NIS 2 : tout savoir sur la directive européenne sur la cybersécurité
La directive NIS 2 est une réglementation européenne qui renforce la résilience des États membres et des entreprises européennes aux risques liés aux cyberattaques, et ce grâce à des règles plus strictes. Au sein de la directive, on trouve ainsi la mise en œuvre de mesures de sécurité pour une meilleure protection informatique, ainsi que des audits de sécurité et des voies de signalement rapide des cyberincidents.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 de l’Union européenne vise à améliorer la résilience contre les cybermenaces dans les infrastructures essentielles et vitales des États membres. L’acronyme NIS 2 signifie « Network and Information Security 2 » (sécurité des réseaux et de l’information). Entrée en vigueur le 16 janvier 2023, elle remplace la directive NIS 1, qui avait déjà permis un changement de mentalité en matière de sécurité informatique.
Afin d’assurer une protection maximale des États membres de l’UE tant dans le secteur privé que dans le secteur public, cette nouvelle réglementation NIS 2 introduit des règles plus complètes et plus strictes destinées à un public plus large. Le cadre réglementaire vise ainsi à renforcer la cyber-résilience et à lutter plus efficacement contre les cybermenaces et les failles de sécurité. La NIS 2 vise également à garantir que les installations critiques qui fournissent des biens ou des services vitaux à la population soient protégées contre les pannes et les perturbations, même en cas de crise.
Le principal objectif de la NIS 2 est de mieux préparer les entreprises à prévenir les cyberattaques et à réagir efficacement et rapidement aux perturbations informatiques. Une stratégie de sécurité plus cohérente dans les pays de l’UE doit ainsi permettre d’atteindre le plus haut niveau possible de cybersécurité, tant au niveau national qu’international. Tous les Etats membres doivent transposer la directive, dont les obligations concernent aussi bien les petites, moyennes et grandes entreprises, dans leur droit national.
Quels sont les changements apportés par la directive NIS 2 ?
L’obligation de transposition de la directive NIS 2 apporte de profondes nouveautés dans 18 secteurs différents. Deux fois plus de secteurs sont considérés comme critiques par rapport à la réglementation préalable, et la liste des amendes en cas de non-conformité est renforcée. De plus, les dirigeants d’entreprise sont mis à contribution. En France, plus de 10 000 entités réparties dans les 18 secteurs sont concernées : des entreprises, mais aussi des collectivités territoriales et des administrations.
Voici un aperçu des changements apportés par la directive NIS 2 :
- Extension du cercle des secteurs critiques et des entités concernées : NIS 2 classe encore plus de secteurs comme critiques.
- Sanctions plus sévères : la réglementation augmente considérablement les amendes pour les infractions.
- Responsabilité des dirigeants : les cadres supérieurs sont désormais directement responsables de la conformité aux politiques de cybersécurité.
- Champs d’application étendus : la directive NIS 2 s’applique aux entreprises de plus de 50 employés ou dont le chiffre d’affaires est supérieur à 10 millions d’euros, ainsi qu’à certaines entreprises, quelle que soit leur taille.
- Nécessité d’analyses de risques approfondies : les entreprises ont l’obligation d’effectuer des analyses de risques approfondies.
- Exigence de gestion des risques et de la sécurité : des exigences strictes s’appliquent à la gestion des risques et aux mesures de sécurité. Diverses mesures de protection telles que des tests d’intrusion, des pare-feux matériels, et des stratégies de sauvegarde sont obligatoires.
- Gestion de crise obligatoire : en cas d’incident de sécurité, des stratégies de gestion de crise, des voies de communication et des systèmes de notification rapides et efficaces sont nécessaires.
- Utilisation des protocoles de sécurité existants : les entreprises peuvent utiliser les normes de sécurité existantes des secteurs réglementés comme référence.
- Protection contre les attaques par ransomware
- Analyses antivirus régulières
- Sauvegardes automatiques et restaurations faciles
Qui est concerné par la directive NIS 2 ?
NIS 2 distingue les entreprises de la catégorie élargie « entités essentielles » (EE) et de la catégorie « entités importantes » (EI), qui est entièrement nouvelle. Les entreprises directement concernées sont celles qui emploient plus de 50 personnes ou dont le chiffre d’affaires annuel est supérieur ou égal à 10 millions d’euros. De plus, certaines entreprises, quelle que soit leur taille, peuvent être concernées par la NIS 2 si leur défaillance entraîne des risques systémiques. La catégorie « essentielle » comprend les entreprises de onze secteurs, notamment les entreprises considérées comme infrastructures critiques, qui ont un impact essentiel sur le fonctionnement de la société. La catégorie « importante » s’applique à sept secteurs d’importance systémique.
Secteurs et entreprises essentiels (EE)
Les entités essentielles englobent les secteurs critiques dont le bon fonctionnement est vital pour la société. Ces secteurs incluent notamment :
- L’énergie
- L’eau potable
- Les transports
- Le secteur bancaire
- Les infrastructures des marchés financiers
- La santé
- Le secteur spatial
- La gestion des eaux usées
- Les administrations publiques
- Les infrastructures numériques
- La gestion des services TIC (B2B)
Secteurs et entreprises importants (EI)
Les entités importantes, bien que moins critiques pour la société, jouent un rôle clé dans le maintien de la sécurité et de l’économie. Ces secteurs comprennent :
- Les services postaux et d’expédition
- La gestion des déchets
- La fabrication, production et distribution de produits chimiques
- La production, transformation et distribution des denrées alimentaires
- Les fournisseurs numériques
- L’industrie manufacturière
- La recherche
Quelles sont les obligations des entreprises ?
Dans le cadre de la NIS 2, les entreprises sont soumises à des obligations strictes et à des changements significatifs. Il s’agit notamment de :
Domaines de conformité | Mesures |
---|---|
Gestion des risques et gestion de la continuité des activités (§30, 31) | Le chiffrement, l’authentification multi-facteurs, la cyber-hygiène, l’attribution des rôles et le contrôle des accès, la gestion des sauvegardes et la restauration des systèmes, la sécurité de la chaîne d’approvisionnement et l’analyse des risques font partie des mesures obligatoires. Les exigences minimales varient en fonction de la taille de l’entreprise, grâce à la règle du « size cap ». |
Obligations de notification et d’information (§32, 35) | Les incidents de sécurité importants doivent être notifiés à l’ANSSI dans les 24 heures. Les évaluations initiales doivent être disponibles dans les 72 heures. Un rapport final détaillé doit être fourni dans un délai d’un mois. |
Obligations d’enregistrement (§33, 34) | Les entités concernées et les fournisseurs de services de registre de noms de domaine doivent fournir des informations au plus tard trois mois après l’entrée en vigueur de la NIS 2 par le biais d’une option d’enregistrement appropriée. Si l’obligation d’enregistrement n’est pas remplie, elle peut l’être par l’ANSSI. |
Obligations d’approbation, de surveillance et de formation pour les directeurs (§38) | Une délégation des mesures de sécurité de la part de la direction ne suffit plus. La direction doit approuver activement les mesures nécessaires et est parfois tenue de dispenser une formation. |
Mesures de surveillance et d’application (§61, 62) | L’ANSSI agira vraisemblablement en tant qu’autorité de surveillance du respect des mesures requises. Au plus tôt trois ans après l’entrée en vigueur de la NIS 2, l’autorité de contrôle a la possibilité de demander des preuves du respect des obligations. En cas de danger imminent, des mesures peuvent être ordonnées. |
Comment faciliter l’application de la NIS 2 ?
Pour vous conformer rapidement à vos obligations en tant qu’entreprise concernée, vous devriez prendre les mesures suivantes :
- Analyse de l’état actuel et de l’état souhaité : vérifiez si vous êtes concerné par les obligations NIS 2 et déterminez le statu quo et le potentiel d’amélioration de la cyber-résilience de votre entreprise.
- Mise en œuvre : une analyse des risques et des mesures de sécurité doit être appliquées à tous les systèmes d’information
- Évaluation régulière : l’efficacité de vos propres méthodes de gestion des risques doit être évaluée régulièrement.
- Création : il est obligatoire de développer un concept de gestion des incidents de sécurité.
- Gestion des sauvegardes et des crises : des mesures de sauvegarde des données et de gestion de crise doivent être mises en œuvre.
- Système de notification : un système efficace de notification des incidents de sécurité doit être mis en place.
- Formation : les employés doivent être formés régulièrement.
- Sécurité de la chaîne d’approvisionnement : la sécurité de la chaîne d’approvisionnement doit être assurée.
Que se passe-t-il si la NIS 2 n’est pas mise en œuvre ?
Les entreprises qui ne mettent pas en œuvre les mesures prescrites s’exposent à de lourdes amendes (§65). En vertu de la NIS 2, les autorités de contrôle se voient confier des pouvoirs étendus de supervision, de contrôle et d’instruction, y compris l’application des délais. Les chefs d’entreprise doivent désormais assumer une plus grande responsabilité en matière de mesures de protection et de sécurité et peuvent être tenus personnellement responsables en cas d’infraction ou de négligence (§38, §61).
Quand la directive NIS 2 entrera-t-elle en vigueur ?
Le 14 décembre 2022, le Parlement européen et le Conseil ont adopté la directive (UE) 2022/2555, connue sous le nom de « NIS 2 ». Remplaçant la directive NIS, elle est officiellement entrée en vigueur le 16 janvier 2023. Elle doit être transposée dans le droit national de tous les États membres de l’UE avant le 17 octobre 2024. Elle introduit des modifications importantes au règlement eIDAS (UE) n° 910/2014 et à la directive EECC (UE) 2018/1972.
En France, plus de 10 000 entreprises et institutions sont concernées par l’obligation d’application de la NIS 2. C’est l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, qui pilote la transposition de cette réglementation européenne au niveau national. Des réunions de concertation ont été mises en place à partir de l’automne 2023 pour échanger avec les représentants des entités concernées. L’ANSSI a également créé « Mon Espace NIS 2 », un service numérique dont l’objectif est d’accompagner les entités dans la mise en œuvre de la directive.