NIS 2 : tout savoir sur cette nouvelle directive et ses conséquences pour les entreprises concernées

Découvrez les implications de la directive NIS 2 pour les entreprises. Qui est concerné, obligations de sécurité et préparation à l'adoption de cette nouvelle réglementation.

01. Contexte et nouveautés apportées par la Directive NIS 2

02. Qui est concerné par la nouvelle directive NIS 2 ?

03. Exigences et obligations en matière de cybersécurité

04. Comment se préparer à l'adoption NIS 2 ?

01. Contexte et nouveautés apportées par la Directive NIS 2

Évolution de la réglementation européenne en matière de cybersécurité

La directive NIS 2, ou "Network and Information Security 2", est la nouvelle réglementation européenne qui vise à renforcer la cybersécurité au sein de l'Union européenne. Adoptée en novembre 2022 par le Parlement européen, elle fait suite à la directive NIS de 2016 et apporte des changements importants pour mieux protéger les réseaux et systèmes d'information critiques face à l'évolution constante des cybermenaces.

L'adoption de NIS 2 s'inscrit dans le cadre plus large de la stratégie de cybersécurité de l'UE, qui a pour ambition de bâtir un espace numérique européen plus sûr et plus résilient. Elle fait écho aux préoccupations croissantes suscitées par la multiplication et la sophistication des attaques informatiques ces dernières années, qui ont mis en lumière la nécessité de renforcer la protection des infrastructures critiques et des services essentiels.

Principales différences entre la directive NIS et la directive NIS 2

Si la directive NIS posait déjà les bases d'une approche commune en matière de sécurité des réseaux et systèmes d'information, NIS 2 va plus loin à plusieurs égards. 

Tout d'abord, elle élargit considérablement le champ d'application par rapport à NIS, en couvrant davantage de secteurs et d'entités (voir partie "Qui est concerné"). 

NIS 2 renforce également les exigences de sécurité et les obligations de notification d'incidents pour les entreprises soumises à la directive. Là où NIS imposait des mesures de sécurité "appropriées" aux risques, NIS 2 détaille un ensemble d'exigences plus précises et contraignantes. De même, les seuils et délais de notification des incidents de sécurité aux autorités sont revus à la baisse.

Autre nouveauté majeure, NIS 2 introduit un régime de sanctions harmonisé et plus strict en cas de non-conformité. Les amendes peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les manquements les plus graves. À l'inverse, la directive prévoit certains mécanismes d'incitation et de soutien pour les entités qui vont au-delà des exigences minimales.

Objectifs et ambitions de la directive NIS 2

L'objectif principal de NIS 2 est d'harmoniser et de rehausser le niveau global de cybersécurité au sein de l'Union européenne, afin de mieux protéger les citoyens et les entreprises dans un monde toujours plus numérique et interconnecté. 

Plus spécifiquement, la directive vise à renforcer la résilience des réseaux et systèmes d'information critiques face aux cyberattaques, à prévenir et gérer plus efficacement les incidents de sécurité, et à favoriser une culture de la cybersécurité à tous les niveaux. 

NIS 2 entend également promouvoir une coopération renforcée entre les États membres en matière de cybersécurité, à travers notamment un cadre institutionnel renforcé et des mécanismes d'assistance mutuelle. L'idée est de permettre une réponse coordonnée et rapide aux menaces transfrontalières.

Au-delà, la directive a pour ambition de stimuler le marché européen de la cybersécurité et de favoriser l'innovation dans ce domaine, en créant un cadre réglementaire harmonisé et propice au développement de solutions de pointe.

Pour résumer, les objectifs de NIS 2 sont les suivants :

• Renforcer la résilience des organisations face aux cyberattaques
• Protéger les services essentiels et les infrastructures critiques
• Améliorer la collaboration entre les États membres et les acteurs du secteur privé

02. Qui est concerné par la nouvelle directive NIS 2 ?

Définition des fournisseurs de services essentiels selon la directive NIS2

La directive NIS 2 s'applique en premier lieu aux fournisseurs de services essentiels (FSE), c'est-à-dire les entités publiques ou privées qui fournissent des services indispensables au maintien d'activités sociétales et/ou économiques critiques.

Sont notamment concernés les secteurs de l'énergie (électricité, pétrole, gaz), des transports (aérien, ferroviaire, maritime, routier), de la banque, des infrastructures de marchés financiers, de la santé, de l'eau potable, des infrastructures numériques (points d'échange internet, services DNS, registres de noms de domaine TLD), ainsi que certaines administrations publiques.

Pour chaque secteur, des critères spécifiques sont définis pour identifier les FSE, en fonction notamment de leur taille, de leur part de marché et de leur importance pour le maintien de services cruciaux.

Catégories d'entreprises et d'organisations soumises à la directive NIS 2

Au-delà des FSE, NIS 2 concerne également deux autres catégories d'entités :

• Les fournisseurs de services numériques (FSN), qui comprennent les places de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage (cloud computing). Sont visées les grandes plateformes et entreprises du numérique dont les services sont utilisés à large échelle dans l'UE.
• Les "entités essentielles" et "entités importantes" dans un éventail élargi de secteurs, tels que les services postaux et de courrier, la gestion des déchets, la chimie, la production et distribution de denrées alimentaires, la fabrication de dispositifs médicaux et de produits pharmaceutiques, l'électronique, la construction automobile, le numérique (fabricants de matériels et logiciels informatiques, hébergeurs), les fournisseurs de services de confiance, etc.

Ainsi, NIS 2 couvre un spectre bien plus large d'entreprises et d'organisations que la directive initiale, touchant potentiellement des dizaines de milliers d'entités dans toute l'Europe.

Critères de détermination des fournisseurs de services numériques concernés

Pour être soumis à NIS 2, un fournisseur de service numérique doit avoir un établissement principal dans l'Union européenne et répondre à certains critères de taille. 

En règle générale, les petites et moyennes entreprises (moins de 250 employés et CA annuel inférieur à 50 millions d'euros) sont exemptées des obligations de la directive. Cependant, cette exemption ne s'applique pas si l'entreprise est considérée comme essentielle en raison de son rôle spécifique. C'est le cas par exemple pour les fournisseurs de services de confiance qualifiés au sens du règlement eIDAS.

Par ailleurs, certains FSN peuvent être soumis à NIS 2 même s'ils sont de petite taille, s'ils sont le principal acteur d'un marché de niche ou s'ils présentent des caractéristiques particulières en termes de risques cyber (exposition élevée, interconnexions critiques...).

03. Exigences et obligations en matière de cybersécurité

Principales obligations de sécurité imposées par la directive NIS 2

La directive NIS 2 exige des entités concernées qu'elles mettent en place un ensemble de mesures de sécurité techniques et organisationnelles pour gérer les risques pesant sur la sécurité des réseaux et systèmes d'information qu'elles utilisent dans le cadre de leurs activités.

Cela inclut notamment l'obligation de protéger les données et systèmes contre les accès non autorisés, les fuites, les altérations ou destructions, de détecter rapidement les incidents de sécurité, d'y répondre de manière appropriée et de rétablir la disponibilité et l'accès aux systèmes en cas d'attaque. La directive met également l'accent sur la résilience, la continuité d'activité et la capacité à faire face à des perturbations systémiques.

Les mesures de sécurité doivent être adaptées aux risques identifiés et proportionnées à l'importance de l'entité et de ses services pour la société et l'économie. Elles doivent aussi tenir compte de l'état de l'art et des normes internationales pertinentes.

Mesures spécifiques à mettre en place pour se conformer à la directive NIS 2

Pour répondre aux exigences de NIS 2, les entreprises concernées doivent déployer tout un éventail de mesures de cybersécurité, parmi lesquelles :

• La définition et application de politiques de sécurité appropriées, couvrant tous les aspects (techniques, organisationnels, ressources humaines, sous-traitance, etc.) ;
• Un inventaire exhaustif et une gestion rigoureuse des actifs informatiques et de leurs vulnérabilités ;  
• La mise en place de dispositifs de contrôle d'accès stricts basés sur les principes du moindre privilège et de la séparation des tâches ;
• Des mécanismes robustes de journalisation, de surveillance et de détection des incidents (systèmes de détection d'intrusion, SOC...) ;
• Des procédures documentées et testées de gestion des incidents et des crises cyber, ainsi que des plans de continuité d'activité et de rétablissement ;
• Le chiffrement des données sensibles, à la fois au repos et en transit ; 
• La sécurisation de la chaîne d'approvisionnement et le contrôle des tiers (audits, exigences contractuelles...) ;
• Des audits internes et externes réguliers pour vérifier l'efficacité des mesures et identifier les axes d'amélioration.

Au-delà des aspects techniques, NIS 2 insiste sur l'importance de développer une véritable culture de la cybersécurité au sein des organisations, à travers la sensibilisation et la formation de l'ensemble des collaborateurs.

Obligations en matière de reporting et de notification d'incidents de sécurité

Un autre pan majeur de la directive NIS 2 concerne les obligations de notification des incidents de sécurité aux autorités nationales compétentes (CSIRT, régulateurs sectoriels...).

Toute entité soumise à NIS 2 est tenue de signaler dans les meilleurs délais, et au plus tard 24 heures après en avoir pris connaissance, tout incident ayant un impact significatif sur la fourniture de ses services. La directive introduit une échelle européenne de severity des incidents pour harmoniser les critères de notification.

Les entités doivent également notifier, dans un délai de 72 heures, tout incident ayant potentiellement un impact sur les services fournis dans d'autres États membres. Elles sont par ailleurs tenues d'informer leurs utilisateurs des mesures à prendre pour atténuer les risques découlant d'une menace cyber.

Des obligations de transparence vis-à-vis du public sont également prévues. Les entreprises touchées par un incident majeur doivent le notifier aux destinataires de leurs services et, le cas échéant, au grand public, si la sensibilisation est nécessaire pour prévenir ou gérer l'incident.

04. Comment se préparer à l'adoption NIS 2

Évaluation des risques et identification des lacunes de sécurité

Pour se préparer efficacement à l'entrée en application de la directive européenne NIS 2 (prévue dès octobre 2024 après transposition dans les droits nationaux), les entreprises concernées doivent d'abord mener une analyse approfondie des risques de cybersécurité pesant sur leurs activités, leurs systèmes et leurs chaînes d'approvisionnement. 

Il s'agit d'identifier, sur la base de scénarios concrets, les menaces et vulnérabilités susceptibles d'impacter les opérations et services critiques, ainsi que leurs potentielles conséquences. Cette cartographie des risques doit notamment tenir compte des exigences sectorielles spécifiques et du niveau de criticité des différents actifs et processus.

Sur cette base, il convient ensuite d'évaluer les dispositifs de sécurité existants à l'aune des nouvelles exigences de NIS 2, afin d'identifier les écarts et les axes de progression. Cet exercice de "gap analysis" doit être mené de manière systématique, en s'appuyant sur les référentiels pertinents (ISO 27001, NIST CSF...) et en impliquant l'ensemble des parties prenantes (DSI, métiers, juridique, conformité...).

Planification et mise en œuvre des mesure de sécurité nécessaires

Une fois les risques cyber évalués et les lacunes de sécurité identifiées, il s'agit de définir une feuille de route pragmatique et priorisée pour renforcer la posture cyber et assurer la conformité à NIS 2. 

Ce plan d'action doit couvrir l'ensemble des chantiers techniques, organisationnels et humains à mener, en tenant compte des contraintes opérationnelles et budgétaires propres à chaque entreprise. La priorisation des actions doit se faire en fonction de la criticité des risques à traiter, des "quick wins" possibles et des échéances réglementaires.

La mise en œuvre concrète du plan suppose d'allouer les ressources nécessaires, qu'il s'agisse de compétences internes, de prestataires spécialisés ou de solutions techniques. Un sponsor de haut niveau et une gouvernance de projet robuste sont essentiels pour assurer le bon déroulement du programme et l'atteinte des objectifs dans les délais.

Il est important de noter que la mise en conformité à NIS 2 ne doit pas être appréhendée comme un simple exercice "cocher des cases", mais comme un processus d'amélioration continue de la cybersécurité. Au-delà des exigences minimales de la directive, les entreprises sont encouragées à viser un haut niveau de maturité et de résilience cyber.

Formation du personnel et sensibilisation à la cybersécurité dans le cadre de la mise en conformité à la directive NIS 2

Un aspect trop souvent négligé, mais pourtant crucial, de toute démarche de mise en conformité et de renforcement de la cybersécurité est la formation et la sensibilisation des collaborateurs.

NIS 2 insiste fortement sur la nécessité de développer les compétences et la culture cyber à tous les niveaux de l'entreprise. Cela implique de former régulièrement les équipes techniques (DSI, SOC, administrateurs...) aux bonnes pratiques de sécurité et aux dernières tendances en matière de cybermenaces, mais aussi de sensibiliser l'ensemble des collaborateurs aux risques et aux comportements à adopter.

Des programmes ciblés doivent être déployés pour promouvoir les bons réflexes au quotidien (gestion des mots de passe, détection des emails de phishing, protection des données...) et faire en sorte que chacun soit acteur de la cybersécurité dans son périmètre. Des actions de sensibilisation ludiques et marquantes (escape games, challenges...) peuvent utilement compléter les formations plus classiques.

La direction générale et les managers ont un rôle clé à jouer pour incarner cette culture de la cybersécurité et montrer l'exemple. La sécurité doit être portée au plus haut niveau et intégrée par défaut dans tous les projets