelle.

En matière de conformité, la directive NIS 2 prévoit un renforcement des sanctions par rapport à NIS 1. Elle s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée.

Selon l'article 36 de la directive, les États membres doivent établir un régime de sanctions pour les violations des dispositions nationales adoptées en conformité avec la directive, en sachant que ces sanctions doivent être effectives, proportionnées et dissuasives. La directive souligne principalement les sanctions administratives sans préciser leur nature exacte ni toutes les articulations possibles.

Il ne faut pas oublier que la cybersécurité ne se limite pas à respecter des réglementations et éviter des sanctions. Il est crucial pour les entreprises de protéger leurs données sensibles, celles de leurs clients, ainsi que leur réputation. En investissant dans la cybersécurité, les entreprises peuvent se prémunir de pertes financières significatives, maintenir la confiance de leurs clients et partenaires, et assurer la continuité de leurs activités face à des menaces de plus en plus sophistiquées. Protéger les données personnelles et les informations stratégiques devient ainsi une priorité réglementaire, mais également commerciale et éthique.

 

Nos conseils pratiques pour se mettre en conformité

L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes entreprises qui intégreront le périmètre, le guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Pour les autres, cette page peut vous aider à vérifier si vous êtes concernés.

Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre.

En outre, les futures exigences de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et déjà entrepris par les opérateurs seront valorisés dans NIS 2. Un guide avait déjà été rédigé par l’ANSSI en 2020 pour accompagner la mise en œuvre technique des règles 7 à 16, relatives à la protection des réseaux et systèmes d'information. Ce guide s’adresse en particulier aux opérateurs de services essentiels, pour mettre leurs systèmes d’information en conformité avec ces règles de sécurité. Il peut aussi servir aux fournisseurs de services numériques (FSN) pour définir et mettre en œuvre leurs propres mesures de sécurité.

Pour se conformer à la directive NIS 2, les entreprises doivent d’abord se concentrer sur l’évaluation des risques et la réalisation d'audits réguliers. Il est essentiel de mener une analyse approfondie des vulnérabilités et de procéder à des audits de sécurité pour identifier et corriger les faiblesses potentielles.

La formation et la sensibilisation jouent également un rôle clé, car promouvoir une culture de cybersécurité au sein de l’organisation est indispensable. Les entités concernées par NIS 2 doivent mettre en place des programmes de formation et de sensibilisation pour leur personnel afin de renforcer la cybersécurité. Cela inclut la formation régulière sur les meilleures pratiques en matière de sécurité, la gestion des risques, et la réponse aux incidents. La directive insiste sur l’importance de maintenir un niveau élevé de sensibilisation à la cybersécurité au sein des organisations, afin de minimiser les risques liés aux erreurs humaines et aux comportements inappropriés.

Ensuite, il est crucial de mettre en place des politiques de sécurité robustes. Cela inclut l’élaboration et la mise à jour continue des politiques de cybersécurité, afin de garantir que toutes les procédures d’urgence et de réponses aux incidents soient bien définies et suivies.

Ce qu’il faut retenir sur l’application de la directive NIS 2

D’après le rapport global des risques de 2023, les cyberattaques sont classées dans le top 5 des risques les plus sévères à court et long terme pour les entreprises. La directive NIS 2 représente ainsi une avancée majeure pour la cybersécurité en Europe, en imposant des mesures plus strictes pour protéger les infrastructures critiques et les services numériques.

En investissant dans une solide stratégie de cybersécurité et en protégeant leurs données sensibles, les entreprises évitent des pertes financières et maintiennent un avantage concurrentiel. Dans le même temps, elles assurent la continuité de leurs opérations et renforce la confiance de leurs clients. Mais avant d’en arriver là, elles doivent se préparer en adoptant de bonnes pratiques de cybersécurité et en se conformant aux nouvelles exigences.

Si vous souhaitez vous mettre en conformité dans les règles de l’art, n’hésitez plus et contactez Adimeo. Nos experts sont là pour vous conseiller et vous accompagner tout au long du processus.

Crédit photo : Funtap

Image mise en avant pour l'article
Charlotte Baraudon
Consultante Conseil • Pôle Conseil
RGPD : Toutes les bonnes pratiques pour se mettre en conformité
Télécharger l'e-book
Webinar
Cybersécurité : comment prévenir les cyberattaques sur votre site web ?
Voir le webinar
Vous souhaitez être conseillé ou accompagné dans votre projet de transformation digitale ?
Tout au long de votre projet, nos experts vous conseillent et vous accompagnent. Pour obtenir plus d'information, contactez-nous !
Contactez-nous