Depuis le 16 janvier 2023, la Directive (UE) 2022/2555 du Parlement Européen et du Conseil Européen, communément appelée Directive NIS 2 « Network and Information Security », est entrée en vigueur. Cette directive vise à garantir un niveau élevé de cybersécurité dans l’Union européenne, en réponse aux menaces croissantes dans le paysage numérique. En élargissant son champ d’application et ses attentes, la directive marque une transition de la réactivité à la proactivité, exigeant une collaboration accrue pour assurer la résilience des infrastructures critiques.

Évolution de la directive NIS : De la NIS 1 à la NIS 2

La première directive NIS (Network and Information Security) a été établie en 2016 en tant que pilier majeur de la cybersécurité pour tous les États membres de l’Union européenne. 

Son objectif principal était d’améliorer la sécurité numérique des entreprises européennes en se concentrant sur deux catégories principales d’organisations : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN).

Les OSE incluaient des secteurs vitaux tels que la santé, les transports et l’énergie, tandis que les FSN comprenaient des acteurs comme les moteurs de recherche, les places de marché en ligne et les services Cloud. La directive exigeait la mise en place d’une autorité nationale chargée de la sécurité des réseaux et des systèmes d’information, ainsi que la constitution d’équipes de réponse aux incidents de sécurité informatique (CSIRT) au sein des entreprises. De plus, elle promouvait la coopération entre les États membres de l’UE, la Commission européenne et l’Agence de l’UE pour la cybersécurité (ENISA).

Cependant, la directive NIS 1 présentait des limites. Elle ne couvrait pas toutes les entités vulnérables et son application variait d’un État membre à l’autre. De plus, elle n’était pas adaptée à l’évolution rapide du paysage numérique et des menaces qui en découlaient.

Pour répondre à ces lacunes, la nouvelle directive NSI 2 (Nouvelle Stratégie de l’Innovation) a été introduite pour renforcer et élargir les mesures de sécurité informatique dans toute l’UE.

Qu’est-ce que la directive NSI 2 ? 

La directive européenne NIS2, adoptée en janvier 2023, représente une avancée majeure dans le domaine de la cybersécurité, visant à renforcer les mesures de sécurité contre les cyberattaques. Elle vise à élever le niveau de protection des entités opérant dans l’Union européenne en matière de sécurité numérique. Cette directive, qui sera incorporée dans les législations nationales des 27 États membres d’ici septembre 2024, impose de nouvelles obligations aux entreprises pour garantir la conformité et la gestion efficace des risques cybernétiques.

Comparée à sa prédécesseure, la NIS1, la directive NIS2 élargit considérablement son champ d’application. Si la NIS1 concernait déjà :

  • le secteur de la santé,
  • le secteur de la banque,
  • le secteur du transport.

La NIS2 étend son emprise à de nouveaux secteurs tels que

  • les administrations publiques,
  • les télécommunications,
  • les réseaux sociaux,
  • les services postaux
  • le secteur spatial.

De plus, elle inclut désormais les entreprises privées, allant des PME aux grandes entreprises, devront se conformer à cette réglementation.

Une innovation clé de la NIS2 réside dans l’introduction d’un mécanisme de proportionnalité, différenciant les entités réglementées en deux catégories : les entités essentielles et les entités importantes. Cette distinction permet à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) d’établir des exigences spécifiques adaptées à chaque catégorie.

La mise en œuvre de la directive NIS2 revêt une importance capitale dans le paysage de la cybersécurité, offrant une opportunité unique d’améliorer la protection des systèmes d’information contre les cybermenaces. En encourageant la coopération entre les États membres et en établissant un cadre officiel pour le réseau CyCLONe, la directive favorise une réponse coordonnée aux incidents cybernétiques.

Qui est concerné par la directive NIS 2 ? 

La directive NIS 2 concerne toutes les entreprises fournissant des services ou des activités au sein de l’Union européenne. Qu’elles soient basées en Europe ou à l’étranger, ces entités sont incluses si elles opèrent dans des secteurs spécifiques et répondent à certains critères de taille :

  • Grandes entreprises : Plus de 250 employés ou un chiffre d’affaires dépassant 50 millions d’euros.
  • Moyennes entreprises : Entre 50 et 250 employés et un chiffre d’affaires compris entre 10 et 50 millions d’euros.
  • Petites entreprises : Moins de 50 employés et un chiffre d’affaires inférieur à 10 millions d’euros.

La distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) est remplacée par deux nouvelles catégories : Entité Essentielle (EE) et Entité Importante (EI), simplifiant ainsi l’approche et élargissant la portée de la réglementation.

Quels sont les secteurs concernés par la Directive NIS 2 ?

Voici un aperçu des principaux secteurs touchés par cette réglementation :

  • Secteurs déjà critiques sous NIS 1
    Tous les secteurs considérés comme hautement critiques dans la directive NIS 1 restent concernés par la NIS 2. Ainsi, les entreprises classées comme Opérateurs de Services Essentiels (OSE) sous NIS 1 sont automatiquement concernées par la NIS 2.
  • Secteur spatial :
    C’est une nouvelle inclusion dans la directive NIS 2, englobant les opérateurs d’infrastructures terrestres et les engins spatiaux.
  • Secteur alimentaire :
    Couvrant la production, la transformation et la distribution alimentaire, y compris les coopératives et les grandes surfaces.
  • Secteur de la fabrication :
    Englobant la fabrication industrielle, les équipements, les machines-outils, les moyens de transport, ainsi que les dispositifs électroniques et optiques.
  • Technologies de l’information et de la communication (TIC) :
    C’est une nouveauté dans la NIS 2, englobant les plateformes de marché en ligne qui emploient plus de 50 personnes.
  • Gestion des déchets et eaux usées :
    Rejoint les secteurs déjà concernés par NIS 1, tels que la gestion de l’eau potable.
  • Production et distribution de produits chimiques :
    Séparé de la fabrication et considéré comme un secteur distinct en raison de réglementations spécifiques.
  • Administrations locales et régionales :
    Certaines décisions relatives à l’inclusion de ces entités sont laissées à la discrétion des États membres.
  • Recherche et enseignement supérieur :
    Les organismes de recherche et les établissements d’enseignement supérieur sont inclus, bien que la définition exacte soit encore à clarifier.
  • Services essentiels à la santé publique et à la sécurité :
    Cette catégorie englobe les services dont la perturbation pourrait avoir un impact sur la santé publique et la sécurité.

Comment savoir si l’on est une entité importante ou essentielle ?

Pour déterminer si une entité est classée comme Importante ou Essentielle, plusieurs critères sont pris en compte :

  • Entités Essentielles (EE) : Les grandes entreprises, généralement celles avec plus de 250 employés, sont automatiquement classées comme Entités Essentielles. Cela s’applique en particulier aux secteurs déjà critiques sous NIS 1. Dans le secteur de la Santé, cela inclut les organismes publics ou privés fournissant des soins de santé. Les infrastructures numériques, quelles que soient leur taille, sont également considérées comme EE. Il y a également les services d’information et de communication pour les entreprises et toutes les administrations publiques.
  • Entités Importantes (EI) : Les entreprises de taille moyenne, celles ayant moins de 250 employés mais plus de 50, sont classées comme EI. Cela s’applique également à certains nouveaux secteurs intégrés dans la NIS 2, comme le secteur de la Fabrication.

Quels risques encourt-on en ne respectant pas la Directive NSI 2 ?

Pour les Entités Essentielles (EE)

Les entités considérées comme essentielles dans cette matière risquent des sanctions financières pouvant aller jusqu’à 10 millions d’euros. En outre, elles sont tenues de notifier toute violation ou incident cyber, conformément aux principes établis par le RGPD. Cela implique qu’elles doivent déclarer tout incident, même s’il ne concerne pas la fuite de données personnelles.
Un aspect crucial pour les entités essentielles est la possibilité pour les dirigeants de se voir interdire d’exercer en cas de non-conformité.
Ces entités sont également soumises à des contrôles inopinés, similaires à ceux pratiqués par la CNIL pour le RGPD.

Pour les Entités Importantes (EI)

Les entités importantes (EI) sont également soumises à des obligations et des risques, mais avec des sanctions financières moins sévères. Elles peuvent encourir des amendes allant jusqu’à 7 millions d’euros ou 1,4% de leur chiffre d’affaires mondial total.
Comme pour les EE, les EI doivent notifier les incidents de sécurité, mais elles ne risquent pas d’interdiction d’exercice pour leurs dirigeants.
Les contrôles pour les entités importantes sont généralement effectués après coup, notamment suite à une notification d’incident. Ces contrôles visent à vérifier la mise en œuvre effective des mesures de sécurité annoncées.
Il est important de noter que les exigences de conformité sont les mêmes pour les EE et les EI, mais avec une certaine proportionnalité, comme l’a expliqué l’ANSSI dans sa FAQ.

Quand est-ce que la Directive NIS 2 passe en vigueur ?

Les États membres de l’Union européenne ont la responsabilité d’incorporer les réglementations de la directive NIS 2 dans leur législation nationale d’ici le 17 octobre 2024. La directive IS 2 entrera en vigueur en France au plus tard au cours du second semestre de 2024. Elle comportera des exigences immédiates ainsi que des délais pour la mise en conformité.

Se préparer à l’arrivée de la Directive NIS 2 : Guide pratique pour tous les acteurs

Que vous soyez une entreprise établie avec une solide expérience en matière de cybersécurité ou un nouveau venu dans le champ, se préparer à ces changements est essentiel pour rester conforme et sécurisé dans un environnement numérique en constante évolution.

Pour les acteurs établis

Les entreprises établies, telles que les anciens OSE, OIV et grands comptes, possèdent souvent une solide culture de la cybersécurité et des départements spécialisés dans la conformité. Cependant, avec l’avènement de NIS 2, le défi consiste à élargir les pratiques de cybersécurité existantes à l’ensemble des activités de l’entreprise. Cela nécessite une collaboration étroite entre les départements pour identifier et protéger tous les aspects critiques de l’entreprise, allant au-delà des opérations industrielles traditionnelles pour inclure des domaines tels que la comptabilité, la R&D et les infrastructures.

Pour les nouveaux entrants

Les entreprises émergentes, notamment dans l’industrie et l’agroalimentaire, peuvent ne pas avoir une culture de la cybersécurité aussi développée. 

  1. La première étape cruciale consiste à cartographier l’ensemble des activités métiers de l’entreprise afin d’identifier les besoins de sécurité spécifiques à chacune et d’évaluer les impacts potentiels sur l’activité en cas de disruption des processus. Cette cartographie permet également de déterminer les composants des systèmes d’information à sécuriser en priorité.
  1. Ensuite, évaluer la maturité en cybersécurité et élaborer une feuille de route adaptée est essentiel. Les entreprises peuvent commencer par des guides de bonnes pratiques pour les TPE/PME, puis progresser vers des normes plus avancées, comme le guide d’hygiène de l’ANSSI.

Mesures concrètes à faire dès maintenant

Pour se préparer efficacement, les entreprises peuvent dès maintenant mettre en place une stratégie de sensibilisation adaptée aux collaborateurs. Cette stratégie vise à changer les comportements en communiquant régulièrement sur des sujets clés tels que l’authentification multifactorielle et la complexité des mots de passe.
De plus, développer une connaissance approfondie du système d’information de l’entreprise et des liens d’interconnexion avec les tiers est essentiel. Cela permet de comprendre les dépendances et les risques potentiels, ainsi que de combler les éventuelles lacunes dans la gestion des relations avec les tiers. Enfin, évaluer les capacités de détection et de résilience face aux incidents est crucial. Les entreprises doivent disposer des ressources nécessaires pour surveiller et traiter efficacement les alertes remontées, en utilisant des solutions de sécurité adaptées ou en externalisant cette fonction.

Existe-t-il des aides pour accompagner les entreprises dans cette transition ?

La transition vers la conformité à la directive NIS 2 peut représenter un défi pour de nombreuses entreprises, en particulier dans le contexte économique actuel marqué par l’incertitude due à la pandémie de COVID-19. 
Bien qu’aucun dispositif d’aide financière spécifique n’ait été annoncé par les gouvernements à ce jour, des ressources sont disponibles pour soutenir les entreprises dans cette transition. En France, l’ANSSI dispose d’un budget d’investissement dédié à la cybersécurité, notamment dans le cadre du fonds France Relance. Ce fonds a permis à un nombre significatif de candidats de bénéficier de formations en cybersécurité, offrant ainsi un soutien essentiel aux entreprises cherchant à renforcer leur posture de sécurité numérique.

Quel est l’impact pour les PME ?

Pour les PME, la mise en place de la directive NIS 2 peut représenter un défi. Les PME peuvent avoir des difficultés avec la cybersécurité par manque de ressources et de compétences dédiées. Ces obstacles incluent les contraintes budgétaires, le manque de personnel qualifié, et une compréhension limitée des enjeux de sécurité informatique.

Cependant, les PME doivent prendre au sérieux la cybersécurité et de se conformer à la directive NIS 2. Les cyberattaques ne discriminent pas en fonction de la taille de l’entreprise, et les PME sont souvent des cibles attrayantes pour les cybercriminels en raison de leur potentiel de gain facile. En outre, la non-conformité à la législation NIS peut entraîner des sanctions financières et des répercussions négatives sur la réputation de l’entreprise.

Pour aider les PME, des organismes tels que l’ANSSI en France fournissent des conseils pour améliorer leur cybersécurité. Ils offrent également des formations et des programmes de sensibilisation pour aider les entreprises à mieux comprendre les enjeux de la cybersécurité et à mettre en place les mesures nécessaires pour se conformer à la directive NIS 2.

La directive NIS 2 représente une évolution importante dans le cadre de la cybersécurité européenne, élargissant son champ d’application pour inclure les fournisseurs de services numériques. Bien que sa mise en place puisse être complexe pour les PME, il est essentiel pour ces entreprises de prendre des mesures pour se conformer à cette législation afin de protéger leurs systèmes, leurs données et leur réputation contre les cybermenaces croissantes.

Conclusion

En conclusion, la nouvelle directive NIS 2 représente un jalon crucial dans le paysage de la cybersécurité européenne. Les autorités nationales joueront un rôle essentiel dans l’application de cette réglementation, assurant ainsi un niveau de protection uniforme dans toute l’Union européenne. Cette matière complexe exige une compréhension approfondie des obligations légales et des normes techniques pour garantir la conformité.

Les entreprises opérant dans des secteurs essentiels devront se conformer aux nouvelles obligations énoncées dans la directive. De la gestion des cybermenaces, de la prévention des incidents, chaque élément est important. Cela nécessitera des investissements dans les infrastructures et les compétences humaines pour maintenir un niveau adéquat de sécurité des informations.

Le droit à l’information des citoyens sera renforcé, grâce à des exigences plus strictes en matière de transparence et de notification en cas de violations de données. Les utilisateurs seront mieux informés sur les risques potentiels et les mesures de protection à prendre, contribuant ainsi à une prise de conscience accrue des enjeux de cybersécurité.

Pour les entreprises souhaitant naviguer dans ce nouveau paysage réglementaire, un menu de bonnes pratiques et de conseils sera indispensable. Des partenariats avec des experts en cybersécurité permettront de mieux comprendre les exigences de la NIS 2.

Les attaques ciblant des infrastructures et des données sensibles augmentent, ce qui élève les enjeux en matière de cybersécurité. La NIS 2 constitue une réponse nécessaire à ces menaces croissantes, visant à renforcer la résilience des systèmes d’information européens et à protéger les intérêts économiques et sécuritaires de l’Union dans un monde numérique en évolution constante.

Êtes-vous prêts à relever les nouveaux défis réglementaires que la directive NIS 2 impose ?

A quel niveau se situe votre entreprise dans ce nouveau paysage juridique ?
Êtes-vous au fait de vos droits et obligations en matière de sécurité cybernétique ?

Chez Guiddy, nous comprenons les enjeux auxquels vous êtes confrontés. C’est pourquoi nous avons développé une approche proactive pour vous accompagner dans votre mise en conformité avec la NIS 2. Notre solution combine expertise en matière de sécurité et conseils spécialisés pour vous aider à naviguer à travers les exigences.

Notre premier menu de services commence par un audit approfondi des vulnérabilités de votre entreprise. Nous identifions les failles dans votre infrastructure informatique et vous fournissons une feuille de route claire pour renforcer votre sécurité. De plus, nous sensibilisons vos collaborateurs pour remédier aux lacunes et renforcer votre niveau de protection contre les cybermenaces.

Contactez Guiddy dès aujourd’hui pour planifier votre audit de sécurité informatique. Notre équipe d’experts se fera un plaisir de vous guider à travers les complexités de la NIS 2. Nous vous aiderons à mettre en place les mesures nécessaires pour protéger vos informations sensibles et assurer la conformité réglementaire.

N’attendez pas que les autorités frappent à votre porte. Prenez les devants et assurez-vous que votre entreprise est prête à faire face aux défis de la sécurité cybernétique. Avec Guiddy comme partenaire, vous pouvez être sûr que vous êtes entre de bonnes mains.