La directive NIS 2 : tout savoir sur les changements à venir

Contexte

Le 6 juillet 2016, le Parlement européen adopte la directive Network and Information System Security (NIS). Celle-ci a pour objectifs de renforcer le niveau de sécurité des réseaux et des systèmes d’informations essentiels ainsi que d’améliorer le partage d’informations au niveau européen.

Les états membres de l’Union européenne ont jusqu’au 9 mai 2018 pour transposer la directive NIS au sein de leur cadre réglementaire national.

Champ d’application

La directive est applicable aux secteurs de la santé, de l’énergie, bancaire et aux infrastructures de marchés financiers, aux fournisseurs de service, transports, fournisseurs d’eau et aux infrastructures numériques.

Plus spécifiquement, elle est applicable à toute structure au sein de ces secteurs qualifiée de :

  • Opérateur de services essentiels (OSE): Entité désignée par décret ministériel dont un incident affectant ses réseaux et systèmes, aurait des conséquences graves, appréciées notamment au regard du nombre d’utilisateurs dépendant du service, des conséquences qu’un incident pourrait avoir sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique, etc…
  • Fournisseurs de services numériques (FSN): Entité désignée généralement qui dispose d’au moins 50 employés ou d’un CA annuel dépassant 10 millions d’euros et qui fournit une market place, un moteur de recherche, ou un service cloud.

Obligations

Sans distinction, ces entités doivent :

  • Identifier un représentant auprès de l’ANSSI ;
  • Identifier ses réseaux et système(s) d’information essentiel(s), ou qui participent à la fourniture du service numérique considéré ;
  • Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’il assure ;
  • Être soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.

Un OSE doit appliquer dans des délais impartis à partir de sa désignation, les règles de sécurité suivantes :

  • Gouvernance de la sécurité des réseaux et des SI (analyse de risque ; politique de sécurité ; homologation de sécurité ; indicateurs ; audits de la sécurité ; cartographie) ;
  • Sécurité de l’architecture (configuration ; cloisonnement ; accès distant ; filtrage) ;
  • Sécurité de l’administration (compte d’administration ; système d’information d’administration) ;
  • Gestion des identités et des accès (identification ; authentification ; droits d’accès).
  • Maintien en condition de sécurité ;
  • Sécurité physique et environnementale ;
  • Détection des incidents de sécurité (détection ; journalisation ; corrélation et analyse de journaux) ;
  • Gestion des incidents de sécurité (réponse aux incidents ; traitement des alertes) ;
  • Résilience des activités : Gestion de crises ;

Un FSN doit appliquer les règles de sécurité suivantes à partir de l’entrée en vigueur de la Directive :

  1. Gestion systématique des réseaux et des systèmes d’information (cartographie des SI, politiques sur la gestion de la sécurité) ;
  2. Sécurité physique et environnementale ;
  3. Sécurité de l’approvisionnement ;
  4. Contrôle de l’accès aux réseaux et systèmes d’information ;
  5. Gestion des incidents ;
  6. Gestion de la continuité des activités ;
  7. Suivi, audit et contrôle ;
  8. Respect des normes internationales.

En cas de manquement aux dispositions de la directive, un panel de sanction est prévu. Le montant maximal des sanctions ne pouvant dépasser 300 000 euros.

Cependant, les limites de ce cadre juridique apparaissent et entraînent un besoin de révision.

Contexte

La décision de réviser la directive NIS fait suite à une consultation publique menée par la Commission européenne concluant notamment :

  • À un manque de cohérence entre les États-membres et les secteurs,
  • Au faible niveau de connaissance commune des risques cyber,
  • À l’absence de réaction commune en cas de crise.

À titre d’exemple, en 2019, la Finlande (5,5 millions d’habitants) identifiait 10897 OSE sur son territoire tandis que la France (67 millions d’habitants) n’en identifiait que 127.

La directive NIS 2 vise à corriger ces lacunes et à être plus ambitieuse en termes d’obligations imposées aux organismes concernés.

Elle est adoptée en décembre 2022. Les états membres disposent de 21 mois pour transposer la directive en droit interne. NIS 2 entrera donc en vigueur au maximum le 18 octobre 2024.  Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité.

Champ d’application

NIS 2 complète les secteurs visés par la précédente directive, y ajoutant les suivants : eaux usées, espace, administration publique, services postaux et d’expédition, gestion des déchets, chimie, alimentation, fabrication, recherche, fournisseurs numériques.

De plus, la directive rompt avec les définitions anciennes d’opérateurs de services essentiels (OSE) et de fournisseurs de services numériques (FSN). À présent, il est seulement question d’Entité Essentielle (EE) et d’Entité Importante (EI). Cette distinction sert à adapter le niveau d’obligations imposé aux entités.

  • En règle générale et sauf cas particuliers, les Entités Essentielles (EE) seront celles réalisant des activités dans les secteurs catégorisés comme hautement critiques (cf.  annexe 1 de la directive NIS 2), et disposant de plus de 250 salariés ou d’un chiffre d’affaires supérieur à 50 millions d’euros.
  • Les Entités Importantes (EI) seront celles qui effectueront des activités dans les secteurs catégorisés comme critiques (cf.  annexe 2 de la directive NIS 2), et disposant d’au moins 50 salariés ou avec un chiffre d’affaires d’au moins 10 millions d’euros.

Au regard de ces critères objectifs établis, il apparaît que la directive concernera diamétralement plus d’entité. Au plus tard le 17 avril 2025, les États membres devront établir une liste des EI et EE et devront la mettre à jour au moins tous les deux ans par la suite.

Obligations

Actuellement, la directive NIS 2 dresse une liste de mesures de sécurité à minima devant être prises par toutes les entités. On y retrouve :

  • Les politiques relatives à l’analyse des risques et la Politique de Sécurité des Systèmes d’Information (PSSI)
  • La gestion des incidents,
  • Les plans dédiés à la continuité de l’activité (PCA), à sa reprise (PRA), à la gestion des sauvegardes et des crises,
  • La sécurisation de la chaîne d’approvisionnement
  • La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des SI, notamment le traitement et la divulgation des vulnérabilités,
  • L’évaluation des mesures de gestion des risques cyber,
  • Les politiques et procédures liés à la cryptographie,
  • La sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs,
  • L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue,
  • L’utilisation d’outils de communication sécurisés et de systèmes de communication d’urgence en cas de crise.

Les mesures de sécurité à implémenter sont similaires à celles imposées par la première version de la directive NIS. La principale innovation est liée à la sécurisation de la chaîne d’approvisionnement (étant entendue ici comme les relations entre chaque entité et ses fournisseurs ou prestataires de services directs).

Les entités doivent toujours signaler les incidents de sécurité important à l’autorité compétente – l’ANSSI en France – sous 72h maximum. Un incident étant considéré comme important si :

  • Il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
  • Il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Les organes de direction héritent désormais de plus de responsabilité. Ils doivent approuver les mesures de gestion des risques cybersécurité prises par leur DSI et de superviser leur mise en œuvre. Ils peuvent être responsable en cas de violation de la Directive. Ils doivent également suivre une formation afin d’acquérir des connaissances et des compétences suffisantes en cybersécurité.

Enfin, le panel des sanctions a été alourdi. Le montant d’une amende pouvant atteindre jusqu’à 2% du CA mondial de l’entreprise ou 10 millions d’euros.

La directive NIS 2 marque un changement de paradigme dans la gestion de la cybersécurité au sein de l’Union européenne. Du fait de son élargissement, de nombreuses entreprises seront désormais concernées par ce nouveau texte et devront mettre en place des actions pour renforcer leur posture de cybersécurité afin d’être en conformité.

Le 18 octobre 2024, date limite de la transposition de NIS 2 dans la législation nationale de chaque État membre de l’UE, c’est déjà demain ! Le moment est donc venu pour vous, si vous êtes concerné, de réfléchir à la manière de procéder, d’anticiper et de se préparer à votre mise en conformité NIS 2.

Les experts de Lovell Consulting sont là pour vous aider à définir votre trajectoire, par exemple dans le cadre d’un audit de conformité à NI2.

Partager cet article

À lire également

Conformité

[LIVRE BLANC] Naviguer dans l’IA : risques, protections et innovations.

Alors que la transformation numérique s’accélère et que l’intelligence artificielle devient un moteur clé de l’innovation, il est crucial de bien appréhender les défis qui l’accompagnent. Pour maximiser ses bénéfices tout en réduisant les risques, il est indispensable de connaître ses opportunités, ses faiblesses, et les meilleures pratiques à adopter pour une mise en œuvre sécurisée.

Lire la suite
Conformité

La directive NIS 2 : tout savoir sur les changements à venir

La cybersécurité franchit un nouveau cap avec l’avènement de la directive NIS 2, une avancée majeure du cadre juridique européen conçue pour relever les défis croissants en matière de sécurité des réseaux et des systèmes d’information.

Adoptée en décembre 2022, cette directive vient compléter et renforcer les mesures de sa prédécesseure, la directive NIS, dans le but de mieux protéger les secteurs essentiels et critiques contre les cybermenaces.

Lire la suite
Protection des données

Sécuriser ses projets d’IA : retours sur le Summit AWS Paris 2024

Le mercredi 3 avril a eu lieu l’AWS Summit Paris, événement organisé par AWS pour permettre à la communauté du cloud computing (utilisateurs et partenaires), de se connecter, collaborer et en savoir plus sur AWS et ses services. Les 3 grandes thématiques à l’honneur lors de cet événement étaient : le cloud, la data et … l’Intelligence Artificielle (IA) !

Lire la suite