Entrée en vigueur en janvier 2023, la directive NIS2 a pour but de renforcer le niveau de cybersécurité dans l’Union européenne. 18 secteurs d’activité et des milliers d’entreprises de toutes tailles devront donc se mettre en conformité avec des attentes très strictes en matière de protection contre les cybermenaces et de détection des incidents.
Zoom sur les nouvelles exigences européennes et sur les actions à mener pour y répondre.
NIS2 : le point sur les nouvelles exigences de l’UE en matière de cybersécurité
Depuis le début des années 2010, les entités européennes ont pris à bras le corps le sujet de la cybersécurité face à la croissance des cyber-risques encourus par les Etats membres, leurs entreprises et leurs citoyens.
En juillet 2016, après trois ans de négociation entre le Parlement européen et le Conseil de l’Union européenne, le premier volet de la directive sur la sécurité des réseaux et des systèmes d’information, plus connu sous le nom de directive NIS 1, était ainsi adopté.
La directive est venue doter les Etats membres de l’UE d’autorités nationales compétentes en matière de cybersécurité (l’ANSSI en France), d’équipes nationales de réponses aux incidents informatiques (le CERT-FR en France) et de stratégies nationales de cybersécurité (la stratégie nationale pour la sécurité numérique en France). Elle a aussi établi un cadre de coopération entre les Etats européens avec la mise en place d’un réseau européen des CSIRT notamment, pour faciliter le partage des informations techniques sur les risques et vulnérabilités.
Du côté des acteurs économiques, le texte a obligé les opérateurs de services essentiels (eau, énergie, infrastructures numériques, infrastructures des marchés bancaires et financiers, santé, transport) à mettre en œuvre des mesures de cybersécurité robustes, des mesures préventives du cyber-risque et des systèmes et outils de gestion et de signalement des violations de données et incidents. Enfin, des règles européennes communes ont été instaurées pour les fournisseurs de Service Numérique (FSN) dans les domaines de l’informatique en nuage, des moteurs de recherche en ligne et des places de marché en ligne : outre les mesures de sécurité de l’information et de continuité d’activité, ils devaient établir des mesures d’intervention selon la gravité de l’incident.
La récente révision de la directive, connue sous le nom de directive NIS2, vient renforcer les exigences de sécurité en élargissant les obligations de protection à d’autres acteurs économiques, mais aussi rationaliser les obligations de signalement et introduire des mesures de surveillance et des exigences de mise en œuvre plus strictes. « Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection, explique Yves Verhoeven, sous-Directeur Stratégie de l’ANSSI. Cette extension du périmètre prévue par NIS2 est sans précédent en matière de réglementation cyber. »
Qui est concerné par la directive NIS2 ?
Les 18 secteurs d'activité soumis à la directive NIS2
Le changement le plus important est l’élargissement du champ d’application de la directive, puisque l’on passe d’une réglementation qui concernait seulement sept secteurs d’activité, à une nouvelle directive qui touche maintenant dix-huit secteurs d’activité, et qui sont les suivants :
- Energie ;
- Transports ;
- Secteur bancaire ;
- Infrastructures de marchés financiers ;
- Santé ;
- Eau potable ;
- Eaux usées ;
- Infrastructure numérique ;
- Gestion des services TIC (interentreprises);
- Administration publique ;
- Espace ;
- Services postaux et d’expédition ;
- Gestion des déchets ;
- Fabrication, production et distribution de produits chimiques ;
- Production, transformation et distribution des denrées alimentaires ;
- Fabrication ;
- Fournisseurs numériques ;
- Recherche.
Ces secteurs sont largement détaillés dans le texte de la directive, en annexe I et II. Par exemple, celui de l’énergie concerne toute la production et le transport pour l’électricité, les réseaux de chaleur et de froid, le pétrole, le gaz et l’hydrogène, pour lequel l’Europe a d’ailleurs de grandes ambitions.
Les entreprises, désormais concernées elles aussi, par la directive NIS
L’autre changement majeur est son extension aux entreprises, PME comme grands groupes.
Yves VERHOEVEN, Sous-Directeur Stratégie de l’ANSSI précise : « Les acteurs de la chaîne d’approvisionnement, dont les acteurs du numérique, seront soumis au dispositif. Ces nombreux acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques. Ils verront donc également leur niveau de sécurité numérique renforcé. Autre nouveauté, et non des moindres, les administrations centrales des Etats-membres ainsi que certaines collectivités territoriales intègreront également le périmètre de NIS2. »
Auparavant, la directive NIS 1 s’adressait uniquement aux personnes morales désignées comme Opérateurs de Services Essentiels (OSE) par leur Etat Membre et aux FSN. NIS 2 vient créer une nouvelle distinction, présentée dans la partie suivante, qui permet d’inclure un nombre d’acteurs beaucoup plus important, et notamment des entreprises du secteur privé de toutes tailles. Ce sont donc des milliers d’acteurs qui devront se mettre en conformité lorsque la loi nationale de transposition de la directive entrera en vigueur.
Une distinction nouvelle : entités essentielles VS entités importantes
Enfin, NIS2 apporte une troisième évolution majeure : l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’acteurs régulés en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) compte s’appuyer sur cette notion pour définir des exigences propres à chaque catégorie d’entité.
Cette nouvelle distinction est intéressante car elle permet de créer des critères objectifs pour déterminer qui sont les acteurs qui devront se conformer à cette nouvelle réglementation, et permet de ne plus dépendre d’une désignation par les Etats Membres. Cette nouvelle distinction permet également d’inclure les acteurs de la chaine d’approvisionnement, qui comme indiqué précédemment, sont des cibles de choix pour accéder à des entités plus importantes et plus critiques.
De plus, cette distinction inclut un système de proportionnalité afin de rendre plus supportable les obligations à la charge d’acteurs qui disposent de moins de moyens. En effet, les acteurs moins critiques, qui seront désignés comme entités importantes, disposeront d’obligations plus légères et devront donc effectuer des investissements moins importants.
Quelles sont les obligations de la directive NIS2 ?
Audits, tests, gestion, signalement et traitement : des obligations renforcées pour tracker les vulnérabilités
Signalement des incidents de sécurité
La directive NIS2 prévoit une approche en deux étapes. Les entreprises concernées disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire.
Gestion des risques cyber
La directive NIS2 prévoit une approche en deux étapes. Les entreprises concernées disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire.
Tests et audits de sécurité
La directive NIS2 prévoit une approche en deux étapes. Les entreprises concernées disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire.
Sécurité de la supply chain
La directive NIS2 prévoit une approche en deux étapes. Les entreprises concernées disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire.
Les législateurs européens précisent : « les entités essentielles et importantes devraient adopter une vaste gamme de pratiques de cyberhygiène de base, comme les principes «confiance zéro», les mises à jour de logiciels, la configuration des dispositifs, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, organiser une formation pour leur personnel et sensibiliser aux cybermenaces, au hameçonnage ou aux techniques d’ingénierie sociale. En outre, ces entités devraient évaluer leurs propres capacités en matière de cybersécurité et, s’il y a lieu, poursuivre l’intégration des technologies de renforcement de la cybersécurité, telles que l’intelligence artificielle ou les systèmes d’apprentissage automatique, afin d’améliorer leurs capacités et la sécurité des réseaux et des systèmes d’information. »
Des sanctions renforcées
Selon le sous-directeur Stratégie de l’ANSSI, « le troisième élément majeur de la directive concerne effectivement le renforcement de son régime de sanction, qui s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée. » C’est-à-dire jusqu’à 10 millions d’euros d’amende, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Comment se préparer à la directive NIS2 ?
Démarche proactive en attendant la transposition de la directive en France
Depuis l’entrée en vigueur de la Directive, chaque Etat membre a un délai maximum de 21 mois pour la transposer en droit national. En France c’est l’ANSSI qui est au travail pour mettre en place deux jeux de règles – l’un à l’intention des entités essentielles, l’autre à l’intention des entités importantes – d’ici au 17 octobre 2024.
Mais, en attendant la transposition de la directive en droit français, les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques doivent continuer à respecter les exigences prévues par NIS1 et les autres réglementations en matière de sécurité des systèmes d’information.
Et pour les entreprises susceptibles d’être concernées par NIS2, elles sont vivement invitées à entamer dès à présent une démarche proactive pour accroître leur niveau de leur sécurité informatique. Comme l’a expliqué en mai 2023 Yves Verhoeven, lors d’un webinaire de présentation de la transposition de la directive, « si vous commencez d’ores et déjà à vous préparer, d’une manière ou d’une autre, vos investissements ne seront pas perdus avec NIS2 ». Son ambition est en effet d’élever partout le niveau de cybersécurité.
Accompagnement à la mise en conformité NIS2
Les entreprises ont donc intérêt à se faire accompagner par des experts pour réaliser un état des lieux de leur système d’information d’abord, et ensuite constituer une feuille de route pertinente en vue de leur mise en conformité NIS2.
Les consultants en cybersécurité de Cinalia ont notamment une forte expertise en matière d’analyse des risques, de pentest, de surveillance des systèmes, ou d’accompagnement à la gouvernance des cybercrises dans des domaines sensibles comme la santé ou la logistique.
