Conformité cybersécurité : Se préparer à NIS 2

Publié le
1 juillet 2024

La cybersécurité est devenue un enjeu majeur pour les entreprises, ainsi que les collectivités. Dans un contexte dans lequel les cybermenaces se multiplient et évoluent sans cesse, la directive NIS 2 de l’Union européenne représente une étape cruciale pour renforcer la résilience des organisations essentielles et importantes. Elle représente un cyber-bouclier Européen face aux différentes menaces.

NIS 2, qu’est-ce que c’est ?

NIS 2, acronyme de Network and Information Security 2, est une directive sur la sécurité des réseaux et des systèmes d’information approuvée par l’Union Européenne. Elle vise à renforcer les règles de cybersécurité pour les entités (entreprises et collectivités) des États membres.

Face à l’évolution et à la complexité des menaces cyber, touchant de plus en plus d’entités mal protégées, la mise en place de la directive NIS 2 va permettre d’améliorer la résilience des entités européennes en étendant son champ d’application et ses objectifs.

S’appuyant sur NIS 1, toute première législation européenne sur la cybersécurité, la directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre la transpose dans leurs lois nationales. En principe, la France devrait donc rendre cette loi applicable à compter d’octobre 2024.

Selon une étude de l’ANSSI (« Panorama de la cybermenace 2022 »), 60% des attaques concernent les petites structures allant de la TPE à l’ETI en passant par les collectivités territoriales. Une évolution est également notée sur la méthode d’attaque ou les cyberattaquants ciblent la chaîne d’approvisionnement (fournisseurs, sous-traitants, etc.) pour toucher leur client final. NIS 2 s’impose pour apporter les bases permettant de faire face à cette cybercriminalité. 

Qu’est-ce qui change par rapport à NIS 1 ?

  • La directive NIS 2 étend son champ d’application à de nouveaux secteurs d’activité. La régulation implique davantage d’entités privées et d’administrations publiques, et permet ainsi aux Etats membres de superviser les collectivités territoriales.
  • La directive NIS 2 a pour vocation d’élargir le périmètre des entreprises concernées par cet encadrement réglementaire. La liste des services essentiels est enrichie par une liste de services « importants » : numérique, gestion des déchets, services postaux, industries sensibles.
  • Les entités doivent se conformer à des obligations de sécurité, telles que la réalisation d’évaluations de risques, la mise en place de mesures de sécurité appropriées et la notification des incidents de sécurité.
  • La directive NIS2 met davantage l’accent sur les mesures préventives, telles que la mise en place de plans de sécurité et de continuité d’activité, ainsi que la formation du personnel sur les bonnes pratiques en matière de sécurité.
  • La directive NIS2 introduit des sanctions financières plus sévères pour les entreprises qui ne respectent pas ses exigences.

Qui est concerné par NIS 2 ?

Environ 600 types d’entités différentes seront concernées, parmi elles des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les principaux critères d’intégration ont été définis au niveau européen. Il s’agit principalement du nombre d’employés (plus de 50 salariés), du chiffre d’affaires (supérieur à 1 million d’euros) et de la nature de l’activité réalisée par l’entité.

Ces derniers critères expliquent que près de 20 000 entreprises seraient concernées par la directive NIS 2 en France !

Un simulateur est accessible pour vous aider à savoir si votre entité est concernée par cette directive : https://monespacenis2.cyber.gouv.fr/

Elargissement du périmètre d’application

La directive NIS 2 étend considérablement son champ d’application. Désormais, 18 secteurs sont concernés par NIS 2 en intégrant une nouvelle classification : Les Entités Essentielles (EE) et les Entités Importantes (EI). Cette dernière vise à réguler les exigences imposées aux entreprises en fonction de leur niveau de criticité en cas d’incidents de cybersécurité et de l’impact que leur dysfonctionnement pourrait engendrer.

Les Entités Essentielles (EE) :

  • L’énergie,
  • Les transports,
  • Le secteur bancaire,
  • Les infrastructures des marchés financiers,
  • La santé,
  • La distribution d’eau potable,
  • La gestion des eaux usées,
  • Les administrations publiques,
  • Secteur spatial,
  • Les infrastructures numériques,
  • La gestion des services TIC.

Les Entités Importantes (EI) :

  • Les services postaux et d’expédition,
  • La gestion des déchets,
  • La fabrication, production et distribution de produits chimiques,
  • La production, transformation et distribution de denrées alimentaires,
  • La fabrication
  • Les fournisseurs de services numériques,
  • Les organismes de recherche.

Quelle est la conséquence en cas de non-conformité ?

Les entités qui ne font pas le nécessaire pour être conformes à cette nouvelle directive pourront se voir attribuer des sanctions administratives et financières.

  • Pour les entités essentielles : une amende jusqu’à 10 millions d’euros, ou 2% du CA mondial total.
  • Pour les entités importantes : une amende jusqu’à 7 millions d’euros, ou 1,4% du CA mondial total.

En cas de sanctions, elles seront prononcées par l’autorité compétente nationale, en France, l’ANSSI.

Que devront faire les entreprises pour être conforme ?

NIS 2 s’impose comme un changement significatif dans le paysage de la cybersécurité. C’est une obligation, mais aussi une opportunité unique pour les entreprises afin de mieux se protéger. Cette directive va exiger :

  • L’évaluation des risques : des évaluations régulières devront être réalisées pour identifier les potentielles menaces et vulnérabilités.
  • La mise en place de mesures de sécurité : des outils et mesures de sécurité devront être choisis et être appliqués.
  • La notification des incidents de sécurité : les entreprises devront signaler aux autorités compétentes les incidents de sécurité en respectant les délais spécifiés par NIS 2.
  • L’élaboration d’un plan de continuité (PCA) et de reprise d’activité (PRA) : les entreprises devront mettre en place un PCA et PRA pour assurer la disponibilité de ses services en cas de perturbations.
  • La formation du personnel : les collaborateurs devront suivre une formation aux bonnes pratiques en matière de cybersécurité.
  • La sauvegarde des données : des sauvegardes régulières devront être faites pour garantir la disponibilité et l’intégrité des données en cas d’incident.
  • La conformité aux normes : se conformer aux normes de sécurité, telles qu’ISO 27001.

NIS 2 et ISO 27001 ?

NIS 2 trouve une partie de son inspiration dans la norme ISO 27001, qui certifie les protocoles de gestion des risques. Mais NIS 2 insiste sur le point de vue fonctionnement de la société et du pays, comme objectifs supplémentaires de la cybersécurité. NIS 2 prévoit aussi des obligations de déclaration d’incidents aux autorités, ce qui n’est pas le cas de la norme ISO 27001. Cette obligation de déclaration implique que les mesures correctives sont prises pour atténuer l’impact des ‘incidents’ cyber. 

Comment se préparer à NIS 2 ?

NIS 2 doit être perçu comme une étape importante dans la protection des entités de l’Union Européenne. Les entités concernées doivent prendre des mesures dès maintenant pour se conformer à cette nouvelle législation, et garantir la sécurité de leurs réseaux, système d’information et données.

Vous faites partie des secteurs concernés et vous souhaitez vous faire accompagner par des experts en cybersécurité ?  Les experts de Soteria Lab se tiennent disponibles pour vous accompagner dans cette transformation et dans votre protection.  Nous pourrions commencer par évaluer les risques auxquels vous êtes exposés et démarrer une sensibilisation à la cybersécurité pour vos salariés. Contactez-nous !

Nos derniers articles