Contactez-nous
Logo Adiméo

Découvrez nos domaines d'expertise pour vous accompagner dans vos projets :

Découvrez nos publications :

Image mise en avant pour l'article
Accueil Blog Stratégie Digitale Directive NIS 2 : renforcer la cybersécurité en Europe

Directive NIS 2 : renforcer la cybersécurité en Europe

3 octobre 2024
Stratégie Digitale - Actualités du digital - Sécurité web
La directive NIS 2 marque un tournant pour la cybersécurité en Europe. Face aux menaces croissantes, elle renforce les mesures de protection des réseaux et systèmes d'information. Découvrez comment cette réglementation impacte votre entreprise et les étapes pour garantir votre conformité.


Évolution majeure de la directive NIS, qui réglementait jusqu'ici la cybersécurité en Europe, la directive NIS 2 met un grand coup de pied dans la fourmilière. En effet, NIS ne concernait que 300 entités en France, alors que NIS 2 élargit son champ d'action au point de multiplier par 20 ou 30 le nombre d'entreprises concernées. Pourquoi un tel changement ? Pour faire simple, il s'agit à la fois d'établir un niveau de sécurité homogène au sein de l'Europe, qui englobe aussi bien les administrations que les sociétés de toute taille, et de passer d'une approche réactive à une stratégie proactive. En bref, NIS 2 renforce les acquis de la NIS pour davantage de sécurité.

Entrée en vigueur le 16 janvier 2023, de nombreuses incertitudes demeurent quant à la transposition de la directive NIS 2 en droit national français. Une certitude s'impose néanmoins avec l'introduction de sanctions financières pour les entités en défaut, ce qui souligne l'urgence pour les organisations de se préparer à ce nouveau cadre réglementaire. On fait le point.

llustration de cybersécurité montrant des symboles technologiques avec un cadenas représentant la protection des données.

Contexte et nécessité de la directive NIS 2

Depuis 2016, la première version de la directive sur la Sécurité des Réseaux et des Systèmes d’Information (NIS) a renforcé la sécurité des opérateurs de services essentiels et des fournisseurs de services numériques. Cependant, l'évolution rapide des technologies et des menaces a mis en évidence ses limites. Pour répondre à ces défis, l'Union européenne a adopté une deuxième version de la directive NIS - Network and Information Systems Security Directive - en décembre 2022, à savoir NIS 2.

Celle-ci prévoit un délai de 21 mois pour que chaque État membre de l’UE transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France le 17 octobre 2024, au plus tard. Certaines exigences seront appliquées directement et d’autres devraient être soumises à un délai de mise en conformité.

Cette mise à jour vise à améliorer la coopération entre États membres sur le sujet, à renforcer la résilience des infrastructures critiques et à protéger les services essentiels et numériques.

Où en est la France ?

Dans le cadre européen, la France a une maturité de niveau 3. Elle est donc clairement avancée législativement quant à ce sujet.

Carte de l'Europe montrant différents niveaux de maturité dans la transposition des projets de loi, classés en 4 niveaux de maturité par pays.

L’ANSSI a privilégié une méthode participative qui implique des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS, etc.).

Un travail de mise en cohérence de la transposition de NIS avec celle de la REC (Résilience des Entités Critiques) est prévu par les autorités afin de clarifier le cadre réglementaire des organisations concernées par les deux lois.

 

Principales dispositions de la directive NIS 2

Avec l’arrivée de la directive NIS 2, le paysage de la cybersécurité change en profondeur. Contrairement à la première version du texte, où chaque État membre devait identifier manuellement les entités concernées, NIS 2 met fin à cette logique de désignation individuelle. Mais pourquoi ? Tout simplement pour harmoniser les exigences à l’échelle européenne et renforcer la sécurité globale dans les secteurs sensibles.

Désormais, le statut d’une entité (classée comme « essentielle » ou « importante ») repose sur une double analyse :

  • D’une part, ses caractéristiques économiques (effectif, chiffre d’affaires, bilan) ;
  • D’autre part, le niveau de sensibilité de ses activités vis-à-vis des fonctions vitales de la société.

Tableau présentant les critères NIS2 : taille de l'entité, nombre d'employés, chiffre d'affaires, bilan annuel, secteurs hautement critiques et autres secteurs critiques pour différentes tailles d'entreprises (intermédiaire et grande, moyenne, micro et petite).

Certaines situations particulières permettent cependant aux États de s’écarter de cette grille d’évaluation. C’est par exemple le cas s’il y a monopole et s’il s’agit d’un service critique pour la sécurité nationale ou d’une prestation transfrontalière vitale. Dans ces différentes situations, une entité peut être incluse ou écartée, même si elle ne remplit pas les critères standards.

Les impacts sur les entreprises

Comme nous venons de le voir, la directive NIS 2 change la donne et s’applique désormais à bien plus d’entreprises que par le passé. Mais à quels secteurs appartiennent-elles exactement ? Et surtout, en quoi consistent leurs nouvelles obligations ? Voyons cela ensemble.

Qui est concerné par la directive NIS 2 ?

La directive NIS 2 distingue deux catégories d’entités, régulées en fonction de leur niveau de criticité, du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille : les entités essentielles (EE) et les entités importantes (EI).

Illustration indiquant « Plus de 10 000 entités concernées sur 18 secteurs », avec des icônes pour collectivités territoriales, administrations publiques, moyennes et grandes entreprises.

Ces deux catégories couvrent un large éventail de secteurs. Par exemple, les entités essentielles comprennent :

Illustration montrant les « Secteurs et sous-secteurs d’activités essentielles » avec des icônes pour l’énergie, les transports, la santé, l’espace, l’eau potable, les eaux usées, l'administration publique, l’infrastructure numérique, les banques, les infrastructures des marchés financiers, et la gestion des services TIC. Les secteurs ajoutés par la directive NIS 2 sont marqués d'un signe plus vert.

Quant aux entités importantes, elles ne sont pas en reste :

Illustration présentant les « Secteurs et sous-secteurs d’activités importantes », avec des icônes pour les services postaux, la gestion des déchets, les places de marché en ligne, la recherche, la fabrication chimique, alimentaire et automobile. Les secteurs ajoutés par la directive NIS 2 sont marqués d'un signe plus vert.

À noter que pour ces dernières, un certain nombre d’autres secteurs ont été ajoutés par la directive NIS 2.

Les nouvelles obligations

La directive NIS 2 introduit des exigences plus spécifiques et détaillées en matière de sécurité, y compris des mesures techniques et organisationnelles, et des obligations de gouvernance et de gestion des risques plus strictes.

Sur le plan réglementaire, les structures concernées par NIS 2 doivent se conformer à un ensemble d’exigences renforcées. L’un des points clés introduits par cette nouvelle directive est notamment l’obligation de notifier, sans délai, les incidents majeurs de cybersécurité aux autorités compétentes (CSIRT ou autorité nationale désignée).

Mais qu’entend-on exactement par « incident majeur » ? Pour faire simple, il s’agit d’un événement ayant provoqué, ou pouvant provoquer :

  • une interruption sérieuse des activités de l’organisation ou des pertes économiques significatives ;
  • des conséquences lourdes pour des tiers, telles que des atteintes physiques, matérielles ou psychologiques.

NIS 2 va même plus loin que la version précédente, en fixant un cadre strict pour ces notifications : délais précis, formats normalisés, etc. Autant d’éléments qui ont pour but de fluidifier les échanges d’informations et de mieux anticiper les risques systémiques.

Illustration d'une chronologie de gestion d'incident de sécurité, avec quatre étapes : Alerte précoce (24h), Notification d'incident (72h), Rapport intermédiaire, et Rapport final (1 mois). Chaque étape contient des détails sur les actions à entreprendre, incluant la gravité de l'incident, les mises à jour de la situation et la description détaillée dans le rapport final.

Les contrôles

Pour garantir une application cohérente des obligations en matière de cybersécurité, la directive NIS 2 introduit un cadre de contrôle harmonisé à l’échelle européenne. Désormais, les autorités compétentes disposent d’un pouvoir renforcé pour superviser les entités concernées.

Les entités dites essentielles (EE) peuvent ainsi faire l’objet de deux types de vérifications :

  • avant même qu’un manquement ne soit constaté, par le biais de contrôles préventifs destinés à évaluer leur niveau de préparation ;
  • après la survenue d’un incident ou en cas de doute sérieux, via des contrôles réactifs qui ciblent spécifiquement les éventuelles failles de conformité.

Attention, les entités importantes (EI) ne seront soumises qu’à des contrôles a posteriori, c’est-à-dire uniquement lorsque des éléments concrets justifient une intervention.

Bon à savoir : Les modalités exactes des contrôles préventifs seront précisées dans les lois nationales de transposition. Toutefois, NIS 2 encadre déjà leur mise en œuvre puisqu’elles devront respecter des principes de transparence, d’équité et d’objectivité.

Les responsabilités

Enfin, la directive NIS 2 introduit une responsabilité individuelle accrue en ce qui concerne les conseils d’administration et de direction, les dirigeants pourront être tenus personnellement responsables en cas de non-respect grave des exigences.

Illustration décrivant les sanctions en cas de violation de l'obligation de notification d'un incident ou des mesures de cybersécurité, distinguant les entités essentielles (suspension des certifications, interdiction temporaire de direction, amendes jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires) et les entités importantes (amendes jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires).

En renforçant ces responsabilités, la directive NIS 2 veut intégrer la cybersécurité dans la stratégie globale des entités, de même qu’assurer une meilleure préparation et apporter une réponse plus efficace aux cybermenaces.

Les conséquences en cas de non-conformité

NIS 2 renforce les pouvoirs des autorités nationales pour surveiller, enquêter et imposer des sanctions. De plus, cette directive favorise une coopération plus étroite entre les États membres de l'UE.

N’hésitez pas à télécharger le document paru au journal officiel de l’Union européenne pour aller plus loin dans votre compréhension.

En parallèle, l’ANSSI développe de nouveaux outils, avec notamment la création du service numérique « MonEspaceNIS2 » dont la vocation est d’accompagner les assujettis dans leur mise en conformité à la directive. Ce service s’étoffera au fil du temps pour proposer des services pertinents pour les entités. L’ANSSI souhaite en effet capitaliser sur ses actions historiques de conseil, de sensibilisation et d’assistance opérationnelle.

En matière de conformité, la directive NIS 2 prévoit un renforcement des sanctions par rapport à NIS 1. Elle s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée.

Selon l'article 36 de la directive, les États membres doivent établir un régime de sanctions pour les violations des dispositions nationales adoptées en conformité avec la directive, en sachant que ces sanctions doivent être effectives, proportionnées et dissuasives. La directive souligne principalement les sanctions administratives sans préciser leur nature exacte ni toutes les articulations possibles.

Il ne faut pas oublier que la cybersécurité ne se limite pas à respecter des réglementations et éviter des sanctions. Il est crucial pour les entreprises de protéger leurs données sensibles, celles de leurs clients, ainsi que leur réputation. En investissant dans la cybersécurité, les entreprises peuvent se prémunir de pertes financières significatives, maintenir la confiance de leurs clients et partenaires, et assurer la continuité de leurs activités face à des menaces de plus en plus sophistiquées. Protéger les données personnelles et les informations stratégiques devient ainsi une priorité réglementaire, mais également commerciale et éthique.

 

Nos conseils pratiques pour se mettre en conformité

L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes entreprises qui intégreront le périmètre, le guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Pour les autres, cette page peut vous aider à vérifier si vous êtes concernés.

Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre.

En outre, les futures exigences de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et déjà entrepris par les opérateurs seront valorisés dans NIS 2. Un guide avait déjà été rédigé par l’ANSSI en 2020 pour accompagner la mise en œuvre technique des règles 7 à 16, relatives à la protection des réseaux et systèmes d'information. Ce guide s’adresse en particulier aux opérateurs de services essentiels, pour mettre leurs systèmes d’information en conformité avec ces règles de sécurité. Il peut aussi servir aux fournisseurs de services numériques (FSN) pour définir et mettre en œuvre leurs propres mesures de sécurité.

Pour se conformer à la directive NIS 2, les entreprises doivent d’abord se concentrer sur l’évaluation des risques et la réalisation d'audits réguliers. Il est essentiel de mener une analyse approfondie des vulnérabilités et de procéder à des audits de sécurité pour identifier et corriger les faiblesses potentielles.

La formation et la sensibilisation jouent également un rôle clé, car promouvoir une culture de cybersécurité au sein de l’organisation est indispensable. Les entités concernées par NIS 2 doivent mettre en place des programmes de formation et de sensibilisation pour leur personnel afin de renforcer la cybersécurité. Cela inclut la formation régulière sur les meilleures pratiques en matière de sécurité, la gestion des risques, et la réponse aux incidents. La directive insiste sur l’importance de maintenir un niveau élevé de sensibilisation à la cybersécurité au sein des organisations, afin de minimiser les risques liés aux erreurs humaines et aux comportements inappropriés.

Ensuite, il est crucial de mettre en place des politiques de sécurité robustes. Cela inclut l’élaboration et la mise à jour continue des politiques de cybersécurité, afin de garantir que toutes les procédures d’urgence et de réponses aux incidents soient bien définies et suivies.

Ce qu’il faut retenir sur l’application de la directive NIS 2

D’après le rapport global des risques de 2023, les cyberattaques sont classées dans le top 5 des risques les plus sévères à court et long terme pour les entreprises. La directive NIS 2 représente ainsi une avancée majeure pour la cybersécurité en Europe, en imposant des mesures plus strictes pour protéger les infrastructures critiques et les services numériques.

En investissant dans une solide stratégie de cybersécurité et en protégeant leurs données sensibles, les entreprises évitent des pertes financières et maintiennent un avantage concurrentiel. Dans le même temps, elles assurent la continuité de leurs opérations et renforce la confiance de leurs clients. Mais avant d’en arriver là, elles doivent se préparer en adoptant de bonnes pratiques de cybersécurité et en se conformant aux nouvelles exigences.

Si vous souhaitez vous mettre en conformité dans les règles de l’art, n’hésitez plus et contactez Adimeo. Nos experts sont là pour vous conseiller et vous accompagner tout au long du processus.

Crédit photo : Funtap
Image mise en avant pour l'article
Charlotte Baraudon
Consultante Conseil • Pôle Conseil
RGPD : Toutes les bonnes pratiques pour se mettre en conformité
Télécharger l'e-book
Webinar
Cybersécurité : comment prévenir les cyberattaques sur votre site web ?
Voir le webinar
Vous souhaitez être conseillé ou accompagné dans votre projet de transformation digitale ?
Tout au long de votre projet, nos experts vous conseillent et vous accompagnent. Pour obtenir plus d'information, contactez-nous !
Contactez-nous
Ces articles peuvent vous intéresser