NIS 2
La directive NIS 2 (Network and Information Security 2) est sur toutes les lèvres depuis sa publication au Journal Officiel de l’UE le 27 décembre 2022. Et pour cause : elle représente un jalon majeur dans l’évolution de la réglementation européenne en matière de cybersécurité, en remplaçant sa prédécesseuse de 2016, NIS.
Vous cherchez à mieux comprendre les tenants et aboutissants de NIS 2 ? Vous êtes sur la bonne page !
Quels sont les objectifs de la directive NIS 2 ?
NIS 2 a été conçue pour répondre aux limites et aux lacunes de la directive NIS originale. Certes, cette dernière a marqué un immense pas en avant, en étant la première législation à l’échelle de l’UE à porter spécifiquement sur la cybersécurité des réseaux et des systèmes d’information. Il n’en reste pas moins que l’expérience a fini par montrer que les exigences de NIS étaient parfois insuffisantes pour faire face à l’évolution rapide des menaces cyber…
La directive NIS 2 vise donc à remédier à ces failles, et ainsi :
- améliorer la résilience des entités critiques en imposant des exigences plus strictes en matière de cybersécurité aux entités essentielles (EE) et importantes (EI) ;
- renforcer la coopération entre les États membres, ainsi qu’entre les secteurs public et privé, pour une réponse plus coordonnée aux incidents de cybersécurité ;
- accroître la transparence en exigeant un signalement plus systématique des incidents cyber et en renforçant la communication autour des menaces et des vulnérabilités ;
- harmoniser les approches nationales en établissant des normes minimales et des obligations de cybersécurité plus uniformes à travers l’UE.
Une telle harmonisation est cruciale, puisqu’elle permet d’éviter que les faiblesses d’un État membre ne mettent en péril l’ensemble du marché intérieur européen !
NIS 2 : qu’est-ce que ça change ?
#1 Une extension du champ d’application
L’un des changements majeurs de NIS 2, c’est l’élargissement du champ d’application de la directive. Alors que NIS couvrait principalement les opérateurs de services essentiels (OSE) et certains fournisseurs de services numériques (FSN), NIS 2 étend cette couverture à un plus grand nombre de secteurs et d’entités. Le texte met ainsi en place deux nouveaux statuts : les entités importantes (EI), et les entités essentielles (EE).
Quelles entreprises sont concernées par NIS 2 ?
Le statut d’entité essentielle est attribué aux entreprises :
- de plus de 250 employés,
- avec un chiffre d’affaires supérieur à 50 millions d’euros,
- avec un bilan annuel de plus de 43 millions d’euros.
Le statut d’entité importante revient aux entreprises :
- de 50 à 249 employés,
- avec un chiffre d’affaires compris entre 10 et 49 millions d’euros,
- avec un bilan annuel compris entre 10 et 42 millions d’euros.
Quels sont les secteurs couverts par NIS 2 ?
- Énergie : électricité, gaz et pétrole
- Transports aérien, ferroviaire, routier ou maritime
- Banque et autres services financiers
- Santé : hôpitaux, laboratoires et fabricants de dispositifs médicaux
- Fournisseurs de services numériques, y compris les plateformes en ligne, les moteurs de recherche et les services de cloud computing
- Infrastructure numérique : fournisseurs de DNS, services de centre de données et réseaux de communication
- Eau potable et gestion des eaux usées
- Services publics, y compris les administrations publiques critiques
Pourquoi une telle extension du champ d’application ? Car de nombreux secteurs qui n’étaient pas couverts par la directive NIS originale jouent désormais un rôle critique dans la société et l’économie – et sont donc des cibles potentielles pour les cyberattaquants.
#2 Renforcement des exigences en matière de gestion des risques
NIS 2 impose des exigences plus strictes en matière de gestion des risques cyber. La directive impose aux entités concernées d’adopter une approche proactive pour identifier, évaluer et atténuer les risques liés à la cybersécurité.
Cela inclut l’obligation de mettre en place des mesures techniques et organisationnelles appropriées pour gérer les risques sur différents plans.
- Gestion des accès : restreindre l’accès aux systèmes et aux données sensibles uniquement aux personnes autorisées.
- Gestion des incidents : mettre en place des processus robustes pour détecter, signaler et répondre aux incidents de cybersécurité.
- Gestion des vulnérabilités : s’assurer que les systèmes d’information sont régulièrement mis à jour et protégés contre les vulnérabilités connues.
- Continuité des activités : développer et tester des plans de continuité des activités (PCA) pour assurer la résilience en cas d’incident de cybersécurité.
#3 Obligation de signalement
Autre innovation majeure de NIS 2 : l’introduction d’obligations de signalement plus strictes pour les incidents de cybersécurité.
Ainsi, les entités couvertes par la directive doivent désormais signaler les incidents significatifs aux autorités compétentes sans retard injustifié – et même, dans certains cas, dans un délai de 24 heures après avoir pris connaissance de l’incident.
Les informations signalées doivent inclure :
- des détails sur la nature de l’incident,
- son impact potentiel,
- les mesures prises pour y remédier.
Ces obligations de signalement visent à garantir que les autorités nationales disposent d’une vue d’ensemble précise des menaces et des incidents affectant leurs secteurs critiques, ce qui permet une réponse plus rapide et mieux coordonnée.
#4 Renforcement des capacités et de la coopération
NIS 2 met également l’accent sur le renforcement des capacités de cybersécurité au niveau national et européen, ainsi que sur l’amélioration de la coopération entre les États membres. Et pour cause : face à des cybermenaces qui ne respectent pas (du tout) les frontières nationales, la coordination des efforts est essentielle.
Les États membres doivent donc :
- mettre en place des autorités nationales compétentes pour superviser la mise en œuvre de NIS 2 ;
- renforcer les capacités de leurs centres de réponse aux incidents de cybersécurité (CSIRT).
La directive encourage aussi la création de points de contact uniques nationaux pour faciliter la communication et la coordination en cas de crise cyber.
Quel(s) impact(s) pour les entreprises et les administrations publiques ?
Un renforcement des contrôles internes
Pour se conformer aux exigences de NIS 2, les entités concernées doivent renforcer leurs contrôles internes. Cela passe notamment par :
- la mise en place de politiques et de procédures de cybersécurité robustes ;
- l’adoption de technologies de sécurité avancées ;
- la formation continue du personnel, pour s’assurer qu’il est capable de répondre aux cybermenaces.
Une gouvernance modifiée
NIS 2 met également l’accent sur la responsabilité des dirigeants en matière de cybersécurité.
Les conseils d’administration et les cadres dirigeants doivent s’impliquer activement dans la gouvernance cyber, et s’assurer que les stratégies de gestion des risques sont alignées avec les exigences de la directive.
En cas de non-conformité, les dirigeants pourraient être tenus responsables : un bon moyen d’insister sur la nécessité d’une gouvernance efficace en matière de cybersécurité.
De nouveaux coûts de conformité
Se mettre en conformité à NIS 2 peut représenter un sacré budget pour les entreprises, en particulier pour celles qui n’ont pas encore mis en place des mesures de cybersécurité suffisantes. Un tel budget comprend :
- l’acquisition de nouvelles technologies de sécurité,
- la formation du personnel,
- l’embauche de spécialistes en cybersécurité,
- la mise en place de processus de gestion des risques.
Pourtant, n’oublions pas que ces investissements payent, puisqu’ils permettent de :
- réduire les risques de cyberattaques ;
- limiter les pertes financières liées aux incidents ;
- renforcer la confiance des clients et des partenaires commerciaux.
Quelques défis de mise en œuvre
Publier un texte, c’est bien beau, mais encore faut-il qu’il soit appliqué par les entreprises concernées. Pas de panique : il vous reste du temps ! La directive sera transposée dans le droit national français en octobre 2024, et la liste des entités concernées dans chaque État-membre ne sera publiée qu’en avril 2025.
Car bien que NIS 2 représente un progrès significatif dans le secteur cyber européen, sa mise en œuvre pose des défis importants pour les entreprises, les administrations publiques – et même les autorités de régulation.
La mise en œuvre de NIS 2 nécessite une coordination étroite entre de (très) nombreuses parties prenantes : autorités nationales, entreprises, fournisseurs de services… Dans ce contexte, l’un des principaux défis est d’harmoniser les pratiques de cybersécurité à travers les États membres de l’UE, tout en tenant compte des différences nationales en termes de législation et de capacités. Rien que ça.
La conformité NIS 2 représente aussi un gros défi pour certaines entreprises, en particulier les PME, en raison de ressources humaines et financières limitées. Elles devront donc recevoir un soutien approprié, notamment par le biais de programmes de formation, de financements ou de partenariats public-privé.
NIS 2 : eT ensuite ?
S’adapter à l’évolution de la menace
Les cybermenaces continuent d’évoluer rapidement, et les cybercriminels utilisent des techniques de plus en plus sophistiquées pour attaquer les infrastructures critiques. NIS 2 devra donc s’adapter en permanence pour rester à la page, notamment via :
- des mises à jour régulières de la directive ;
- l’introduction de nouvelles exigences de sécurité ;
- le renforcement de la coopération internationale en matière de cybersécurité.
Harmonisation et coopération internationale
NIS 2 vise à harmoniser les normes de cybersécurité au sein de l’UE. Or, les cybermenaces sont souvent transnationales, et touchent aussi bien des États membres que d’autres pays du monde ! Il est donc essentiel que l’UE collabore aussi avec des organisations internationales, afin de partager des informations, développer des normes communes, et coordonner les réponses aux incidents majeurs.
Construire le futur de la réglementation cyber
NIS 2 devrait contribuer à renforcer la résilience des infrastructures critiques en Europe et à accroître la confiance dans le marché intérieur numérique, en garantissant que les citoyens et les entreprises bénéficient de services numériques sûrs et fiables. Conséquence : la directive pourrait également servir de modèle pour d’autres régions du monde étant confrontées à des défis similaires en matière de cybersécurité.
Grande nouvelle : le framework NIS 2 est déjà disponible dans Tenacy ! En attendant que la directive soit transposée dans le droit français, c’est la transposition belge qui est intégrée dans l’outil… Vous pouvez donc dès maintenant commencer votre mise en conformité NIS 2, grâce à des plans d’action automatisés adaptés à votre contexte organisationnel !