Cette réglementation en matière de cybersécurité à l’échelle européenne est inédite. Ses exigences sont nombreuses afin que les organisations européennes justifient d’un niveau élevé commun en matière de sécurité informatique. Les entreprises vont devoir s’y conformer, et vite. Voici les principales évolutions de la nouvelle directive NIS 2.
NIS 2 : un élargissement du champ d’action de NIS 1
En 2016, la directive « Network and Information Security » (NIS) était adoptée par le Parlement européen et le Conseil de l’Union européenne. Son objectif principal était d’augmenter le niveau de cybersécurité d’organisations majeures dans une dizaine de secteurs d’activité à haut risque. En France, cela représentait une centaine d’acteurs.
Avec l’intensification des cybermenaces, dans un contexte géopolitique tendu, de plus en plus d’entreprises et d’institutions sont concernées par les risques d’incidents informatiques.
C’est pourquoi, l’Europe a publié, dès la fin de l’année 2022, une extension de cette directive NIS 1 avec NIS 2. Son but est d’élargir le périmètre des secteurs concernés et de renforcer les exigences en matière de cybersécurité.
De ce fait, cette nouvelle directive emploie une « approche tous risques ». Autrement dit, elle oblige un large panel d’organisations à mieux protéger leurs réseaux et systèmes d’informations, grâce à la combinaison de multiples stratégies cyber. Parmi elles :
- l’analyse des risques,
- le traitement des incidents,
- la continuité des activités,
- la sécurité de la chaîne d’approvisionnement,
- ou encore l’utilisation de systèmes de communication d’urgence sécurisés au sein de l’organisation.
Tous les secteurs (ou presque) sont concernées
NIS 2 concernera désormais des milliers d’entités, dans plus de 18 secteurs d’activité. Toutes les entités privées ou publiques de plus de 50 personnes, ou avec un chiffre d’affaires dépassant 10 millions d’euros sont concernées. Parmi elles figurent des entreprises du numérique ou certaines administrations ou collectivités, particulièrement ciblées par des cyberattaques ces derniers mois. Ces secteurs sont classés dans deux catégories : les secteurs hautement critiques et les secteurs critiques.
Dans les secteurs classés comme hautement critiques, on trouve :
- l’énergie
- les transports
- le secteur bancaire
- les infrastructures des marchés financiers
- la santé
- l’eau potable
- les eaux usées
- l’infrastructure numérique
- la gestion des services TIC
- l’administration publique
- l’espace
Les secteurs considérés comme critiques sont :
- les services postaux et d’expédition
- la gestion des déchets
- la fabrication, production et distribution de produits chimiques
- la production, transformation et distribution des denrées alimentaires
- la fabrication
- les fournisseurs numériques
- la recherche
Deux nouvelles catégories d’entités (EE et EI)
L’autre nouveauté apportée par NIS 2 est le classement des entités en deux catégories distinctes : les entités essentielles (EE) et les entités importantes (EI). Ce classement se fait en fonction du niveau de criticité, des effectifs et du chiffre d’affaires mondial des entreprises concernées. Une grande entreprise emploie au moins 250 personnes et/ou a un chiffre d’affaires annuel de 50 millions d’euros minimum. Une moyenne entreprise emploie au moins 50 personnes et/ou a un chiffre d’affaires annuel de plus de 10 millions d’euros.
Ainsi, les entités essentielles regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques. Les entités importantes concerneraient principalement les grandes et moyennes organisations dans les secteurs classés comme critiques et les moyennes organisations classées dans les secteurs hautement critiques. Cette distinction permettra d’adapter les exigences mais aussi les sanctions à l’égard des organisations et ce, de façon proportionnelle, en fonction de leurs moyens et des enjeux liés à la protection de leurs données.
À noter que dans certains secteurs, le fort niveau de criticité pourra justifier une désignation comme entité essentielle, et ce quel que soit la taille de l’organisation. C’est le cas notamment des entités identifiées comme critiques au niveau national par la directive CER.
Une nouvelle dénomination pour les OSE
Des sanctions plus rudes
Enfin, avec la directive NIS 2, le régime de sanction est également renforcé. Une organisation qui ne met pas en place les mesures de gestion de risques appropriées ou qui ne notifient pas assez rapidement un incident de sécurité risquera une amende proportionnelle à son chiffre d’affaires et à son niveau de criticité. Les entreprises pourront ainsi être soumises à des amendes comprises entre 1,4% à 2% de leur chiffre d’affaires, pouvant aller jusqu’à 10 millions d’euros.
De plus, les États membres de l’Union européenne sont en mesure d’exiger auprès des entités la réalisation d’audits ou d’inspections. Si besoin, ils pourront prononcer des avertissements et consignes.
Focus sur deux nouvelles obligations pour les organisations
Signalement des incidents de sécurité
Avec NIS 2, à la survenue d’un incident de cybersécurité, les organisations disposeraient d’un délai de 24 heures pour le signaler à l’ANSSI. Ce délai n’est pas encore définitif et pourra être revu avant la transposition nationale de la directive. Pour autant, l’ensemble des organisations concernées par NIS 2 devront s’organiser pour réagir vite. Cette notification initiale s’apparente à un rapport préliminaire, qui devra être complété par un rapport final. L’objectif est d’améliorer la réactivité des autorités lors d’un incident et de tracer plus précisément les cyberattaques.
Formation des dirigeants, managers et collaborateurs à la cybersécurité
La formation interne est un point clé de cette nouvelle directive et encourage une prise de conscience massive du sujet de la cybersécurité.
En effet, l’enjeu principal de NIS 2 est d’obliger la mise en place de mesures techniques, mais aussi et surtout de mesures opérationnelles et organisationnelles. L’organisation toute entière doit être mobilisée pour sa cybersécurité et non uniquement le service informatique. C’est pourquoi, la directive prévoit une obligation de formation en cybersécurité des dirigeants, lesquels devront systématiquement approuver l’ensemble des mesures de sécurité. D’autant plus que les dirigeants représentant l’organisation pourront être tenus responsables en cas de non-respect des obligations de la directive.
Dans cette optique de généraliser la cybersécurité à toutes les fonctions, la directive NIS2 pourrait redéfinir la fonction de DPO (Déléguée à la protection des données personnelles) en lui allouant des missions relatives à l’application de cette directive. Des nouvelles tâches qui seront en cohérence avec celles pour le respect du RGPD (Règlement Général sur la Protection des Données). Une façon de considérer la cybersécurité comme un risque juridique, et non plus comme l’apanage des RSSI.
À quelle date les organisations devront-elles s’y conformer ?
D’abord, la directive sera transposée à l’échelle nationale dans les 27 pays de l’UE dès le 17 octobre 2023. Puis, elle sera inscrite dans la loi dès septembre 2024 et devra s’appliquer de façon obligatoire à toutes les entreprises et administrations concernés. Pour autant, les organisations doivent se préparer dès à présent à ces nouvelles normes de cybersécurité, en augmentant leur niveau de sécurité. Ainsi, elles pourront pallier à l’augmentation croissante des cybermenaces.
Comment se préparer à NIS 2 ?
Dès maintenant, les organisations concernées par la Directive NIS 2 peuvent se faire accompagner par des experts afin d’évaluer le niveau de sécurité de leur système d’informations et recevoir des préconisations.
En tant que prestataire de confiance, certifié et qualifié par l’ANSSI, Tixeo accompagne les OSE et OIV dans leur mise en conformité NIS 2. En effet, l’utilisation de systèmes de communication sécurisés fait partie des recommandations pour assurer une continuité d’activité en cas de crise. La protection des communications en ligne est ainsi gage de cyber résilience des organisations.
Pour en savoir plus sur la Directive NIS2, regardez le replay du webinaire de l’ANSSI
FAQ sur la Directive NIS 2
C’est une réglementation européenne qui s’applique à des milliers d’organisations dès octobre 2024 et vise à améliorer la cybersécurité et la résilience des infrastructures critiques.
Face à l’augmentation et la sophistication des cyberattaques, la Directive NIS 2 améliore la gestion des risques cyber des organisations critiques ainsi que leur cybersécurité et vise à garantir leur continuité d’activité.
Elle élargit le périmètre des entités concernées, augmente les sanctions et renforce les exigences de sécurité.
La dénomination OSE (opérateurs de services essentiels), qui désignait jusqu’alors les services essentiels s’efface avec NIS 2 au profit de deux catégories d’entités : les entités essentielles (EE) et
les entités importantes (EI). Le recours à des solutions de communications audio et vidéo sécurisées devient fortement recommandé pour de nombreuses entreprises.
Les entreprises évoluant au sein de 18 secteurs d’activité, dont l’énergie, les transports, les banques, la santé et les infrastructures numériques sont concernés.
Plus de 100 000 organisations européennes dans des secteurs critiques ou hautement critiques.
Pour garantir la sécurité tout au long de la chaîne d’approvisionnement des services essentiels.
Renforcer la cybersécurité des entités essentielles et importantes en harmonisant les exigences de sécurité dans l’UE.
Elle inclut des mesures de sécurité avancées, une classification des entités et des sanctions proportionnées.
Les critères techniques de sécurité, les exigences organisationnelles et les mesures de surveillance et de sanction.
L’analyse des risques, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, ou encore l’utilisation de solutions de communication sécurisés.
La directive oblige notamment les dirigeants à se former en cybersécurité. Leur responsabilité est pleinement engagée et leur validation systématique pour les mesures de sécurité mises en place.
Les entreprises doivent évaluer leurs risques cyber, mettre en place des mesures de cybersécurité adaptées, surveiller et signaler les incidents, assurer leur continuité d’activité et former leur personnel à la cybersécurité.
Les obligations devront être documentées et intégrées dans les politiques de sécurité de l’entreprise, avec des mesures concrètes et auditées.
L’ANSSI est chargée de surveiller la mise en œuvre de la directive en France et de garantir la conformité des entreprises aux exigences de cybersécurité.
Elle doit être transposée et appliquée dans les législations nationales des États membres de l’UE d’ici fin 2024.
Elle sera intégrée dans le droit national avec des adaptations spécifiques pour les entreprises françaises.
Des amendes importantes, proportionnées et des mesures correctives peuvent être imposées par les autorités.
Tixeo propose une solution de visioconférence sécurisé, certifiée et qualifiée par l’ANSSI, pour répondre aux exigences de protection des communications et de continuité d’activité figurant dans la directive.