Cette réglementation en matière de cybersécurité à l’échelle européenne est inédite. Ses exigences sont nombreuses afin que les organisations européennes justifient d’un niveau élevé commun en matière de sécurité informatique. Les entreprises vont devoir s’y conformer, et vite. Voici les principales évolutions de la nouvelle directive NIS 2.
NIS 2 : un élargissement du champ d’action de NIS 1
En 2016, la directive « Network and Information Security » (NIS) était adoptée par le Parlement européen et le Conseil de l’Union européenne. Son objectif principal était d’augmenter le niveau de cybersécurité d’organisations majeures dans une dizaine de secteurs d’activité à haut risque. En France, cela représentait une centaine d’acteurs.
Avec l’intensification des cybermenaces, dans un contexte géopolitique tendu, de plus en plus d’entreprises et d’institutions sont concernées par les risques d’incidents informatiques.
C’est pourquoi, l’Europe a publié, dès la fin de l’année 2022, une extension de cette directive NIS 1 avec NIS 2. Son but est d’élargir le périmètre des secteurs concernés et de renforcer les exigences en matière de cybersécurité.
De ce fait, cette nouvelle directive emploie une « approche tous risques ». Autrement dit, elle oblige un large panel d’organisations à mieux protéger leurs réseaux et systèmes d’informations, grâce à la combinaison de multiples stratégies cyber. Parmi elles :
- l’analyse des risques,
- le traitement des incidents,
- la continuité des activités,
- la sécurité de la chaîne d’approvisionnement,
- ou encore l’utilisation de systèmes de communication d’urgence sécurisés au sein de l’organisation.
Tous les secteurs (ou presque) sont concernées
NIS 2 concernera désormais des milliers d’entités, dans plus de 18 secteurs d’activité. Toutes les entités privées ou publiques de plus de 50 personnes, ou avec un chiffre d’affaires dépassant 10 millions d’euros sont concernées. Parmi elles figurent des entreprises du numérique ou certaines administrations ou collectivités, particulièrement ciblées par des cyberattaques ces derniers mois. Ces secteurs sont classés dans deux catégories : les secteurs hautement critiques et les secteurs critiques.
Dans les secteurs classés comme hautement critiques, on trouve :
- l’énergie
- les transports
- le secteur bancaire
- les infrastructures des marchés financiers
- la santé
- l’eau potable
- les eaux usées
- l’infrastructure numérique
- la gestion des services TIC
- l’administration publique
- l’espace
Les secteurs considérés comme critiques sont :
- les services postaux et d’expédition
- la gestion des déchets
- la fabrication, production et distribution de produits chimiques
- la production, transformation et distribution des denrées alimentaires
- la fabrication
- les fournisseurs numériques
- la recherche
Deux nouvelles catégories d’entités (EE et EI)
L’autre nouveauté apportée par NIS 2 est le classement des entités en deux catégories distinctes : les entités essentielles (EE) et les entités importantes (EI). Ce classement se fait en fonction du niveau de criticité, des effectifs et du chiffre d’affaires mondial des entreprises concernées. Une grande entreprise emploie au moins 250 personnes et/ou a un chiffre d’affaires annuel de 50 millions d’euros minimum. Une moyenne entreprise emploie au moins 50 personnes et/ou a un chiffre d’affaires annuel de plus de 10 millions d’euros.
Ainsi, les entités essentielles regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques. Les entités importantes concerneraient principalement les grandes et moyennes organisations dans les secteurs classés comme critiques et les moyennes organisations classées dans les secteurs hautement critiques. Cette distinction permettra d’adapter les exigences mais aussi les sanctions à l’égard des organisations et ce, de façon proportionnelle, en fonction de leurs moyens et des enjeux liés à la protection de leurs données.
À noter que dans certains secteurs, le fort niveau de criticité pourra justifier une désignation comme entité essentielle, et ce quel que soit la taille de l’organisation. C’est le cas notamment des entités identifiées comme critiques au niveau national par la directive CER.
Des sanctions plus rudes
Enfin, avec la directive NIS 2, le régime de sanction est également renforcé. Une organisation qui ne met pas en place les mesures de gestion de risques appropriées ou qui ne notifient pas assez rapidement un incident de sécurité risquera une amende proportionnelle à son chiffre d’affaires et à son niveau de criticité. Les entreprises pourront ainsi être soumises à des amendes comprises entre 1,4% à 2% de leur chiffre d’affaires, pouvant aller jusqu’à 10 millions d’euros.
De plus, les États membres de l’Union européenne sont en mesure d’exiger auprès des entités la réalisation d’audits ou d’inspections. Si besoin, ils pourront prononcer des avertissements et consignes.
Focus sur deux nouvelles obligations pour les organisations
Signalement des incidents de sécurité
Avec NIS 2, à la survenue d’un incident de cybersécurité, les organisations disposeraient d’un délai de 24 heures pour le signaler à l’ANSSI. Ce délai n’est pas encore définitif et pourra être revu avant la transposition nationale de la directive. Pour autant, l’ensemble des organisations concernées par NIS 2 devront s’organiser pour réagir vite. Cette notification initiale s’apparente à un rapport préliminaire, qui devra être complété par un rapport final. L’objectif est d’améliorer la réactivité des autorités lors d’un incident et de tracer plus précisément les cyberattaques.
Formation des dirigeants, managers et collaborateurs à la cybersécurité
La formation interne est un point clé de cette nouvelle directive et encourage une prise de conscience massive du sujet de la cybersécurité.
En effet, l’enjeu principal de NIS 2 est d’obliger la mise en place de mesures techniques, mais aussi et surtout de mesures opérationnelles et organisationnelles. L’organisation toute entière doit être mobilisée pour sa cybersécurité et non uniquement le service informatique. C’est pourquoi, la directive prévoit une obligation de formation en cybersécurité des dirigeants, lesquels devront systématiquement approuver l’ensemble des mesures de sécurité. D’autant plus que les dirigeants représentant l’organisation pourront être tenus responsables en cas de non-respect des obligations de la directive.
Dans cette optique de généraliser la cybersécurité à toutes les fonctions, la directive NIS2 pourrait redéfinir la fonction de DPO (Déléguée à la protection des données personnelles) en lui allouant des missions relatives à l’application de cette directive. Des nouvelles tâches qui seront en cohérence avec celles pour le respect du RGPD (Règlement Général sur la Protection des Données). Une façon de considérer la cybersécurité comme un risque juridique, et non plus comme l’apanage des RSSI.
À quelle date les organisations devront-elles s’y conformer ?
D’abord, la directive sera transposée à l’échelle nationale dans les 27 pays de l’UE dès le 17 octobre 2023. Puis, elle sera inscrite dans la loi dès septembre 2024 et devra s’appliquer de façon obligatoire à toutes les entreprises et administrations concernés. Pour autant, les organisations doivent se préparer dès à présent à ces nouvelles normes de cybersécurité, en augmentant leur niveau de sécurité. Ainsi, elles pourront pallier à l’augmentation croissante des cybermenaces.
Comment se préparer à NIS 2 ?
Dès maintenant, les organisations concernées par la Directive NIS 2 peuvent se faire accompagner par des experts afin d’évaluer le niveau de sécurité de leur système d’informations et recevoir des préconisations.
En tant que prestataire de confiance, certifié et qualifié par l’ANSSI, Tixeo accompagne les OSE et OIV dans leur mise en conformité NIS 2. En effet, l’utilisation de systèmes de communication sécurisés fait partie des recommandations pour assurer une continuité d’activité en cas de crise. La protection des communications en ligne est ainsi gage de cyber résilience des organisations.
Pour en savoir plus sur la Directive NIS2, regardez le replay du webinaire de l’ANSSI