FOCUS SUR NIS 2 

NIS et NIS2 

Qu’est-ce que la directive NIS 2 ? 

En raison de la multiplication des cyberattaques, l’Union européenne a instauré en 2016 la loi NIS (Network and Information Security). Son objectif est alors d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’UE.

Les pays membres désignaient des OSE (Opérateurs de Services Essentiels) et des FSN (Fournisseurs de Services Numériques), qui avaient l’obligation de déclarer leurs systèmes d’information auprès des agences gouvernementales compétentes.

En janvier 2023, l’Union Européenne fait évoluer cette loi et édite la directive NIS 2, dans le but de gagner en précision et en homogénéité entre pays, d’accroître le périmètre d’entités concernées, d’intégrer leurs sous-traitants et de renforcer les obligations de protection en cybersécurité. Ceci afin d’optimiser et de gagner en efficacité dans la gestion des crises cyber au sein de l’UE.

Les 27 pays membres de l’UE auront l’obligation d’incorporer ces nouvelles mesures dans leurs législations nationales d’ici le 17 octobre 2024.

Différence avec NIS 1 

NIS1 régissait 19 secteurs : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’approvisionnement en eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et le secteur aérospatial. 

NIS2 quant à elle étend son champ aux secteurs suivants : les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques. Avec cette nouvelle version, ce sont désormais 35 secteurs qui sont concernés. 

La directive NIS2 remplace la notion d’OSE et FSN présente dans NIS1 par deux nouvelles désignations : Entité Essentielle et Entité Importante. Cette catégorisation s’établit selon leur degré de criticité, leur taille et leur chiffre d’affaires (pour les entreprises).

Les entreprises classées comme essentielles ou importantes font partie des 35 secteurs visés et ont la responsabilité d’une infrastructure dont l’arrêt aurait des conséquences significatives sur l’économie et le fonctionnement du pays. En règle générale, les ETI et les grandes entreprises inscrites sur la liste des opérateurs de services essentiels (OSE) seront classées en tant qu’entités essentielles. 

Les risques liés à la chaîne d’approvisionnement font l’objet de mesures plus poussées. NIS2 met ainsi l’accent sur la gestion des risques, la production de rapports et la capacité de récupération.

La directive NIS2 impose des objectifs, mais fixe également des sanctions qui peuvent être lourdes en cas de non-conformité.

NIS2 renforce la coopération entre les États membres, en matière de gestion de crise cyber, en particulier via le réseau CyCLONe (Cyber Crisis Liaison Organisation Network, désormais doté d’un cadre plus formel).

En France

NIS 1 concernait près de 300 opérateurs de service essentiel et fournisseurs de service numériques.

Avec NIS 2, entre 10 000 et 20 000 entités seront concernées.

Quels secteurs sont concernés ?

Secteurs des entités essentielles
  • santé
  • infrastructures numériques
  • transports
  • approvisionnement en eau
  • prestataires de services numériques
  • banque
  • infrastructure des marchés financiers
  • énergie
  • eaux usées
  • aérospatial
  • administration publique
Secteurs des entités importantes
  • fournisseurs de réseaux ou de services publics de communications électroniques
  • produits chimiques
  • producteurs, transformateurs et distributeurs de produits alimentaires
  • fabrication de produits critiques (dispositifs médicaux, ordinateurs, appareils électroniques véhicules à moteur)
  • fournisseurs numériques (plateformes de réseaux sociaux, moteurs de recherche, places de marché en ligne)
  • services postaux et d’expédition

Quels acteurs sont soumis à NIS2 ?

Votre entreprise est-elle concernée par ces nouvelles mesures ?

Pour être concernée par la directive NIS 2, votre entreprise doit être publique ou privée, opérer au sein de l’Union européenne, et être active dans l’un des secteurs couverts par la directive. Elle doit également répondre à l’un des critères suivants :

  • être une entité de taille moyenne ou plus selon la Commission européenne (50 employés ou plus, ou avec un chiffre d’affaires annuel de 10 millions d’euros ou plus).
  • être une entité critique selon la directive 2022/2557 sur la résilience des entités critiques.
  • fournir des services tels que réseau de communications électroniques publics, communication électronique accessible au public, service de confiance, registre de noms de domaine de premier niveau, système de noms de domaine, ou service d’enregistrement de noms de domaine.
  • être une entité de l’administration publique des pouvoirs publics centraux ou régionale fournissant des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.
  • être considérée essentielle au maintien d’activités sociétales ou économiques critiques, ayant un impact significatif sur la sécurité, la sûreté publique, la santé publique, ou présentant un risque systémique important, soit de manière générale, soit dans un contexte de risques identifiés au niveau national. A cette liste de critères s’ajoute aussi la possibilité pour chaque état membre de soumettre ou d’exempter des entités spécifiques.

On peut retenir que NIS2 se concentre sur les organisations réalisant un chiffre d’affaires dépassant 10 millions d’euros ou employant plus de 50 employés dans certains secteurs sélectionnés : les EE de plus de 250 personnels et réalisant un CA de plus de 50M€, les EI de plus de 50 personnes et réalisant un CA de plus de 10M€.

Les entreprises d’énergie, d’eau et de chauffage de moins de 50 employés restent soumises aux directives de NIS2.

Cas des sous-traitants 

Les attaques sur les chaines d’approvisionnement se font de plus en plus nombreuses, faisant des milliers de victimes. Les organisations qui sous-traitent des missions à d’autres entreprises, en leur donnant accès à des données sensibles, doivent s’assurer que les données partagées seront correctement protégées. Ces sous-traitants devront donc se conformer à certaines mesures de NIS2 afin de pouvoir continuer à travailler avec leurs clients.

Ces sous-traitants soumis à NIS 2 devront ainsi encadrer contractuellement les aspects cybersécurité avec leurs propres sous-traitants, fournisseurs et prestataires directs.

Dans cette nouvelle directive, les sous-traitants et prestataires de services ayant un accès à une infrastructure sont soumis à l’ensemble des obligations de NIS2, contrairement à NIS1. Les ESN et prestataires de services seront donc également concernés par NIS2.

 Bon à savoir 

Le gouvernement met à disposition une plateforme pour déterminer si une entité est concernée par la directive NIS 2 : 

tester l’éligibilité de votre entité

Exigences NIS2

La directive ordonne aux membres de l’UE de s’assurer que les EE et EI gèrent les risques par la mise en œuvre de systèmes, de stratégies et de bonnes pratiques pour la cybersécurité.

Les exigences que doivent prendre en compte toutes les entités concernées sont :

  • l’analyse des risques et la sécurité des systèmes d’information
  • le traitement des incidents et les rapports d’incidents
  • la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre
  • la gestion de crises
  • la sécurité de la chaîne logistique
  • la sécurisation de l’acquisation, du développement et de la mintenance des systèmes
  • les pratiques de base en matière de cybersécurité et la formation à la cybersécurité
  • les technologies de cryptographie et chiffrement
  • la sécurité du personnel, les politiques de contrôle d’accès et la gestion d’actifs
  • l’accès « zero trust » (authentification à plusieurs facteurs, authentication continue)

Se mettre en conformité avec NIS2

Date de mise en conformité et sanctions 

A la suite du vote à l’échelle européenne, les pays membres ont jusqu’à octobre 2024 pour commencer à accompagner les entités et les contrôler dans le cadre de la mise en place de cette nouvelle directive.

Le non-respect de leur application par les organisations concernées les expose à un risque financier significatif. Pour les entités essentielles : une amende de 10 millions d’euros, ou 2% du CA mondial total. Pour les entités importantes : une amende 7 millions d’euros, ou 1,4% du CA mondial total.

Les sanctions seront prononcées par l’autorité compétente à échelle nationale, soit l’ANSSI pour la France.

Si ces dispositions de cybersécurité ne sont pas respectées par l’entité concernée, les États membres pourront prendre des sanctions d’ordre pénal. La responsabilité des dirigeants pourra donc être directement engagée.

Comment CRYPT.ON IT peut vous accompagner dans la mise en conformité à NIS2 ?

Les équipes de CRYPT.ON IT sont en mesure de vous accompagner sur la mise en conformité vis-à-vis de référentiels de cybersécurité telles que l’ISO27001 :2022, la directive NIS2 (Network and Information Security 2) ou encore le règlement DORA (Digital Operational Resilience Act).

Pour les référentiels ISO27001:2022 et DORA, nous proposons un accompagnement de bout-en-bout via un état des lieux, le support à la mise en conformité afin de répondre aux exigences et un audit blanc pour s’assurer de l’application effective des mesures de résilience prévues.

Concernant la directive NIS2 entrée en vigueur le 16 janvier 2023, la transposition à l’échelle nationale est attendue d’ici le mois d’octobre 2024. Dans ce cadre, nous pouvons d’ores et déjà proposer un état des lieux vis-à-vis des thématiques de cybersécurité indiquées dans le texte européen.