Tribune de Fabien Lavabre, Responsable sécurité chez Tixeo

Fin 2024, les pays membres de l’Union européenne devront avoir transposé la Directive NIS 2 (Network Information and security) dans leurs lois nationales. Alors que la cybercriminalité ne cesse de croître, ce nouveau texte a pour ambition d’élargir le renforcement de la cybersécurité et de la cyber-résilience de milliers d’entités européennes.

Mais dans un contexte de pénurie de talents et de contraintes budgétaires fortes. Comment les entreprises vont-elles s’organiser pour se conformer à une énième réglementation européenne exigeante ?

De la genèse vers de plus grandes ambitions

Si la directive NIS 1 affichait comme objectif d’élever le niveau commun de cybersécurité des États membres de l’Union Européenne et de mieux protéger les entreprises les plus sensibles (Opérateurs de Services Essentiels), elle constituait surtout une réaction aux nombreuses cyberattaques perpétrées contre l’Europe entre 2005 et 2016. Dans les faits, cette directive n’a été que peu appliquée, notamment en raison des faibles sanctions réellement prononcées.

NIS 2 vient donc élargir le périmètre des entités concernées à 18 secteurs d’activité, comme les administrations publiques, et à des milliers d’entreprises et de sous-traitants. Avec deux objectifs à relever :

  • s’adapter aux cyberattaques d’aujourd’hui qui ciblent tout type d’entité (de la petite PME au groupe du CAC 40),
  • forcer l’application du texte, en appliquant des sanctions similaires à celles prévues par le RGPD et en augmentant leur montant (basé sur le nombre d’employés et le Chiffre d’Affaires) ainsi que le nombre de contrôles.

Une mise en œuvre complexe de la directive NIS 2

Pour répondre à son ambition, NIS 2 reprend principalement les mesures de la norme ISO/IEC 27001. Celles-ci, au-delà d’imposer des critères techniques avancés, impliquent la mise en place de changements structurels et organisationnels.

La Directive y ajoute quelques spécificités, comme la création des Entités Essentielles (EE) et des Entités Importantes (EI). Une classification qui permet d’adapter les exigences à la fois au niveau de risque et au poids de l’organisation et ainsi d’améliorer la proportionnalité des sanctions. Quoi qu’il en soit, une entité déjà certifiée ISO 27001 ne devrait pas avoir de gros efforts à faire pour se mettre en conformité à NIS 2.

À l’inverse, les organisations qui n’ont pas ou peu de culture en cybersécurité vont devoir investir énormément de ressources humaines et financières, pour structurer leur sécurité de manière organisationnelle et adapter leur gouvernance.

Se pose alors la problématique de la pénurie des talents en cybersécurité. NIS 2 devrait concerner au moins 6000 entreprises en France, et plus de 100.000 au niveau européen. Or, en 2023, Cybersecurity Ventures indiquait que 3,5 millions de postes en cybersécurité étaient toujours à pourvoir. Et qu’en parallèle, depuis 2011, le taux de chômage du secteur est à 0%.

L’application de la NIS 2 va se heurter à la réalité du terrain : engager un spécialiste en cybersécurité ne sera possible que pour les sociétés capables de payer des prestations qui devraient être revues à la hausse.

Trois défis majeurs pour les entreprises européennes concernées

Les entreprises devront relever plusieurs défis pour se mettre en conformité avec cette nouvelle directive.

D’abord, elles devront s’y retrouver dans la complexité des textes de lois européens, toujours plus nombreux et exigeants. En effet, NIS 2 est un énième texte réglementaire sur la cybersécurité, un de plus au niveau mondial. Entre les mises à jour et les nouveautés concernant les normes internationales, les frameworks et les types de réglementations (règlements, directives, lois, décrets, arrêtés…), les entités concernées doivent suivre la marche. D’autant plus que d’autres textes européens arrivent comme l’IA Act (proposition de règlement européen sur l’intelligence artificielle) et deux projets de certifications de cybersécurité européennes (EUCC pour les produits TIC et l’EUCS pour le cloud).

Ensuite, les entités devront trouver des ressources humaines suffisamment qualifiées et expérimentées (juristes, consultants, RSSI…) pour répondre à toutes ces exigences.

Enfin, elles devront sélectionner, parmi les multiples produits de sécurité du marché, ceux qui leur conviennent. Le coût cumulé sera non négligeable. Ces dépenses sont certes nécessaires mais loin d’être à la portée financière de petites entités. Même si certains éditeurs ont anticipé cette problématique et adapté leurs offres pour s’adresser au plus grand nombre.

Et si NIS 2 était trop ambitieuse ?

Volonté utopique et politique, la Directive NIS 2 promet d’imposer un socle de sécurité commun à différents secteurs dont font partie des milliers d’organisations. Mais cette mise en œuvre paraît trop ambitieuse car elle s’appuie sur un écosystème fragilisé par le manque de ressources humaines. Les organisations devront être guidées, notamment avec des plans de formations ou des subventions, afin de réaliser leur mise en conformité.  

Dans un univers de la cybersécurité où la gestion du risque est primordiale, les entreprises devront soigneusement évaluer le rapport entre les ressources investies dans la mise en conformité à NIS 2, en tenant compte de la probabilité des risques encourus, et des amendes potentielles.

Après NIS 1 en 2016,  NIS 2 en 2023, quid de NIS 3 ? en 2030 ? L’Europe décidera-t-elle de poursuivre l’élargissement des mesures aux toutes petites entreprises ou rajoutera-t-elle de nouvelles exigences aux EE et EI ? Une chose est sûre : l’accompagnement renforcé des entités et la simplification de cet arsenal législatif pourraient être les bienvenus.


FAQ :

Qu’est-ce que la Directive NIS 2 ?

La Directive NIS 2 (Network and Information Systems) est une réglementation de l’Union Européenne visant à améliorer la cybersécurité et la cyber-résilience des infrastructures critiques. Elle étend les obligations de sécurité à 18 secteurs d’activité critiques et impose des mesures strictes pour la protection des réseaux et des systèmes d’information.

Quels sont les objectifs principaux de la Directive NIS 2 ?

La Directive vise à renforcer la cybersécurité des entités dites « essentielles » ou « importantes » grâce à différentes stratégies comme l’analyse des risques, le traitement des incidents ou encore la continuité des activités. Son ambition est d’harmoniser les exigences de sécurité à travers l’UE.

Pourquoi est-il essentiel de se conformer à la Directive NIS 2 ?

Se conformer à la Directive NIS 2 est crucial pour éviter des sanctions sévères et garantir la continuité des activités en cas d’incident cyber. La conformité assure également une protection accrue des données sensibles et renforce la confiance des clients et partenaires.

Comment Tixeo aide-t-elle à se conformer à la Directive NIS 2 ?

Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, qui répond aux exigences strictes de la Directive NIS 2.

Quelles sont les innovations de Tixeo en matière de visioconférences sécurisées ?

Depuis plus de 10 ans, Tixeo développe sa propre technologie de chiffrement de bout en bout. La conception de la solution répond aux principes du Secure by Design, intégrant la sécurité dès les premières étapes de développement du logiciel.

Qui est concerné par la Directive NIS 2 ?

La Directive concerne plus de 100 000 organisations européennes dans des secteurs critiques comme l’énergie, les transports, les banques, les infrastructures du marché financier, la santé, l’eau potable et les infrastructures numériques.

Quelles sanctions sont prévues en cas de non-conformité à la Directive NIS 2 ?

Les sanctions pour non-conformité incluent des amendes significatives et des mesures correctives imposées par les autorités compétentes. La Directive prévoit également des mécanismes de surveillance et de sanctions harmonisés au niveau de l’UE.

Quelles sont les étapes pour se conformer à la Directive NIS 2 ?

Pour se conformer à la Directive NIS 2, les entreprises doivent effectuer une évaluation des risques et allouer des ressources humaines spécialisées afin de mettre en place des mesures de sécurité appropriées. Elles devront aussi surveiller et signaler les incidents et assurer la formation et la sensibilisation de leur personnel, et notamment de leurs dirigeants, à la cybersécurité.