La directive NIS 2 ou la Network and Information Security, version 2, est un prolongement de NIS 1 en matière de cybersécurité. Les changements notables portent sur la classification des entités en deux catégories. La directive met également un accent sur la sécurité des entreprises de la supply chain.
Face à des acteurs malveillants employant toujours des méthodes sophistiquées, les entreprises sont démunies face aux cyberattaques. En effet, leur système d’information reste vulnérable. Le cabinet Asterès a recensé près de 347 000 cyberattaques réussies contre les entreprises françaises en 2022. La directive NIS 2 (Network and Information Security, version 2) marque un tournant dans la sécurité des informations. Publiée au journal officiel en décembre 2022, elle représente une opportunité pour les entreprises de renforcer leur sécurité. Considéré comme un prolongement de NIS 1, NIS 2 couvre un périmètre plus large et présente des réglementations cyber supplémentaires. En attendant la transposition à l’échelle nationale pour une application en octobre 2024, les entreprises peuvent désormais entamer des démarches proactives.
Dans quel contexte NIS 2 a été adopté ?
La transition numérique représentait un enjeu majeur pour les entreprises européennes. Une étude de Capgemini indique une augmentation de 26 % de la rentabilité par rapport au concurrent chez les entreprises ayant atteint une maturité numérique. De son côté, l’Association de l’économie numérique rapporte une amélioration de la satisfaction client, une hausse des ventes, le développement d’un nouveau segment de clients, etc.
Néanmoins, cette transition numérique s’accompagne de quelques contraintes chez les entreprises. Elle a augmenté leur vulnérabilité aux cybermenaces. L’Union européenne décide alors de mettre en place en urgence des séries de mesures pour garantir la sécurité de ces entités.
La directive NIS 1 ( Network and Information Security, version 1) a été adoptée en 2016, puis transposée à la législation française en 2018. L’objectif de cette directive consistait à définir un niveau d’exigence en matière de sécurité des systèmes d’information et des réseaux des opérateurs de services essentiels (OSE). Pour cause, une attaque réussie contre ces opérateurs impacte significativement l’économie nationale, voire européenne.
Ce dispositif concernait dix secteurs considérés comme stratégiques en France. Les organisations soumises à l’obligation devaient déclarer tous les incidents de sécurité, puis de mettre en œuvre des mesures pour mieux sécuriser leurs systèmes.
Néanmoins, les cyberattaques ciblent désormais des structures de taille moyenne et petite ayant un niveau de maturité en cybersécurité plus faible. Sur les 347 000 cyberattaques rapportées par Asterès, 330 000 touchaient les PME. Cela a conduit l’Union européenne à élargir le périmètre d’application des mesures de sécurité à travers NIS 2.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Quels sont les changements majeurs apportés par NIS 2 ?
Par rapport à NIS 1, NIS 2 apporte des changements majeurs, notamment sur les points suivants :
Catégorisation des entités
Les organisations concernées sont classées en deux catégories à savoir les « entités importantes » et les « entités essentielles ». L’objectif de cette distinction est de permettre une application plus cohérente et adaptée de la directive.
Classification en fonction de critères
Les organisations sont dites « essentielles » ou « importantes » en fonction de leur impact économique et leur taille. La mise en place de ces critères permet de mettre en place des exigences proportionnelles aux risques qu’une entité représente au niveau national et européen en cas d’attaque. Une cyberattaque sur Total n’aura pas le même impact que sur une PME employant une dizaine de personnes.
Élargissement à d’autres secteurs
L’application de la directive NIS 2 s’étend au secteur des services postaux, des télécommunications, des réseaux sociaux, etc. Cela permet de couvrir des activités essentielles au quotidien plus large.
Concept de proportionnalité
NIS 2 veut imposer des exigences à chaque entité en fonction de leur nature et de leur taille. Le niveau d’exigences ne sera pas le même pour une multinationale et une PME. Cette proportionnalité permet aux PME/TPE de ne pas se soumettre à des mesures trop onéreuses à mettre en place.
Quelles sont les organisations concernées par NIS 2 ?
Au niveau national, NIS 2 s’appliquerait à plus de 600 types d’entités répartis dans au moins 18 secteurs. Ces secteurs incluent autant les grands groupes du CAC 40 que les PME. Les critères ont été définis au niveau européen à savoir le chiffre d’affaires, le nombre d’employés et enfin la nature de l’activité.
Pour savoir si une entreprise est concernée par la directive, elle peut se référer aux annexes 1 et 2. Ces annexes indiquent les secteurs et les sous-secteurs. Une consultation des ministères de tutelle peut être nécessaire si l’activité ne figure pas dans la liste.
Quelles sont les obligations spécifiques sous NIS 2 ?
La directive NIS 2 impose aux entreprises la mise en place de mesures minimales de gestion des risques en matière de cybersécurité, à savoir des audits de sécurité périodiques, une procédure de gestion d’une cyberattaque, et une politique de sécurité.
L’une des nouveautés de la directive est la mise en place d’une gestion des incidents sur la supply chain. Prenons l’exemple d’une entreprise ayant une maturité élevée en matière de cybersécurité. Néanmoins, son activité implique la collaboration avec des fournisseurs. Si ces fournisseurs n’arrivent pas encore à la même maturité qu’elle, les hackers peuvent s’en servir comme une porte d’entrée aux autres entités.
La politique de sécurité sur la supply chain implique une procédure d’alerte des entités en cas d’attaque. Elle exige également la conformité des fournisseurs aux normes de cybersécurité.
Un autre fait marquant de la directive est l’extension de son application aux administrations publiques et aux entreprises privées. En effet, les administrations publiques sont les cibles privilégiées des cyberattaques en France. Une recrudescence des attaques est constatée notamment dans les établissements de santé. Selon l’ANS (agence du numérique en santé), le nombre d’incidents a doublé entre 2020 et 2021.
Ces entités doivent ainsi mettre en place des mesures de sécurité plus robustes pour résister aux attaques toujours plus sophistiquées.
Qu’en est-il des sanctions en cas de non-conformité à NIS 2 ?
Cette directive renforce l’autorité des organismes nationaux comme l’ANSSI dans la surveillance des entités. Cet organisme organisera ainsi des audits réguliers pour vérifier la conformité de chaque organisation. L’objectif de cette surveillance renforcée est d’encourager les entités dans leurs initiatives en matière de cybersécurité.
Un régime de sanctions a également été évoqué par la directive. Les amendes sont particulièrement importantes, à la hauteur de la gravité de la non-conformité. Elles peuvent aller jusqu’à 10 millions d’euros.
L’ANSSI peut également émettre un ordre de mise en conformité et ajouter une publication des manquements dans un journal officiel. Ceci apporte une certaine transparence sur la surveillance et la responsabilité des entreprises.
Comment les entreprises se préparent à l’application de cette directive ?
NIS 2 a été diffusée dans le journal officiel de l’Union européenne en décembre 2022. Les États membres disposent d’une période de 21 mois pour transposer ces directives au niveau national. Ils ont donc jusqu’au 17 octobre 2024. Les entreprises qui étaient déjà soumises à NIS 1 continuent de s’aligner sur les exigences de cette directive, en attendant l’arrivée de nouvelles réglementations en cybersécurité.
Pour le moment, la directive NIS 2 soulève de nombreuses questions chez les entités en France. Pour celles qui sont déjà soumises à NIS 1, qu’adviendrait-il de leurs efforts déjà accomplis ? Selon les experts, NIS 2 n’écrase pas les exigences de NIS 1. Au contraire, la directive s’appuie sur les fondements de son ancienne version. De leur côté, les entreprises concernées par l’élargissement de NIS 2 devraient mettre en place une démarche proactive.
Cette directive représente une opportunité pour les entreprises d’investir dans la sécurité de son système d’information. Sachant que les cybermenaces sont toujours en hausse, le niveau de maturité en cybersécurité est essentiel pour y faire face.
Les entreprises pourraient-elles prétendre à des aides ?
Entre l’inflation et la hausse du coût de l’énergie, les entreprises françaises traversent une période économique incertaine. L’application de NIS 2 représente un nouveau choc d’investissement pour les plus petites structures. Pourtant, aucune aide financière n’a été annoncée par l’État pour le moment.
Néanmoins, l’ANSSI dispose d’une enveloppe d’investissement de 136 millions d’euros destiné à la cybersécurité. En 2021, plus de 69 millions d’euros ont été investis dans la formation de près de 626 candidats.
Par où commencer dans la mise en place de cette directive ?
Pour les entités qui ont été déjà soumises à la directive NIS 1, elles doivent seulement renforcer les pratiques existantes et intégrer les nouvelles mesures. Ce renforcement se traduit par une formation continue des salariés, une mise à jour de la procédure de gestion des risques, une amélioration du système de détection des incidents et des réactions.
Pour les nouvelles entités concernées par NIS 2, une évaluation représente la première étape. Elle consiste à évaluer le niveau de maturité en cybersécurité afin de mettre en exergue les points faibles et les points à améliorer.
L’évaluation permet également de comprendre la position de l’entité par rapport à la conformité réglementaire. Une fois les mesures mises en place, une réévaluation reste nécessaire pour s’assurer que l’entreprise reste conforme face aux évolutions des réglementations.
Cette évaluation sera menée par une entité externe et consiste à réaliser des audits internes, des révisions de la politique de sécurité, des tests de pénétration, etc.
