Évolution majeure de la directive NIS, qui réglementait jusqu'ici la cybersécurité en Europe, la directive NIS 2 met un grand coup de pied dans la fourmilière. En effet, NIS ne concernait que 300 entités en France, alors que NIS 2 élargit son champ d'action au point de multiplier par 20 ou 30 le nombre d'entreprises concernées. Pourquoi un tel changement ? Pour faire simple, il s'agit à la fois d'établir un niveau de sécurité homogène au sein de l'Europe, qui englobe aussi bien les administrations que les sociétés de toute taille, et de passer d'une approche réactive à une stratégie proactive. En bref, NIS 2 renforce les acquis de la NIS pour davantage de sécurité.
Entrée en vigueur le 16 janvier 2023, de nombreuses incertitudes demeurent quant à la transposition de la directive NIS 2 en droit national français. Une certitude s'impose néanmoins avec l'introduction de sanctions financières pour les entités en défaut, ce qui souligne l'urgence pour les organisations de se préparer à ce nouveau cadre réglementaire. On fait le point.
Depuis 2016, la première version de la directive sur la Sécurité des Réseaux et des Systèmes d’Information (NIS) a renforcé la sécurité des opérateurs de services essentiels et des fournisseurs de services numériques. Cependant, l'évolution rapide des technologies et des menaces a mis en évidence ses limites. Pour répondre à ces défis, l'Union européenne a adopté une deuxième version de la directive NIS - Network and Information Systems Security Directive - en décembre 2022, à savoir NIS 2.
Celle-ci prévoit un délai de 21 mois pour que chaque État membre de l’UE transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France le 17 octobre 2024, au plus tard. Certaines exigences seront appliquées directement et d’autres devraient être soumises à un délai de mise en conformité.
Cette mise à jour vise à améliorer la coopération entre États membres sur le sujet, à renforcer la résilience des infrastructures critiques et à protéger les services essentiels et numériques.
Dans le cadre européen, la France a une maturité de niveau 3. Elle est donc clairement avancée législativement quant à ce sujet.
L’ANSSI a privilégié une méthode participative qui implique des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS, etc.).
Un travail de mise en cohérence de la transposition de NIS avec celle de la REC (Résilience des Entités Critiques) est prévu par les autorités afin de clarifier le cadre réglementaire des organisations concernées par les deux lois.
Avec l’arrivée de la directive NIS 2, le paysage de la cybersécurité change en profondeur. Contrairement à la première version du texte, où chaque État membre devait identifier manuellement les entités concernées, NIS 2 met fin à cette logique de désignation individuelle. Mais pourquoi ? Tout simplement pour harmoniser les exigences à l’échelle européenne et renforcer la sécurité globale dans les secteurs sensibles.
Désormais, le statut d’une entité (classée comme « essentielle » ou « importante ») repose sur une double analyse :
Certaines situations particulières permettent cependant aux États de s’écarter de cette grille d’évaluation. C’est par exemple le cas s’il y a monopole et s’il s’agit d’un service critique pour la sécurité nationale ou d’une prestation transfrontalière vitale. Dans ces différentes situations, une entité peut être incluse ou écartée, même si elle ne remplit pas les critères standards.
Comme nous venons de le voir, la directive NIS 2 change la donne et s’applique désormais à bien plus d’entreprises que par le passé. Mais à quels secteurs appartiennent-elles exactement ? Et surtout, en quoi consistent leurs nouvelles obligations ? Voyons cela ensemble.
La directive NIS 2 distingue deux catégories d’entités, régulées en fonction de leur niveau de criticité, du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille : les entités essentielles (EE) et les entités importantes (EI).
Ces deux catégories couvrent un large éventail de secteurs. Par exemple, les entités essentielles comprennent :
Quant aux entités importantes, elles ne sont pas en reste :
À noter que pour ces dernières, un certain nombre d’autres secteurs ont été ajoutés par la directive NIS 2.
La directive NIS 2 introduit des exigences plus spécifiques et détaillées en matière de sécurité, y compris des mesures techniques et organisationnelles, et des obligations de gouvernance et de gestion des risques plus strictes.
Sur le plan réglementaire, les structures concernées par NIS 2 doivent se conformer à un ensemble d’exigences renforcées. L’un des points clés introduits par cette nouvelle directive est notamment l’obligation de notifier, sans délai, les incidents majeurs de cybersécurité aux autorités compétentes (CSIRT ou autorité nationale désignée).
Mais qu’entend-on exactement par « incident majeur » ? Pour faire simple, il s’agit d’un événement ayant provoqué, ou pouvant provoquer :
NIS 2 va même plus loin que la version précédente, en fixant un cadre strict pour ces notifications : délais précis, formats normalisés, etc. Autant d’éléments qui ont pour but de fluidifier les échanges d’informations et de mieux anticiper les risques systémiques.
Pour garantir une application cohérente des obligations en matière de cybersécurité, la directive NIS 2 introduit un cadre de contrôle harmonisé à l’échelle européenne. Désormais, les autorités compétentes disposent d’un pouvoir renforcé pour superviser les entités concernées.
Les entités dites essentielles (EE) peuvent ainsi faire l’objet de deux types de vérifications :
Attention, les entités importantes (EI) ne seront soumises qu’à des contrôles a posteriori, c’est-à-dire uniquement lorsque des éléments concrets justifient une intervention.
Bon à savoir : Les modalités exactes des contrôles préventifs seront précisées dans les lois nationales de transposition. Toutefois, NIS 2 encadre déjà leur mise en œuvre puisqu’elles devront respecter des principes de transparence, d’équité et d’objectivité.
Enfin, la directive NIS 2 introduit une responsabilité individuelle accrue en ce qui concerne les conseils d’administration et de direction, les dirigeants pourront être tenus personnellement responsables en cas de non-respect grave des exigences.
En renforçant ces responsabilités, la directive NIS 2 veut intégrer la cybersécurité dans la stratégie globale des entités, de même qu’assurer une meilleure préparation et apporter une réponse plus efficace aux cybermenaces.
NIS 2 renforce les pouvoirs des autorités nationales pour surveiller, enquêter et imposer des sanctions. De plus, cette directive favorise une coopération plus étroite entre les États membres de l'UE.
N’hésitez pas à télécharger le document paru au journal officiel de l’Union européenne pour aller plus loin dans votre compréhension.
En parallèle, l’ANSSI développe de nouveaux outils, avec notamment la création du service numérique « MonEspaceNIS2 » dont la vocation est d’accompagner les assujettis dans leur mise en conformité à la directive. Ce service s’étoffera au fil du temps pour proposer des services pertinents pour les entités. L’ANSSI souhaite en effet capitaliser sur ses actions historiques de conseil, de sensibilisation et d’assistance opérationnelle.
En matière de conformité, la directive NIS 2 prévoit un renforcement des sanctions par rapport à NIS 1. Elle s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée.
Selon l'article 36 de la directive, les États membres doivent établir un régime de sanctions pour les violations des dispositions nationales adoptées en conformité avec la directive, en sachant que ces sanctions doivent être effectives, proportionnées et dissuasives. La directive souligne principalement les sanctions administratives sans préciser leur nature exacte ni toutes les articulations possibles.
Il ne faut pas oublier que la cybersécurité ne se limite pas à respecter des réglementations et éviter des sanctions. Il est crucial pour les entreprises de protéger leurs données sensibles, celles de leurs clients, ainsi que leur réputation. En investissant dans la cybersécurité, les entreprises peuvent se prémunir de pertes financières significatives, maintenir la confiance de leurs clients et partenaires, et assurer la continuité de leurs activités face à des menaces de plus en plus sophistiquées. Protéger les données personnelles et les informations stratégiques devient ainsi une priorité réglementaire, mais également commerciale et éthique.
L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes entreprises qui intégreront le périmètre, le guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Pour les autres, cette page peut vous aider à vérifier si vous êtes concernés.
Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre.
En outre, les futures exigences de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et déjà entrepris par les opérateurs seront valorisés dans NIS 2. Un guide avait déjà été rédigé par l’ANSSI en 2020 pour accompagner la mise en œuvre technique des règles 7 à 16, relatives à la protection des réseaux et systèmes d'information. Ce guide s’adresse en particulier aux opérateurs de services essentiels, pour mettre leurs systèmes d’information en conformité avec ces règles de sécurité. Il peut aussi servir aux fournisseurs de services numériques (FSN) pour définir et mettre en œuvre leurs propres mesures de sécurité.
Pour se conformer à la directive NIS 2, les entreprises doivent d’abord se concentrer sur l’évaluation des risques et la réalisation d'audits réguliers. Il est essentiel de mener une analyse approfondie des vulnérabilités et de procéder à des audits de sécurité pour identifier et corriger les faiblesses potentielles.
La formation et la sensibilisation jouent également un rôle clé, car promouvoir une culture de cybersécurité au sein de l’organisation est indispensable. Les entités concernées par NIS 2 doivent mettre en place des programmes de formation et de sensibilisation pour leur personnel afin de renforcer la cybersécurité. Cela inclut la formation régulière sur les meilleures pratiques en matière de sécurité, la gestion des risques, et la réponse aux incidents. La directive insiste sur l’importance de maintenir un niveau élevé de sensibilisation à la cybersécurité au sein des organisations, afin de minimiser les risques liés aux erreurs humaines et aux comportements inappropriés.
Ensuite, il est crucial de mettre en place des politiques de sécurité robustes. Cela inclut l’élaboration et la mise à jour continue des politiques de cybersécurité, afin de garantir que toutes les procédures d’urgence et de réponses aux incidents soient bien définies et suivies.
D’après le rapport global des risques de 2023, les cyberattaques sont classées dans le top 5 des risques les plus sévères à court et long terme pour les entreprises. La directive NIS 2 représente ainsi une avancée majeure pour la cybersécurité en Europe, en imposant des mesures plus strictes pour protéger les infrastructures critiques et les services numériques.
En investissant dans une solide stratégie de cybersécurité et en protégeant leurs données sensibles, les entreprises évitent des pertes financières et maintiennent un avantage concurrentiel. Dans le même temps, elles assurent la continuité de leurs opérations et renforce la confiance de leurs clients. Mais avant d’en arriver là, elles doivent se préparer en adoptant de bonnes pratiques de cybersécurité et en se conformant aux nouvelles exigences.
Si vous souhaitez vous mettre en conformité dans les règles de l’art, n’hésitez plus et contactez Adimeo. Nos experts sont là pour vous conseiller et vous accompagner tout au long du processus.
Crédit photo : Funtap