
Directive NIS 2 : renforcer la cybersécurité en Europe
Évolution majeure de la directive NIS, qui réglementait jusqu'ici la cybersécurité en Europe, la directive NIS 2 met un grand coup de pied dans la fourmilière. En effet, NIS ne concernait que 300 entités en France, alors que NIS 2 élargit son champ d'action au point de multiplier par 20 ou 30 le nombre d'entreprises concernées. Pourquoi un tel changement ? Pour faire simple, il s'agit à la fois d'établir un niveau de sécurité homogène au sein de l'Europe, qui englobe aussi bien les administrations que les sociétés de toute taille, et de passer d'une approche réactive à une stratégie proactive. En bref, NIS 2 renforce les acquis de la NIS pour davantage de sécurité.
Entrée en vigueur le 16 janvier 2023, de nombreuses incertitudes demeurent quant à la transposition de la directive NIS 2 en droit national français. Une certitude s'impose néanmoins avec l'introduction de sanctions financières pour les entités en défaut, ce qui souligne l'urgence pour les organisations de se préparer à ce nouveau cadre réglementaire. On fait le point.
Contexte et nécessité de la directive NIS 2
Depuis 2016, la première version de la directive sur la Sécurité des Réseaux et des Systèmes d’Information (NIS) a renforcé la sécurité des opérateurs de services essentiels et des fournisseurs de services numériques. Cependant, l'évolution rapide des technologies et des menaces a mis en évidence ses limites. Pour répondre à ces défis, l'Union européenne a adopté une deuxième version de la directive NIS - Network and Information Systems Security Directive - en décembre 2022, à savoir NIS 2.
Celle-ci prévoit un délai de 21 mois pour que chaque État membre de l’UE transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France le 17 octobre 2024, au plus tard. Certaines exigences seront appliquées directement et d’autres devraient être soumises à un délai de mise en conformité.
Cette mise à jour vise à améliorer la coopération entre États membres sur le sujet, à renforcer la résilience des infrastructures critiques et à protéger les services essentiels et numériques.
Où en est la France ?
Dans le cadre européen, la France a une maturité de niveau 3. Elle est donc clairement avancée législativement quant à ce sujet.
L’ANSSI a privilégié une méthode participative qui implique des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS, etc.).
Un travail de mise en cohérence de la transposition de NIS avec celle de la REC (Résilience des Entités Critiques) est prévu par les autorités afin de clarifier le cadre réglementaire des organisations concernées par les deux lois.
Principales dispositions de la directive NIS 2
Dans la directive NIS 1, les États membres étaient responsables de nommer individuellement, au sein de leur périmètre national, les opérateurs soumis à la directive. NIS 2 vient supprimer ce mécanisme de désignation afin d’augmenter la résilience de l’ensemble des acteurs d’un même secteur d’activité.
Avec la directive NIS 2, une entité est qualifiée d’essentielle ou d’importante sur la base de deux critères :
- La taille de l’entité (nombre d’employés, chiffre d’affaires, bilan annuel) ;
- La criticité du secteur d’activité : à quel type d’entités renvoient les activités réalisées par l’entité ?
Des exceptions sont prévues : NIS 2 autorise les États membres à inclure et exclure, si nécessaire, des acteurs indépendamment de ces deux critères (situation de monopole, service essentiel transfrontalier, service particulièrement critique pour l’État membre, etc.).
Les impacts sur les entreprises
Comme nous venons de le voir, la directive NIS 2 change la donne et s’applique désormais à bien plus d’entreprises que par le passé. Mais à quels secteurs appartiennent-elles exactement ? Et surtout, en quoi consistent leurs nouvelles obligations ? Voyons cela ensemble.
Qui est concerné par la directive NIS 2 ?
La directive NIS 2 distingue deux catégories d’entités, régulées en fonction de leur niveau de criticité, du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille : les entités essentielles (EE) et les entités importantes (EI).
Ces deux catégories couvrent un large éventail de secteurs. Par exemple, les entités essentielles comprennent :
Quant aux entités importantes, elles ne sont pas en reste :
À noter que pour ces dernières, un certain nombre d’autres secteurs ont été ajoutés par la directive NIS 2.
Les nouvelles obligations
La directive NIS 2 introduit des exigences plus spécifiques et détaillées en matière de sécurité, y compris des mesures techniques et organisationnelles, et des obligations de gouvernance et de gestion des risques plus strictes.
En ce qui concerne la conformité et la réglementation, les entités doivent respecter toutes les obligations légales. Parmi les changements majeurs, on note entre autres l’obligation de signaler rapidement les incidents de sécurité qualifiés « d’importants » aux autorités compétentes (CSIRT, autorité nationale).
Signalons qu’un incident important est défini comme un incident qui :
- A causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
- A affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
Le délai et le format de notification des incidents sont également précisés par NIS 2. NIS 1 n’imposait jusque-là aucun délai précis (en dehors de signaler l’incident « le plus rapidement possible ») ni format de notification particulier.
Les contrôles
Afin de renforcer le rôle des autorités compétentes dans la mise en place de ces mesures, le texte définit un nouveau schéma de contrôle minimum et commun à l’ensemble de l’UE.
Les EE pourront ainsi connaître deux types de contrôles :
- Des contrôles ex ante qui font référence à la prise de mesures de contrôle à l’avance ;
- Des contrôles ex post qui font référence à la prise de mesures de contrôle lorsqu’il existe des preuves ou des indications qu’une entité ne satisfait pas aux exigences en matière de cybersécurité et de notification d’incidents.
Les EI, quant à elles, ne pourront être soumises qu’à des contrôles ex post.
Les modalités des contrôles ex ante restent à définir au sein des transpositions, mais le texte précise que ces derniers seront basés sur des critères objectifs, non discriminatoires et transparents.
Les responsabilités
Enfin, la directive NIS 2 introduit une responsabilité individuelle accrue en ce qui concerne les conseils d’administration et de direction, les dirigeants pourront être tenus personnellement responsables en cas de non-respect grave des exigences.
En renforçant ces responsabilités, la directive NIS 2 veut intégrer la cybersécurité dans la stratégie globale des entités, de même qu’assurer une meilleure préparation et apporter une réponse plus efficace aux cybermenaces.
Les conséquences en cas de non-conformité
NIS 2 renforce les pouvoirs des autorités nationales pour surveiller, enquêter et imposer des sanctions. De plus, cette directive favorise une coopération plus étroite entre les États membres de l'UE.
N’hésitez pas à télécharger le document paru au journal officiel de l’Union européenne pour aller plus loin dans votre compréhension.
En parallèle, l’ANSSI développe de nouveaux outils, avec notamment la création du service numérique « MonEspaceNIS2 » dont la vocation est d’accompagner les assujettis dans leur mise en conformité à la directive. Ce service s’étoffera au fil du temps pour proposer des services pertinents pour les entités. L’ANSSI souhaite en effet capitaliser sur ses actions historiques de conseil, de sensibilisation et d’assistance opérationnelle.
En matière de conformité, la directive NIS 2 prévoit un renforcement des sanctions par rapport à NIS 1. Elle s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée.
Selon l'article 36 de la directive, les États membres doivent établir un régime de sanctions pour les violations des dispositions nationales adoptées en conformité avec la directive, en sachant que ces sanctions doivent être effectives, proportionnées et dissuasives. La directive souligne principalement les sanctions administratives sans préciser leur nature exacte ni toutes les articulations possibles.
Il ne faut pas oublier que la cybersécurité ne se limite pas à respecter des réglementations et éviter des sanctions. Il est crucial pour les entreprises de protéger leurs données sensibles, celles de leurs clients, ainsi que leur réputation. En investissant dans la cybersécurité, les entreprises peuvent se prémunir de pertes financières significatives, maintenir la confiance de leurs clients et partenaires, et assurer la continuité de leurs activités face à des menaces de plus en plus sophistiquées. Protéger les données personnelles et les informations stratégiques devient ainsi une priorité réglementaire, mais également commerciale et éthique.
Nos conseils pratiques pour se mettre en conformité
L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes entreprises qui intégreront le périmètre, le guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Pour les autres, cette page peut vous aider à vérifier si vous êtes concernés.
Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre.
En outre, les futures exigences de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et déjà entrepris par les opérateurs seront valorisés dans NIS 2. Un guide avait déjà été rédigé par l’ANSSI en 2020 pour accompagner la mise en œuvre technique des règles 7 à 16, relatives à la protection des réseaux et systèmes d'information. Ce guide s’adresse en particulier aux opérateurs de services essentiels, pour mettre leurs systèmes d’information en conformité avec ces règles de sécurité. Il peut aussi servir aux fournisseurs de services numériques (FSN) pour définir et mettre en œuvre leurs propres mesures de sécurité.
Pour se conformer à la directive NIS 2, les entreprises doivent d’abord se concentrer sur l’évaluation des risques et la réalisation d'audits réguliers. Il est essentiel de mener une analyse approfondie des vulnérabilités et de procéder à des audits de sécurité pour identifier et corriger les faiblesses potentielles.
La formation et la sensibilisation jouent également un rôle clé, car promouvoir une culture de cybersécurité au sein de l’organisation est indispensable. Les entités concernées par NIS 2 doivent mettre en place des programmes de formation et de sensibilisation pour leur personnel afin de renforcer la cybersécurité. Cela inclut la formation régulière sur les meilleures pratiques en matière de sécurité, la gestion des risques, et la réponse aux incidents. La directive insiste sur l’importance de maintenir un niveau élevé de sensibilisation à la cybersécurité au sein des organisations, afin de minimiser les risques liés aux erreurs humaines et aux comportements inappropriés.
Ensuite, il est crucial de mettre en place des politiques de sécurité robustes. Cela inclut l’élaboration et la mise à jour continue des politiques de cybersécurité, afin de garantir que toutes les procédures d’urgence et de réponses aux incidents soient bien définies et suivies.
Ce qu’il faut retenir sur l’application de la directive NIS 2
D’après le rapport global des risques de 2023, les cyberattaques sont classées dans le top 5 des risques les plus sévères à court et long terme pour les entreprises. La directive NIS 2 représente ainsi une avancée majeure pour la cybersécurité en Europe, en imposant des mesures plus strictes pour protéger les infrastructures critiques et les services numériques.
En investissant dans une solide stratégie de cybersécurité et en protégeant leurs données sensibles, les entreprises évitent des pertes financières et maintiennent un avantage concurrentiel. Dans le même temps, elles assurent la continuité de leurs opérations et renforce la confiance de leurs clients. Mais avant d’en arriver là, elles doivent se préparer en adoptant de bonnes pratiques de cybersécurité et en se conformant aux nouvelles exigences.
Si vous souhaitez vous mettre en conformité dans les règles de l’art, n’hésitez plus et contactez Adimeo. Nos experts sont là pour vous conseiller et vous accompagner tout au long du processus.
Crédit photo : Funtap


