La Directive NIS 2 marque une avancée significative en matière de cybersécurité et cyber-résilience en Europe. Face à l’intensification des cybermenaces, il est essentiel que les entités concernées se mettent en conformité pour protéger leurs infrastructures critiques. Quels sont les enjeux de NIS 2 ? Après son entrée en vigueur en Europe, quelles sont les prochaines étapes vers la conformité à la directive ? Voici un aperçu des prochaines actions que les organisations et Etats membres de l’UE doivent entreprendre pour répondre aux exigences de la Directive NIS 2.
Pourquoi la mise en conformité est cruciale ?
L’obligation de conformité à la Directive NIS 2 concerne des milliers d’organisations européennes opérant dans 18 secteurs d’activité, évalués comme critiques ou hautement critiques. Alors que la cyberguerre accentue les risques de cybersécurité, cette nouvelle Directive impose un renforcement des mesures de protection des réseaux et systèmes d’information et une amélioration de la gestion des risques. La non-conformité peut non seulement entraîner des amendes substantielles, mais aussi compromettre la sécurité des services essentiels et la réputation des organisations. C’est le cas de sociétés dans le secteur Finance qui, en cas de crise cyber et de coupure d’activité, peut perdre la confiance de ses clients. Selon le « Global Financial Stability Report » du Fonds Monétaire International (FMI), publié en avril 2024, cela peut entraîner une baisse des dépôts de 5 % sur plusieurs mois, pouvant déclencher des problèmes de liquidité importants.
Comprendre les exigences de la Directive NIS 2
Nouveautés dans le champ d’application
La Directive NIS 2 étend considérablement son champ d’application par rapport à la Directive NIS 1. Les grandes entreprises, mais aussi les entreprises moyennes et certaines entités critiques, telles que les fournisseurs de services TIC et les infrastructures numériques, doivent se conformer à de nouvelles obligations strictes. Cette extension vise à garantir un niveau de cybersécurité plus homogène à travers l’Europe, en englobant notamment les administrations publiques.
Principales obligations de cybersécurité
La Directive NIS 2 impose la mise en place de mesures de sécurité techniques et organisationnelles, notamment la sécurisation des réseaux et systèmes, des mesures de gestion des risques et de sécurité de la chaîne d’approvisionnement. Chaque entité a pour responsabilité de cartographier ses risques, sécuriser davantage son système d’information et informer sans délai les autorités compétentes en cas d’incident de sécurité via les canaux dédiés.
Des amendes élevées
À la différence de NIS 1, la nouvelle Directive expose les organisations critiques à des amendes élevées en cas de non-conformité. Celles-ci peuvent aller jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires annuel mondial pour les entités dites essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités dites importantes.
Étape 1 : S’identifier comme entité essentielle ou importante
D’ici le 17 janvier 2025, les organisations concernées par NIS 2 devront se déclarer comme entité essentielle (EE) ou entité importante (EI) auprès de l’autorité nationale compétente pour la mise en œuvre de la Directive.
Pour rappel, ces deux catégories d’entités élargissent le champ d’application et remplacent le statut d’OSE (opérateur de services essentiels). Elles se différencient par le degré de criticité, la taille et le chiffre d’affaires de l’organisation. Les sanctions encourues par les entités essentielles non conformes seront également plus importantes.
Comme précisé sur le site Mon Espace NIS 2, « les mécaniques d’identification des entités concernées par la directive NIS 2 seront précisées au travers du processus de transposition de la directive en droit national. » Il appartient donc à chaque pays membre de l’UE de dresser la liste des entités essentielles et importantes du pays. En France, l’ANSSI donnera prochainement plus d’informations sur le sujet.
Néanmoins, selon le site du Centre pour la Cybersécurité de Belgique (CCB), certains critères permettent déjà de définir les deux catégories :
- une organisation constituant une grande entreprise (au sens de la recommandation 2003/361/CE de la Commission du 6 mai 2003) et fournissant au moins un service repris à l’annexe I est une entité essentielle ;
- Sauf exceptions, une organisation constituant une moyenne entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe I est une entité importante ;
- Une organisation constituant une grande ou une moyenne entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe II est une entité importante.
En Hongrie, les organisations critiques avaient jusqu’au 30 juin 2024 pour se déclarer. Toutes les entreprises qui dépassent la définition hongroise des petites entreprises sont concernées (celles employant au moins 50 personnes ou dont le chiffre d’affaires annuel dépasse 3,9 milliards de HUF, soit 10 millions d’euros).
Le pays ne fait donc pas de distinction entre les EE et EI. Cependant, les entreprises doivent classifier leur système d’information selon les niveaux de sécurité « basique », « significatif » ou « élevé » pour adapter les mesures de cybersécurité à mettre en œuvre. (Source : Open Kritis)
Étape 2 : évaluation des risques et des systèmes existants
Analyse des vulnérabilités
La première étape pour se conformer à la Directive NIS 2 est d’analyser les vulnérabilités de ses réseaux et systèmes actuels. Les entités doivent effectuer une évaluation approfondie des failles potentielles qui pourraient compromettre la sécurité des informations critiques. Cela comprend l’identification des points d’entrée susceptibles d’être exploités par des cyberattaquants, notamment par l’audit de la chaîne d’approvisionnement.
En effet, les vulnérabilités logicielles représentent une aubaine pour de nombreux cyberattaquants et la recrudescence des « supply chain attack » l’illustre parfaitement. Celles-ci exploitent des failles présentes dans des systèmes, des processus ou des outils, liant un fournisseur ou sous-traitant à une organisation cible. Souvent, les attaquants visent l’entité la moins sécurisée, ce qui en fait une cyberattaque particulièrement dévastatrice et sophistiquée.
Un exemple marquant : l’attaque SolarWinds, découverte en décembre 2020, avec l’infiltration d’un malware dans les mises à jour du logiciel de gestion de réseau Orion. Environ 18 000 clients, y compris des agences gouvernementales américaines et des entreprises sensibles, ont été affectés.
Cela rappelle l’importance de privilégier des logiciels conçus selon une approche Secure by design, qui permet d’étudier, dès la conception, les potentielles vulnérabilités d’un produit ou service afin de réduire les risques.
Cartographie des actifs et infrastructures critiques
Ensuite, il est crucial de réaliser une cartographie des actifs et des infrastructures critiques. Cette cartographie permet de visualiser clairement les ressources à protéger et d’évaluer leur niveau de risque. La Directive NIS 2 demande aux entités essentielles de connaître précisément leurs infrastructures pour mieux les sécuriser. Pour des entreprises dans le secteur des télécommunications, la cartographie des centres de données et des réseaux permet d’identifier et de mettre en place une surveillance des éléments les plus sensibles.
Dans le secteur financier, le risque cyber est un danger majeur selon la Banque Centrale Européenne (BCE). La structure même du secteur, caractérisée par la concentration et l’interconnexion des institutions autour de services clés (paiements, règlements, dépôts centraux), augmente les risques. La dépendance vis-à-vis d’un nombre limité de fournisseurs IT critiques ajoute également à la vulnérabilité du système bancaire, tout comme la possibilité de contagion d’un problème d’une institution à l’autre.
Étape 3 : Mise en place des mesures de sécurité techniques et organisationnelles
Renforcement des politiques de sécurité
Le renforcement des politiques de sécurité est une obligation clé de la Directive NIS 2. Les entreprises doivent mettre en place des politiques de sécurité strictes, notamment en ce qui concerne l’accès aux données et la gestion des incidents. Il peut s’agir de politiques de contrôle d’accès, basées sur le principe du moindre privilège, garantissant que chaque employé n’ait accès qu’aux informations nécessaires pour son travail.
Déploiement de solutions d’authentification multi-facteurs
L’utilisation de solutions d’authentification multifactorielle est également exigée pour renforcer la sécurité des systèmes d’information. Cette mesure permet de garantir que seules les personnes autorisées peuvent accéder aux systèmes sensibles. En combinant plusieurs méthodes d’authentification, telles que des mots de passe, des codes à usage unique et des jetons de sécurité, les entreprises peuvent réduire considérablement les risques de cyberintrusion.
Étape 4 : Préparation à la notification des incidents
Délais et étapes de notification
La notification des incidents est une autre exigence importante de la Directive NIS 2. En cas d’incident de cybersécurité, les entités sont tenues d’informer les autorités nationales compétentes sans retard injustifié. Les détails des processus et délais accordés diffèrent d’un pays à l’autre.
En France, l’ANSSI précise que la notification doit être envoyée dans les 24 heures.
En Belgique, le processus comprend trois étapes ; suite à un incident significatif, l’organisation doit :
– envoyer une première alerte précoce dans les 24 heures
– envoyer une notification d’incident dans les 72 heures
– et enfin, un rapport final sous 1 mois à compter de l’incident.
Respecter ces délais est essentiel pour garantir une réponse coordonnée aux incidents et prévenir de futures cyberattaques.
En Croatie cependant, où la transposition de NIS 2 dans la législation nationale a déjà eu lieu, aucune obligation de notification d’incident dans les 24 ou 72 heures n’est spécifiée.
Formation des équipes sur les protocoles d’alerte
Pour assurer une notification efficace des incidents, il est essentiel de former les équipes sur les protocoles d’alerte. Les employés nécessitent de reconnaître un incident et de maîtriser les étapes à suivre pour réagir vite, en alertant d’abord les autorités compétentes. Une bonne préparation permet de réduire le temps de réaction et de limiter les impacts des incidents, notamment sur la continuité d’activité. Des simulations d’de crise peuvent être intéressantes à mettre en place pour s’assurer que chaque collaborateur connaît son rôle en cas de cyberattaque.
Étape 5 : sensibilisation et formation du personnel
L’importance de la culture de cybersécurité
Renforcer la culture cybersécurité au sein de l’entité est un élément central aujourd’hui pour faire face aux cybermenaces, au-delà de la mise en conformité avec la Directive NIS 2. Cela signifie que chaque employé, quel que soit sa position dans l’organisation et son métier, comprend l’importance de la sécurité informatique et sait comment agir à son échelle pour la protection des données. Cela réduit les risques liés aux erreurs humaines, souvent à l’origine des cyberincidents.
L’article 20 de la nouvelle Directive européenne impose même aux entreprises de mettre en place des programmes de formations réguliers en interne. Ces derniers doivent couvrir les meilleures pratiques en matière de cybersécurité, telles que la gestion des accès et des mots de passe, la reconnaissance du phishing ou encore la réponse aux incidents. La formation régulière permet de maintenir un niveau élevé de vigilance au sein des effectifs. Les dirigeants sont également soumis à une obligation de formation plus spécifique, afin qu’ils puissent superviser correctement les décisions prises en matière de cybersécurité dans l’organisation.
Étape 6 : Responsabilisation du top management
Le rôle des dirigeants dans la conformité NIS 2
Le top management joue un rôle crucial dans la mise en conformité avec la Directive NIS2. Les dirigeants ont pour mission d’approuver les politiques de cybersécurité, superviser leur mise en œuvre et s’assurer que des ressources suffisantes soient allouées pour sécuriser les systèmes d’information. La Directive NIS2 responsabilise d’autant plus les dirigeants en les rendant directement responsables des manquements en matière de sécurité et de cyber-résilience.
Sanctions élevées en cas de non-respect des obligations
En cas de non-respect des exigences de NIS 2, aussi bien sur le plan technique qu’organisationnel avec les formations, les sanctions peuvent être sévères. Les entités essentielles peuvent se voir infliger des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel. Pour les entités importantes, elles peuvent aller jusqu’à 7 millions d’euros ou 1,4% du chiffres d’affaires annuel. En plus des amendes financières, des sanctions administratives peuvent être imposées, telles que la suspension temporaire des activités critiques. Cette responsabilisation financière et administrative est destinée à garantir que la cybersécurité soit une priorité stratégique pour les organisations européennes.
Étape 7 : collaboration avec les autorités et le secteur
Coopération avec les autorités nationales
La coopération avec les autorités nationales de cybersécurité, telles que l’ANSSI en France, est essentielle pour assurer une mise en conformité efficace. Ces organismes ont été désignés dans chaque pays pour s’assurer de la mise en oeuvre et du suivi de NIS 2, en accompagnant les entités concernées. Ils font ainsi office de points de référence concernant l’ensemble des règles à appliquer et peuvent émettre des recommandations.
Participation aux évaluations par les pairs
La Directive NIS 2 a pour but initial d’harmoniser le niveau de cybersécurité global au sein de l’Union européenne et de renforcer la coopération européenne sur le sujet. Pour cela, des évaluations par les pairs sont prévues pour garantir que les entreprises respectent les normes de sécurité les plus élevées. Les États membres devront s’y soumettre régulièrement : comme précisé sur le site de la CCB, « l’Agence européenne de cybersécurité ENISA publiera tous les deux ans un « Cybersecurity State ofthe Union »; et une base de données européenne sur les vulnérabilités sera constituée. »
Participer à ces évaluations permettra aux entreprises de bénéficier de retours d’expérience constructifs et de renforcer leur résilience face aux cybermenaces.
Étape 8 : audits et suivi continu
Audits internes et externes
Pour garantir la conformité continue à la Directive NIS2, les entreprises doivent réaliser des audits internes et externes réguliers. Ces audits permettent de vérifier que les mesures de sécurité techniques et organisationnelles soient bien mises en œuvre et respectent les exigences réglementaires. Un audit externe peut offrir une vision objective des points faibles à corriger. Les Etats membres ont également la possibilité de réaliser des audits externes réguliers, d’effectuer des inspections ou même d’ordonner la production de certains documents par l’organisation.
Pourquoi agir pour la conformité NIS 2 ?
La mise en conformité avec la Directive NIS 2, outre le fait d’être une obligation réglementaire, présente de nombreux avantages. Elle permet d’améliorer la résilience de l’entreprise face aux cyberattaques, qui pourra répondre plus rapidement aux incidents et minimiser les impacts sur son activité.
Les prochaines échéances
Voici les principales échéances à l’échelle européenne pour la mise en oeuvre de la Directive NIS 2 :
– 17 octobre 2024 : date butoir pour la transposition de NIS 2 dans la législation nationale des Etats membres
Seuls 3 pays européens ont, à date, réalisé l’exercice.
- 17 janvier 2025 :
- Déclaration des entités concernées auprès des autorités nationales compétentes.
- Notification des règles et mesures adoptées par les Etats membres à la Commission Européenne.
– 17 avril 2025 :
Dépôt de la liste des EE et EI de chaque pays membre auprès de la Commission Européenne.
FAQ sur la conformité NIS 2
Les étapes clés de la mise en conformité avec la Directive NIS 2 incluent l’évaluation des risques, la mise en place de mesures de sécurité techniques et organisationnelles, la préparation à la notification des incidents, la sensibilisation et la formation du personnel, la responsabilisation du top management, la collaboration avec les autorités, et la réalisation d’audits réguliers. Chaque étape du plan de mise en conformité est essentielle pour élever le niveau de sécurité des réseaux et assurer la protection des infrastructures critiques.
Pour se préparer à la Directive NIS 2, les entreprises doivent suivre plusieurs étapes : évaluer les risques, mettre en place des mesures de sécurité, et former le personnel. Il est important de savoir si vous êtes concerné par la directive en fonction de votre secteur d’activités. La préparation à la conformité comprend également la sensibilisation du top management et la coopération avec les autorités nationales.
La Directive NIS 2 s’applique aux entités essentielles et importantes, couvrant divers secteurs d’activités tels que l’énergie, les transports, la santé, les infrastructures numériques, et les services financiers. Les organisations, qu’elles soient publiques ou privées, sont tenues de se conformer à ces nouvelles obligations de cybersécurité, en fonction de leur taille et de leur secteur d’activité. Pour vérifier si votre organisation est concernée, consultez les annexes I et II de la directive NIS2.
Les enjeux de la Directive NIS2 sont principalement liés à la sécurité des réseaux et systèmes d’information, la cybersécurité, et la protection des infrastructures critiques. Le renforcement des mesures de sécurité est obligatoire pour faire face aux risques cybernétiques croissants. La directive vise à harmoniser le niveau de cybersécurité au sein de l’Union européenne et à améliorer la résilience des services essentiels contre les cybermenaces.
Les sanctions prévues par la Directive NIS 2 sont strictes pour les entités qui ne respectent pas leurs obligations. Le régime de sanctions inclut des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise, pour les entités essentielles. En plus des amendes, des sanctions administratives peuvent être appliquées, telles que des avertissements ou des instructions contraignantes pour remédier aux insuffisances. Il est donc crucial de se conformer aux obligations de la directive afin d’éviter des sanctions inutiles.
Pour élever le niveau de cybersécurité, des mesures de sécurité robustes doivent être appliquées, telles que l’authentification multi-facteurs, la gestion des incidents, et la sécurisation de la chaîne d’approvisionnement. La Directive NIS2 recommande également des stratégies de cybersécurité telles que la continuité des activités et la formation continue du personnel. Une bonne gestion des risques est essentielle pour renforcer la cybersécurité globale de l’organisation.
L’impact de la Directive NIS2 est significatif, en particulier pour celles opérant dans des secteurs critiques. Elle l’est également pour des petites organisations, qui doivent mobiliser des moyens supplémentaires. En effet, cela implique des investissements en temps, en ressources, et en formation pour améliorer la sécurité des systèmes d’information et protéger les infrastructures critiques contre les cybermenaces.