Directive NIS 2 : Que faut-il retenir sur cette mise à jour ?
La directive NIS 2 (Network and Information Security) marque une étape majeure pour renforcer la résilience et la sécurité cyber en Europe. Alors que la date butoir du 17 octobre 2024 pour sa transposition dans les législations nationales approche, les entreprises françaises doivent anticiper pour se conformer aux nouvelles exigences. L’ANSSI, le gouvernement et plusieurs associations professionnelles travaillent activement à l’élaboration de ce texte pour répondre aux exigences européennes, malgré un contexte politique susceptible de retarder sa mise en application.
Évolution de la directive NIS : De la NIS 1 à la NIS 2
La NIS 2 se veut une extension des efforts entrepris avec la directive NIS 1, adoptée en 2016 et transposée en 2018 en France, qui ciblait un nombre limité d’opérateurs de services essentiels (OSE) et fournisseurs de services numériques (FSN). Aujourd’hui, le champ de la NIS 2 est bien plus large et touchera des milliers d’entreprises, imposant des règles de cybersécurité uniformisées à l’échelle de l’UE.
Son objectif principal était d’améliorer la sécurité numérique des entreprises européennes en se concentrant sur deux catégories principales d’organisations : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN).
Les OSE incluaient des secteurs vitaux tels que la santé, les transports et l’énergie, tandis que les FSN comprenaient des acteurs comme les moteurs de recherche, les places de marché en ligne et les services Cloud. La directive exigeait la mise en place d’une autorité nationale chargée de la sécurité des réseaux et des systèmes d’information, ainsi que la constitution d’équipes de réponse aux incidents de sécurité informatique (CSIRT) au sein des entreprises. De plus, elle promouvait la coopération entre les États membres de l’UE, la Commission européenne et l’Agence de l’UE pour la cybersécurité (ENISA).
Cependant, la directive NIS 1 présentait des limites. Elle ne couvrait pas toutes les entités vulnérables et son application variait d’un État membre à l’autre. De plus, elle n’était pas adaptée à l’évolution rapide du paysage numérique et des menaces qui en découlaient.
Pour répondre à ces lacunes, la nouvelle directive NSI 2 (Nouvelle Stratégie de l’Innovation) a été introduite pour renforcer et élargir les mesures de sécurité informatique dans toute l’UE.
Qu’est-ce que la directive NSI 2 ?
La directive européenne NIS2, adoptée en janvier 2023, représente une avancée majeure dans le domaine de la cybersécurité, visant à renforcer les mesures de sécurité contre les cyberattaques. Elle vise à élever le niveau de protection des entités opérant dans l’Union européenne en matière de sécurité numérique. Cette directive, qui sera incorporée dans les législations nationales des 27 États membres d’ici septembre 2024, impose de nouvelles obligations aux entreprises pour garantir la conformité et la gestion efficace des risques cybernétiques.
Comparée à sa prédécesseure, la NIS1, la directive NIS2 élargit considérablement son champ d’application. Si la NIS1 concernait déjà :
- le secteur de la santé,
- le secteur de la banque,
- le secteur du transport.
La NIS2 étend son emprise à de nouveaux secteurs tels que
- les administrations publiques,
- les télécommunications,
- les réseaux sociaux,
- les services postaux
- le secteur spatial.
De plus, elle inclut désormais les entreprises privées, allant des PME aux grandes entreprises, devront se conformer à cette réglementation.
Une innovation clé de la NIS2 réside dans l’introduction d’un mécanisme de proportionnalité, différenciant les entités réglementées en deux catégories : les entités essentielles et les entités importantes. Cette distinction permet à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) d’établir des exigences spécifiques adaptées à chaque catégorie.
La mise en œuvre de la directive NIS2 revêt une importance capitale dans le paysage de la cybersécurité, offrant une opportunité unique d’améliorer la protection des systèmes d’information contre les cybermenaces. En encourageant la coopération entre les États membres et en établissant un cadre officiel pour le réseau CyCLONe, la directive favorise une réponse coordonnée aux incidents cybernétiques.
Qui est concerné par la directive NIS 2 ?
La directive NIS 2 concerne toutes les entreprises fournissant des services ou des activités au sein de l’Union européenne. Qu’elles soient basées en Europe ou à l’étranger, ces entités sont incluses si elles opèrent dans des secteurs spécifiques et répondent à certains critères de taille :
- Grandes entreprises : Plus de 250 employés ou un chiffre d’affaires dépassant 50 millions d’euros.
- Moyennes entreprises : Entre 50 et 250 employés et un chiffre d’affaires compris entre 10 et 50 millions d’euros.
- Petites entreprises : Moins de 50 employés et un chiffre d’affaires inférieur à 10 millions d’euros.
La distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) est remplacée par deux nouvelles catégories : Entité Essentielle (EE) et Entité Importante (EI), simplifiant ainsi l’approche et élargissant la portée de la réglementation.
Quels sont les secteurs concernés par la Directive NIS 2 ?
Voici un aperçu des principaux secteurs touchés par cette réglementation :
- Secteurs déjà critiques sous NIS 1
Tous les secteurs considérés comme hautement critiques dans la directive NIS 1 restent concernés par la NIS 2. Ainsi, les entreprises classées comme Opérateurs de Services Essentiels (OSE) sous NIS 1 sont automatiquement concernées par la NIS 2. - Secteur spatial :
C’est une nouvelle inclusion dans la directive NIS 2, englobant les opérateurs d’infrastructures terrestres et les engins spatiaux. - Secteur alimentaire :
Couvrant la production, la transformation et la distribution alimentaire, y compris les coopératives et les grandes surfaces. - Secteur de la fabrication :
Englobant la fabrication industrielle, les équipements, les machines-outils, les moyens de transport, ainsi que les dispositifs électroniques et optiques. - Technologies de l’information et de la communication (TIC) :
C’est une nouveauté dans la NIS 2, englobant les plateformes de marché en ligne qui emploient plus de 50 personnes. - Gestion des déchets et eaux usées :
Rejoint les secteurs déjà concernés par NIS 1, tels que la gestion de l’eau potable. - Production et distribution de produits chimiques :
Séparé de la fabrication et considéré comme un secteur distinct en raison de réglementations spécifiques. - Administrations locales et régionales :
Certaines décisions relatives à l’inclusion de ces entités sont laissées à la discrétion des États membres. - Recherche et enseignement supérieur :
Les organismes de recherche et les établissements d’enseignement supérieur sont inclus, bien que la définition exacte soit encore à clarifier. - Services essentiels à la santé publique et à la sécurité :
Cette catégorie englobe les services dont la perturbation pourrait avoir un impact sur la santé publique et la sécurité.
Comment savoir si l’on est une entité importante ou essentielle ?
Pour déterminer si une entité est classée comme Importante ou Essentielle, plusieurs critères sont pris en compte :
- Entités Essentielles (EE) : Les grandes entreprises, généralement celles avec plus de 250 employés, sont automatiquement classées comme Entités Essentielles. Cela s’applique en particulier aux secteurs déjà critiques sous NIS 1. Dans le secteur de la Santé, cela inclut les organismes publics ou privés fournissant des soins de santé. Les infrastructures numériques, quelles que soient leur taille, sont également considérées comme EE. Il y a également les services d’information et de communication pour les entreprises et toutes les administrations publiques.
- Entités Importantes (EI) : Les entreprises de taille moyenne, celles ayant moins de 250 employés mais plus de 50, sont classées comme EI. Cela s’applique également à certains nouveaux secteurs intégrés dans la NIS 2, comme le secteur de la Fabrication.
La transposition française : Un processus complexe
Si l’ANSSI a déclaré vouloir éviter la “surtransposition”, un risque persiste que la France, souvent stricte en matière de réglementation, introduise des exigences supplémentaires. La directive NIS 2 comprend maintenant 46 articles et 144 considérants, en nette augmentation par rapport à NIS 1. La transposition française pourrait cependant offrir l’opportunité de simplifier et d’harmoniser certaines règles existantes, en cohérence avec d’autres régimes de sécurité comme le RGS (Référentiel Général de Sécurité).
Bien que la date limite de transposition était le 17 octobre, il est probable que la France ne respectera pas ce délai. L’ANSSI a toutefois assuré que les contrôles et les sanctions ne seront pas immédiats. Les entreprises disposent donc de quelques mois pour se préparer. D’ici là, elles peuvent s’appuyer sur les 42 règles d’hygiène de l’ANSSI ou viser une certification ISO 27001, des démarches qui les aideront à anticiper la conformité avec NIS 2.
L’impact du DORA en janvier 2025
Parallèlement à NIS 2, la directive DORA (Digital Operational Resilience Act) entrera en vigueur en janvier 2025 pour les secteurs financiers. Elle impose aux institutions financières des standards de résilience numérique renforcés, et il est prévu que ces exigences auront des retombées pour leurs prestataires de services, un peu comme cela avait été observé avec le RGPD.
Se préparer à l’arrivée de la Directive NIS 2 : Guide pratique pour tous les acteurs
Que vous soyez une entreprise établie avec une solide expérience en matière de cybersécurité ou un nouveau venu dans le champ, se préparer à ces changements est essentiel pour rester conforme et sécurisé dans un environnement numérique en constante évolution.
Pour les acteurs établis
Les entreprises établies, telles que les anciens OSE, OIV et grands comptes, possèdent souvent une solide culture de la cybersécurité et des départements spécialisés dans la conformité. Cependant, avec l’avènement de NIS 2, le défi consiste à élargir les pratiques de cybersécurité existantes à l’ensemble des activités de l’entreprise. Cela nécessite une collaboration étroite entre les départements pour identifier et protéger tous les aspects critiques de l’entreprise, allant au-delà des opérations industrielles traditionnelles pour inclure des domaines tels que la comptabilité, la R&D et les infrastructures.
Pour les nouveaux entrants
Les entreprises émergentes, notamment dans l’industrie et l’agroalimentaire, peuvent ne pas avoir une culture de la cybersécurité aussi développée.
- La première étape cruciale consiste à cartographier l’ensemble des activités métiers de l’entreprise afin d’identifier les besoins de sécurité spécifiques à chacune et d’évaluer les impacts potentiels sur l’activité en cas de disruption des processus. Cette cartographie permet également de déterminer les composants des systèmes d’information à sécuriser en priorité.
- Ensuite, évaluer la maturité en cybersécurité et élaborer une feuille de route adaptée est essentiel. Les entreprises peuvent commencer par des guides de bonnes pratiques pour les TPE/PME, puis progresser vers des normes plus avancées, comme le guide d’hygiène de l’ANSSI.
Mesures concrètes à faire dès maintenant
Pour se préparer efficacement, les entreprises peuvent dès maintenant mettre en place une stratégie de sensibilisation adaptée aux collaborateurs. Cette stratégie vise à changer les comportements en communiquant régulièrement sur des sujets clés tels que l’authentification multifactorielle et la complexité des mots de passe.
De plus, développer une connaissance approfondie du système d’information de l’entreprise et des liens d’interconnexion avec les tiers est essentiel. Cela permet de comprendre les dépendances et les risques potentiels, ainsi que de combler les éventuelles lacunes dans la gestion des relations avec les tiers. Enfin, évaluer les capacités de détection et de résilience face aux incidents est crucial. Les entreprises doivent disposer des ressources nécessaires pour surveiller et traiter efficacement les alertes remontées, en utilisant des solutions de sécurité adaptées ou en externalisant cette fonction.
Les coûts de la conformité NSI2
Se conformer à la NIS 2 représentera un investissement significatif. Le cabinet Clifford Chance estime qu’aligner les infrastructures cyber avec NIS 2 pourrait nécessiter une hausse de budget :
- de 12 % pour les entreprises déjà partiellement conformes
- de 22 % pour celles qui ne l’étaient pas sous NIS 1.
Cependant, les entreprises déjà en conformité avec des standards comme ISO 27001 ou la LPM (Loi de Programmation Militaire) seront mieux préparées, ayant déjà adopté des mesures de sécurité similaires.
Existe-t-il des aides pour accompagner les entreprises dans cette transition ?
La transition vers la conformité à la directive NIS 2 peut représenter un défi pour de nombreuses entreprises, en particulier dans le contexte économique actuel marqué par l’incertitude due à la pandémie de COVID-19.
Bien qu’aucun dispositif d’aide financière spécifique n’ait été annoncé par les gouvernements à ce jour, des ressources sont disponibles pour soutenir les entreprises dans cette transition. En France, l’ANSSI dispose d’un budget d’investissement dédié à la cybersécurité, notamment dans le cadre du fonds France Relance. Ce fonds a permis à un nombre significatif de candidats de bénéficier de formations en cybersécurité, offrant ainsi un soutien essentiel aux entreprises cherchant à renforcer leur posture de sécurité numérique.
Quel est l’impact pour les PME ?
Pour les PME, la mise en place de la directive NIS 2 peut représenter un défi. Les PME peuvent avoir des difficultés avec la cybersécurité par manque de ressources et de compétences dédiées. Ces obstacles incluent les contraintes budgétaires, le manque de personnel qualifié, et une compréhension limitée des enjeux de sécurité informatique.
Cependant, les PME doivent prendre au sérieux la cybersécurité et de se conformer à la directive NIS 2. Les cyberattaques ne discriminent pas en fonction de la taille de l’entreprise, et les PME sont souvent des cibles attrayantes pour les cybercriminels en raison de leur potentiel de gain facile. En outre, la non-conformité à la législation NIS peut entraîner des sanctions financières et des répercussions négatives sur la réputation de l’entreprise.
Pour aider les PME, des organismes tels que l’ANSSI en France fournissent des conseils pour améliorer leur cybersécurité. Ils offrent également des formations et des programmes de sensibilisation pour aider les entreprises à mieux comprendre les enjeux de la cybersécurité et à mettre en place les mesures nécessaires pour se conformer à la directive NIS 2.
La directive NIS 2 représente une évolution importante dans le cadre de la cybersécurité européenne, élargissant son champ d’application pour inclure les fournisseurs de services numériques. Bien que sa mise en place puisse être complexe pour les PME, il est essentiel pour ces entreprises de prendre des mesures pour se conformer à cette législation afin de protéger leurs systèmes, leurs données et leur réputation contre les cybermenaces croissantes.
Conclusion
En conclusion, la nouvelle directive NIS 2 représente un jalon crucial dans le paysage de la cybersécurité européenne. Les autorités nationales joueront un rôle essentiel dans l’application de cette réglementation, assurant ainsi un niveau de protection uniforme dans toute l’Union européenne. Cette matière complexe exige une compréhension approfondie des obligations légales et des normes techniques pour garantir la conformité.
Les entreprises opérant dans des secteurs essentiels devront se conformer aux nouvelles obligations énoncées dans la directive. De la gestion des cybermenaces, de la prévention des incidents, chaque élément est important. Cela nécessitera des investissements dans les infrastructures et les compétences humaines pour maintenir un niveau adéquat de sécurité des informations.
Pour les entreprises souhaitant naviguer dans ce nouveau paysage réglementaire, un menu de bonnes pratiques et de conseils sera indispensable. Des partenariats avec des experts en cybersécurité permettront de mieux comprendre les exigences de la NIS 2.
Les attaques ciblant des infrastructures et des données sensibles augmentent, ce qui élève les enjeux en matière de cybersécurité.
Êtes-vous prêts à relever les nouveaux défis réglementaires que la directive NIS 2 impose ?
A quel niveau se situe votre entreprise dans ce nouveau paysage juridique ?
Êtes-vous au fait de vos droits et obligations en matière de sécurité cybernétique ?
Chez Guiddy, nous comprenons les enjeux auxquels vous êtes confrontés. C’est pourquoi nous avons développé une approche proactive pour vous accompagner dans votre mise en conformité avec la NIS 2. Notre solution combine expertise en matière de sécurité et conseils spécialisés pour vous aider à naviguer à travers les exigences.
Notre premier menu de services commence par un audit approfondi des vulnérabilités de votre entreprise. Nous identifions les failles dans votre infrastructure informatique et vous fournissons une feuille de route claire pour renforcer votre sécurité. De plus, nous sensibilisons vos collaborateurs pour remédier aux lacunes et renforcer votre niveau de protection contre les cybermenaces.
Contactez Guiddy dès aujourd’hui pour planifier votre audit de sécurité informatique. Notre équipe d’experts se fera un plaisir de vous guider à travers les complexités de la NIS 2. Nous vous aiderons à mettre en place les mesures nécessaires pour protéger vos informations sensibles et assurer la conformité réglementaire.
N’attendez pas que les autorités frappent à votre porte. Prenez les devants et assurez-vous que votre entreprise est prête à faire face aux défis de la sécurité cybernétique. Avec Guiddy comme partenaire, vous pouvez être sûr que vous êtes entre de bonnes mains.