NIS2, qu'est-ce que c'est ? Tout savoir sur la directive européenne

Vous vous demandez peut-être ce que cache l’acronyme NIS2 ? Et si vous êtes concerné en tant que PME ? Eh bien, sachez tout d’abord que toute organisation fournissant des services, ou délivrant des activités, à un pays de l’UE (dans lequel elle est basée ou pas) peut être assujettie à la directive Network and Information Security NIS2.

Alors quand et à qui s’applique la NIS2 précisément ? Quel est l’impact de cette nouvelle législation  ? Qu’est-ce qui la différencie de NIS1 ? Quelles sont les mesures à entreprendre ? Quelles amendes en cas de non-respect  ?

Cet article répond à toutes vos questions et vous donne une vision détaillée de la directive Network and Information Security NIS2, tout en fournissant des conseils pratiques pour vous conformer à ses exigences.

Plantons le décor avec un extrait du discours de la présidente de la Commission européenne, Ursula von der Layen, prononcé devant la commission en novembre 2019 : « La cybersécurité va de pair avec la numérisation… elle est donc tout aussi prioritaire pour nous. Les exigences de sécurité les plus élevées et une approche commune européenne sont indispensables pour préserver la compétitivité des entreprises européennes ».

Le contexte est posé! La directive Network and Information Security NIS2 est donc une législation européenne adoptée pour renforcer la protection des entreprises de l'UE face aux nouveaux défis apportés par l’évolution rapide du paysage numérique.

L'objectif principal de NIS2 est d’instaurer un ensemble de mesures sécuritaires favorisant une réaction plus efficace de leur part en cas d’incident. Mais, elle met également l’accent sur l'importance de la coopération et du partage de renseignements entre les États membres de l’UE.

En tant que directive européenne, la réglementation Network and Information Security NIS2 doit être adaptée à l'échelle nationale, avec certainement des niveaux de mise en œuvre plus ou moins élevés selon les pays. Dans tous les cas, sa transposition en France est prévue pour le 17 octobre prochain. Vous êtes concerné ? Vous avez donc encore un peu de temps pour vous mettre en conformité, mais ne traînez pas.

La directive Network and Information Security NIS2 élargit la portée de la directive précédente (NIS1) en incluant davantage de secteurs et d’entreprises. Un plus grand nombre d’organisations sont désormais tenues de se conformer aux normes de cybersécurité établies par la directive.

Elle renforce également les exigences de sécurité en imposant :

• Une gestion des risques de cybersécurité focalisée principalement sur la chaîne de production métier
• Une obligation d’information en cas de cyberattaques
• Des sanctions en cas de non-respect de ces préceptes

Pour finir, contrairement à sa petite sœur NIS1, qui sépare les opérateurs de services essentiels (OSE) des fournisseurs de services numériques (DSP), la Network and Information Security NIS2 ne fait plus cette distinction.

Au lieu de cela, elle classe les organisations en fonction de leur valeur et les divise en catégories « essentielles » et « importantes ». Elle implique aussi davantage la responsabilité du directoire et prévoit des pénalités plus strictes.

Cette différenciation va bien entendu influer sur les niveaux de régimes de surveillance et les obligations imposées aux entreprises concernées.

La principale différence réside dans le niveau de criticité de leurs services. En effet, les entreprises considérées comme « essentielles », selon la directive Network and Information Security NIS2, correspondent aux entités dont le fonctionnement est crucial pour la bonne marche de l’économie. À côté, celles dites « importantes » ne sont pas effectivement classées dans la catégorie « essentielle », mais jouent néanmoins un rôle significatif dans l’économie.

Quelles sont les définitions de chacune ?

• Entreprises « essentielles » : ces sociétés proposent des services fondamentaux aux citoyens et sont souvent des fournisseurs d’infrastructures critiques tels que l’énergie, les transports, la santé, les services financiers et les communications.
• Entreprises « importantes » : elles proposent des services ou des infrastructures qui sont déterminants, mais pas essentiels, et elles peuvent opérer dans une variété de secteurs, tels que les services numériques, le commerce de détail, l’industrie manufacturière et d’autres domaines non critiques.

Les entreprises « essentielles » sont bien entendu soumises à des obligations de cybersécurité plus strictes que celles dites « importantes ». En revanche, les deux catégories sont tenues de respecter les exigences de sécurité établies par la NIS2.

Pour déterminer si une entreprise est concernée par NIS2, les autorités compétentes évaluent plusieurs facteurs. Cela inclut notamment sa taille, son secteur d’activité ou, comme nous l'avons vu plus haut, sa contribution à l’économie nationale.

Toutefois, cela ne s’arrête pas là ! ces critères tiennent également compte du niveau de risque associé aux opérations de votre organisation c’est-à-dire :

• Le nombre de personnes affectées par la prestation de vos services,
• Votre niveau de dépendance à l’égard des technologies de l’information et des communications.

Les entreprises identifiées comme fournissant des services « essentiels » ou « importants » sont soumises d'office aux obligations de la directive en matière de cybersécurité, de déclaration d’incidents et de coopération avec les autorités compétentes.

En outre, la Network and Information Security NIS2 prévoit des mécanismes de surveillance pour garantir que les entreprises respectent les normes de cybersécurité établies et prennent les mesures nécessaires.

Elle peut s’appuyer pour cela sur le CSIRT (Computer Security Incident Response Team), un organisme de contrôle constitué d’équipes IT spécialisées dans le traitement des incidents de sécurité au niveau national et international.

Les autorités peuvent aussi obliger certaines sociétés à recourir à des mesures élevées telles que la mise en place de EUCS (European Union Cybersecurity Certification Scheme for Cloud Services).

Avec la Network and Information Security NIS2, un plus grand nombre d’organisations est désormais soumis aux exigences de cybersécurité établies. Sa portée s’étend au total à 18 secteurs économiques englobant ceux déjà présents dans la NIS1.

Quels sont ces secteurs d’activité au juste ?

• La directive NS1 comprend : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC (inter-entreprises), les administrations publiques et l'espace.
• La directive NIS2 ajoute : les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, la fabrication (médicale, informatique, électronique optique, électrique, machines et équipements, matériels de transport), la production et la distribution de denrées alimentaires, les fournisseurs de services numériques (moteurs de recherche, réseaux sociaux et place de marché) et la recherche.

Elle tient compte également de la taille et du résultat des entreprises : ces dernières doivent comporter plus de 50 employés et posséder un revenu supérieur à 10 M€.

Vérifier si votre entreprise est concernée par NIS2

Il faut savoir, par contre, que la NIS2 prévoit une certaine souplesse pour les États membres de l’UE afin d’identifier les petites entreprises présentant un profil de risque élevé. Dans ce cas, ces dernières seront incluses dans le champ d’application de la directive Network and Information Security NIS2.

La directive NIS2 établit donc un cadre juridique pour améliorer la sécurité des réseaux et des systèmes d’information au sein de l’UE. Penchons-nous à ce propos sur trois articles de la directive NIS2 qui nous semblent particulièrement structurants.

Cet article de la Network and Information Security NIS2 prévoit que la direction devient une partie prenante de la cybersécurité au sein de l’entreprise avec pour mission de :

• Approuver les mesures de gestion des risques et donc comprendre en profondeur les actions nécessaires pour les atténuer.
• Se former de manière ciblée sur ces sujets pour prendre des décisions éclairées
• Superviser la mise en œuvre effective de ces mesures afin de garantir que les politiques et procédures sont correctement appliquées à tous les niveaux de l’organisation.

Pour finir, sachez que la direction engage sa responsabilité si les mesures appropriées ne sont pas prises ou si les directives ne sont pas suivies.

Ces mesures doivent être basées sur une analyse approfondie des risques cyber, adaptées au contexte et aux besoins de l’entreprise.

Vous devez de fait surveiller en permanence la sécurité de vos réseaux et systèmes d’information. A cette fin, utiliser des dispositifs de détection d’intrusions ou de suivi des journaux permet d’identifier et répondre rapidement aux cybermenaces.

Par ailleurs, impliquer les personnes par la formation sur les bonnes pratiques de cybersécurité et la mise en œuvre de politiques, processus et produits de sécurité est également conseillé pour assurer la résilience face aux attaques.

Il vous est demandé de coopérer pleinement avec les autorités compétentes en charge de la mise en œuvre de la réglementation Network and Information Security NIS2. À ce titre, vous êtes tenu de signaler les incidents de sécurité majeurs dans les délais prescrits par la règlementation.

Quels sont-ils  ?

• 24 h pour adresser une notification initiale afin de signifier un incident de cybersécurité
• 72 h pour envoyer une notification complémentaire avec des éléments sur les indicateurs de compromission de votre SI
• 1 mois (après la notification complémentaire) pour adresser un rapport détaillé de l’incident et les mesures de remédiation effectuées ou toujours en cours.

Ces règles permettent aux autorités de prendre des mesures appropriées pour minimiser les impacts des incidents. Charge à vous de vous assurer que votre organisation et vos processus vous permettent de suivre ces obligations.

Et comment s'adapter réellement à NIS2 ? Vous devez pour cela prendre des mesures proactives pour évaluer votre niveau de conformité actuel par rapport aux normes de sécurité définies par la directive.

Cela peut passer par des audits de sécurité, des évaluations des risques et des analyses de vulnérabilité. L’objectif consiste à identifier les lacunes potentielles dans vos systèmes et processus.

Suite à ces examens minutieux, vous devrez appliquer des mesures de sécurité supplémentaires nécessaires à la protection adéquate de vos infrastructures et de vos données. Vous pouvez à cet égard mettre en place des mesures courantes telles que :

• L’adoption des meilleures pratiques de cybersécurité,
• La mise en œuvre de technologies de pointe (le SASE ou SSE par exemple),
• La sensibilisation du personnel sur les risques et les bonnes pratiques en matière de sécurité informatique.

Enfin, il est essentiel de planifier et de mettre en œuvre des procédures de gestion et de déclaration d’incidents claires et efficaces pour réagir rapidement aux menaces et minimiser les impacts sur vos activités.

La non-conformité à la Network and Information Security NIS2 entraîne des conséquences graves pour votre entreprise, notamment des amendes importantes et des dommages à la réputation de votre marque.

• Sanctions et amendes prévues

La directive prévoit des sanctions renforcées en cas de non-respect des exigences de cybersécurité. Vous pouvez être passibles de grosses amendes, pouvant aller jusqu’à 10 millions d’euros ou 2 % de votre chiffre d’affaires annuel total. Ce n'est pas rien, n'est-ce pas !

Par ailleurs, vous pouvez vous exposer à des actions en justice et à une responsabilité légale pour les dommages causés à la suite de violations de sécurité. Cela peut inclure des poursuites de la part des clients affectés, des régulateurs gouvernementaux et toute autre partie prenante.

• Risques pour la réputation et la crédibilité de l’entreprise

Les incidents de cybersécurité peuvent créer un impact négatif sur votre image de marque. Et pour cause  ! Une mauvaise publicité liée à des failles de sécurité va ternir la réputation de votre entreprise et nuire à votre crédibilité.

Et qui dit perte de confiance, dit crainte pour vos clients que leurs données sensibles ne soient pas correctement protégées. Cette inquiétude peut les inciter à rechercher des alternatives commerciales plus sûres, affectant ainsi l’activité de votre entreprise.

Se conformer à la directive Network and Information Security NIS2 implique plusieurs étapes importantes. Tout d’abord, vous devez vous familiariser avec ses différentes clauses. Il s'agit de comprendre les mesures de sécurité demandées, les obligations de signalement des incidents, etc.

Voici quelques recommandations générales pour évaluer votre conformité à NIS2 :

Passez en revue les politiques, les procédures et les pratiques de sécurité informatique actuellement en place dans votre entreprise. Évaluez si ces politiques et procédures répondent aux exigences de la Network and Information Security NIS2 en matière de gestion des risques, de protection des données et de réaction aux incidents.

Mesurez la sécurité de vos systèmes informatiques et de vos infrastructures pour identifier les vulnérabilités et les risques cyber. Cela peut inclure des évaluations concernant la configuration de vos pare-feu, des outils de détection des intrusions, des politiques d’accès et d’authentification, ainsi que des processus de sauvegarde et de récupération des données.

Examinez vos pratiques actuelles de gestion des incidents de sécurité pour évaluer leur degré d'efficacité et de conformité aux exigences de la[NBSP]NIS2. Vous allez pour cela analyser, modifier ou créer vos procédures de détection, de signalement, d’investigation ou de réponse aux incidents de sécurité.

Mesurez les programmes de sensibilisation à la sécurité informatique actuellement en place dans votre entreprise. Assurez-vous que votre personnel est conscient des risques et qu'il connaît vos politiques de sécurité et vos procédures d’urgence.

Évaluez la coopération de votre entreprise avec les autorités compétentes chargées de la mise en œuvre de la NIS2. Assurez-vous que votre organisation fournit les informations nécessaires sur sa conformité.

Une fois votre évaluation terminée, vous n’avez plus qu’à identifier vos lacunes vis-à-vis de votre conformité à la directive Network and Information Security NIS2 ainsi que les opportunités d’amélioration. Priorisez les actions correctives en fonction de leur impact sur la sécurité de vos réseaux et systèmes d’information.

Son rôle principal est de guider vos efforts pour renforcer votre cybersécurité et vous conformer aux exigences de la NIS2. La première démarche consiste à déterminer si votre entreprise est concernée par la NIS2. Pour cela, vous allez vous référer à votre secteur d’activité et votre taille.

Une fois cette étape franchie, vous pouvez décliner votre plan selon quatre domaines clés :

Il s’agit d’identifier vos processus critiques et les ressources associés pour adapter les règles de sécurité et de continuité de la directive Network and Information Security NIS2 à votre contexte et vos risques. Vous devrez, par la suite, contrôler et évaluer régulièrement l’efficacité de ces mesures pour garantir leur pertinence.

Définir ou mettre à jour vos processus de gestion des incidents est crucial pour répondre efficacement aux exigences de l’article 23 de la directive Network and Information Security NIS2. Préparez-vous au pilotage des crises : effectuez des exercices réguliers afin de tester et améliorer la réactivité de votre organisation.

Cette gestion nécessite une évaluation minutieuse des risques. Nous faisons tous appel à des fournisseurs ou des partenaires de type cloud pour délivrer des services en SaaS. Identifiez-les et assurez-vous que leur niveau de maturité en matière de cybersécurité est conforme à vos exigences.

Sensibilisez et instruisez votre direction et vos collaborateurs aux enjeux de la cyber résilience pour qu’ils soient conscients des menaces et sachent y répondre. Testez régulièrement vos dispositifs pour garantir que chacun connaît son rôle en cas d’incident ou de crise.

Et pourquoi ne pas vous appuyer sur des standards internationaux existants tels qu’ ISO 27001 et ISO 22301 pour répondre aux objectifs de NIS2 ? Ils intègrent déjà les bonnes pratiques en matière de cybersécurité et de continuité d’activité requises dans la directive.

Que ce soit par leur capacité à s’adapter localement pour la mise en conformité nationale, à engager les organes de direction ou à analyser les besoins métiers, ils encouragent une amélioration continue, en ligne avec les exigences de l’article 21 de NIS2.

Voir les 44 articles de la directive NIS2

Prêts à vous lancer dans votre mise en conformité NIS2 ? Vous savez désormais pourquoi cela compte pour votre entreprise. En comprenant les implications de la directive Network and Information Security NIS2 et en prenant les mesures proactives pour vous y conformer, vous renforcez la sécurité de vos opérations et préservez la confiance de vos clients.

Évaluez par conséquent votre conformité actuelle, mettez en place les mesures de sécurité supplémentaires et élaborez des procédures de déclaration d’incidents efficaces.

Respecter les exigences de la directive peut vous conférer un avantage concurrentiel en renforçant la confiance de vos clients dans votre capacité à protéger leurs données sensibles.

Besoin d’accompagnement pour organiser votre cybersécurité avant le 17 octobre, nos experts sont à votre écoute

Nous contacter !