Vous êtes familier avec le contenu de la directive NIS 1 ? Commencez dès à présent à vous pencher sur la seconde version du texte. La directive NIS 2 fera l’objet d’une transposition en droit français dans les prochains mois. Elle concerne davantage d’entités de toutes tailles (hors micro et petite entreprise) et dans de nombreux secteurs.
Quel est le contenu de la directive NIS 2 ? Quels sont les changements apportés ? Comment s’y préparer ? Passons en revue les principaux changements à venir et les mesures à prendre pour se préparer à la directive NIS 2.
Qu’est-ce que la directive NIS 2 ?
Présentation de la directive NIS 2
La directive NIS 2 (NIS pour Network and Information Security / Sécurité des réseaux et des systèmes d’information) est un élargissement de la directive NIS 1, première version du texte publiée en 2016 et transposée dans le droit français en 2018. Le contexte cyber a profondément changé en l’espace de quelques années. Les acteurs malveillants ciblent désormais de nouvelles entités (entreprises de type PME et ETI, collectivités), les rançongiciels peuvent avoir des conséquences graves, et les acteurs de la chaîne d’approvisionnement sont désormais eux aussi visés. La seconde version de la directive prend en compte ces nouveaux éléments.
La directive NIS 2 a été publiée au Journal officiel de l’Union européenne en décembre 2022. Les États membres de l’UE disposent d’un délai maximum de 21 mois pour transposer la directive dans le droit national, soit jusqu’en octobre 2024 (entrée en vigueur de la directive).
Objectifs et portée de la directive NIS 2
Face à un contexte cyber en pleine évolution (les acteurs malveillants sont de mieux en mieux outillés et organisés), l’objectif de la directive NIS 2 se montre plus ambitieux : pousser davantage d’entités à mieux se protéger, à travers des mesures de sécurité permettant de réduire l’exposition de leur infrastructure critique aux risques cyber.
Pour soutenir cet objectif, la directive NIS 2 est marquée par plusieurs changements, notamment :
• L’extension de son périmètre d’application (davantage de secteurs et de typologies d’entités sont concernés, entités privées comme publiques),
• Le renforcement des obligations et des sanctions,
• La responsabilisation des organes de direction des entreprises.
Quels sont les principaux changements apportés par la directive NIS 2 ?
Extension du périmètre d’application : un vrai changement d’échelle
L’un des principaux changements apportés par la directive NIS 2 concerne son périmètre d’application, désormais étendu à de nombreuses entités de toutes tailles :
• Entreprises au sens large, depuis les PME jusqu’aux groupes du CAC40,
• Administrations centrales et collectivités territoriales (régulation optionnelle pour les collectivités territoriales),
• Acteurs de la chaîne d’approvisionnement (supply chain).
La directive NIS 2 élargit la liste des activités concernées en ajoutant des secteurs (espace, eaux usées, administration publique, services postaux et d’expédition, gestion des déchets, fournisseurs numériques, produits chimiques, denrées alimentaires, fabrication, etc.) des sous-secteurs (réseaux de chaleur et de froid dans le secteur de l’énergie, par exemple).
Les critères pris en compte pour définir les entités concernées par la directive sont la taille de l’entité (nombre d’employés, chiffre d’affaires, etc.) et la criticité de son secteur d’activité.
Introduction d’un mécanisme de proportionnalité
La directive NIS 2 introduit également un mécanisme de proportionnalité. Les entités concernées sont désormais réparties en deux catégories, en fonction de leur niveau de criticité :
• Entités essentielles ou EE (anciennement Opérateurs de Services Essentiels) : activités dans les secteurs hautement critiques.
• Entités importantes ou EI.
Les exigences de sécurité appliquées à ces deux catégories d’entités ne seront pas les mêmes.
Quelles sont les implications de la directive NIS 2 pour les entreprises, administrations et collectivités ?
Quelles sont les obligations des entités concernées ?
Conformité réglementaire : les principales obligations
La directive NIS 2 liste un certain nombre de mesures de sécurité obligatoires en matière d’analyse des risques, de politique de sécurité des systèmes d’information, de gestion des incidents, de continuité et de reprise d’activité, etc.
NB : si certaines exigences seront appliquées à l’échelle nationale sans subir de modification, d’autres, en revanche, seront déclinées et adaptées au niveau national. Il est donc encore trop tôt pour détailler de manière exhaustive les différentes obligations qui s’appliqueront en France. Consultez la FAQ actualisée régulièrement sur le site de l’ANSSI.
Il est malgré tout possible d’indiquer que les entités concernées sont soumises à de nouvelles obligations ou à un renforcement des obligations existantes, notamment :
• La réduction des délais de signalement des incidents cyber au CSIRT (Centre de réponse aux incidents de sécurité informatique) national,
• Le renforcement des normes de cybersécurité,
• L’obligation de former au risque cyber ses employés,
• L’obligation de réaliser régulièrement des audits de sécurité.
Notification d’incidents de sécurité importants
Les entités concernées par la directive NIS 2 doivent signaler à leur CSIRT tout incident de sécurité important, en respectant plusieurs étapes :
• Notification initiale dans un délai maximum de 24 heures après la prise de connaissance de l’incident,
• Notification détaillée dans un délai maximum de 72 heures après la prise de connaissance de l’incident,
• Remise d’un rapport final au CSIRT dans le mois suivant l’incident.
Quel est le rôle des autorités compétentes ?
Le rôle de l’ANSSI se voit renforcé. L’agence accompagnera les entités concernées dans l’adoption de solutions de sécurisation (compréhension de la réglementation et actions à mettre en place). L’agence sera également en mesure de réaliser des contrôles susceptibles de donner lieu à des injonctions (dans le cas de non-conformité identifiée).
La deuxième version de la directive concernant un nombre beaucoup plus important d’entités, celles-ci pourront également être accompagnées par les CSIRT.
Comment se conformer à la directive NIS 2 ?
Comment se préparer à la transposition de la directive NIS 2 ?
L’ANSSI conseille aux entités concernées (entreprises, administrations, collectivités) de ne pas attendre la transposition de la directive NIS 2 dans le droit français, mais de commencer à se préparer dès maintenant. Les entités déjà concernées par NIS 2 doivent poursuivre leurs efforts. Quant aux entités de taille plus modeste qui s’apprêtent à intégrer le périmètre de la nouvelle directive, l’ANSSI leur conseille de s’approprier dès maintenant son guide pour la cybersécurité des TPE et PME. Ces entités ont tout intérêt à développer une démarche proactive en matière de sécurité informatique (identification des vulnérabilités, sensibilisation des collaborateurs, etc.)
Élaborer une politique de sécurité des systèmes d’information (PSSI)
Le PSSI est un plan d’action destiné à maintenir la sécurité du réseau et du système d’information d’une organisation. Document de référence sur la sécurité des SI, il reflète la vision stratégique de la direction sur le sujet. Le PSSI définit les objectifs en matière de sécurité des SI, ainsi que les moyens et les choix effectués pour assurer cette sécurité. La mise en place d’une politique de sécurité des systèmes d’information fait partie des obligations contenues dans la directive NIS 2 et constitue un socle fondamental à la mise en place d’une démarche de cybersécurité efficace.
Pour en savoir plus, voici le texte de loi intégral.
Quelles sont les conséquences en cas de non-conformité à la directive NIS 2 ?
Sanctions financières
L’un des changements apportés par la directive NIS 2 concerne le renforcement du régime de sanctions. En cas de non-respect des exigences décrites par la directive européenne, toutes les entités assujetties s’exposent à des amendes allant d’au moins 1,4 % (pour les entités importantes) à 2 % (pour les entités essentielles) du chiffre d’affaires annuel mondial.
Sanctions envers le top management
La directive NIS 2 cherche également à responsabiliser et à sensibiliser les organes de direction à la gestion des risques cyber. Elle prévoit donc des sanctions (hors administrations publiques) pouvant aller jusqu’à la suspension des certifications et autorisations relatives aux services ou activités fournis par l’entité, ainsi qu’une interdiction temporaire, pour le directeur général ou représentant légal, d’exercer des fonctions de direction au sein de l’entité concernée.
Si la directive NIS 2 s’inscrit dans le prolongement de la première version du texte, elle en amplifie grandement la portée. En élargissant son périmètre d’application, en introduisant de nouvelles obligations et en renforçant le régime de sanctions, elle invite les organisations à prendre la mesure des menaces cyber et à renforcer leur niveau de sécurité. Entreprises, collectivités, préparez-vous dès maintenant à renforcer votre posture de sécurité.
Vous souhaitez être accompagné dans le déploiement d'une solution CAASM ? Contactez-nous.
