La réglementation NIS 2, on fait le point sur les enjeux, les obligations et les sanctions

Mélanie Lebrun

|

Responsable marketing chez Youzer

04/2024

| Mis à jour le

Articles
>
Cybersécurité
La directive NIS 2 doit assurer une protection des infrastructures critiques de l'Union européenne contre les cybermenaces. Elle vient renforcer NIS 1 pour garantir la sécurité des réseaux et des systèmes d'information, ainsi que la coopération entre les États membres pour répondre efficacement aux incidents de sécurité.

Sommaire

En bref, qu'est-ce que la directive NIS 2 ?

NIS 2 répond à un besoin de cybersécurité. La société évolue très rapidement avec le tout numérique et il a fallu réglementer à l'échelle européenne. NIS2 fait suite à NIS1 et vient compléter la directive pour la renforcer.

NIS2 ne s'ajuste pas de la même manière sur tous les acteurs, il existe des entités essentielles EE et des entités importantes EI. L'application de la directive s'effectue à la proportionnelle de la criticité de l'entreprise et de sa taille.

NIS 2 entrera en vigueur le 17 octobre 2024 mais attention cette date ne correspond pas à la date d'application.

L'ANSSI joue un rôle majeur dans la directive puisqu'elle doit la déployer au niveau national. La nouvelle réglementation étant applicable pour les États membres européens avec une transposition à faire pour chaque pays avec une entité référente.

NIS 2 a pour objectif de renforcer le niveau de cybersécurité des acteurs nationaux.

Grandes lignes de NIS 2

En quoi consistait exactement cette directive connue sous le nom de NIS 1 ?

NIS 1 arrive dans la lignée de la loi de programmation militaire mise en place en 2013.

La directive européenne NIS1 a été adoptée en 2016 et mise en œuvre en 2018.

💡 NIS : Network and Information Security (sécurité des réseaux et de l’information) a pour objectif de renforcer la sécurité des réseaux et des systèmes d'information en Europe en mettant l'accent sur les secteurs essentiels, tels que les services d'approvisionnement en eau, l'énergie, les transports, la santé et la finance.

La directive NIS 1 a été conçue envers les acteurs économiques qui pourraient avoir un impact considérable au sein de l’Union européenne.

Elle a été définie au niveau européen ⭐ 🟦 ⭐ et oblige les autorités nationales à définir une stratégie en matière de cybersécurité.

Il a fallu désigner une autorité de contrôle en charge du déploiement et de l'application de ce droit. L'ANSSI, l'agence nationale de sécurité des systèmes d'information, a construit une feuille de route pour la mise en application de cette directive.

L'ANSSI représente la France 🟦⬜🟥 au sein du réseau des CSIRT, groupe de coopération pour une transposition nationale de la directive.

NIS 1, renforce les États membres dans leur mise à niveau de sécurité et permet une coopération entre les pays.

L'idée était d'avoir une directive déployée uniformément dans chaque pays, mais c'est là où les premières difficultés sont apparues.

NIS 1 cible les gros acteurs dit “opérateurs de services essentiels”, les acteurs économiques qui pourraient avoir un impact considérable au sein de l’Union européenne.

NIS 1 était une première version d'un projet de sécurité informatique Européen, ce qui est très positif mais rapidement, même avant son application, sont apparus des dysfonctionnements.


Morten Løkkegaard, Danois et membre au Parlement européen et rapporteur NIS2 explique que les pays membres n'étaient pas tous d'accord sur le cadre, ils ne comprenaient pas pourquoi les États et les législateurs aient leur mot à dire sur la gestion de la cyber des entreprises. La directive a donc été édulcorée mais nous n'étions pas dans le même contexte et la même urgence qu'en 2023.

  • Il y avait une trop grande hétérogénéité dans les pratiques et les mises en œuvre entre les États membres.
  • La menace de cyberattaques et les impacts sur la société ont évolué.
  • les entités essentielles ont élevé leur niveau de cybersécurité mais leurs fournisseurs (supply chain) n'ont pas réalisé un travail important en matière de sécurité et ce sont eux qui sont ciblés actuellement.

➡️ C'est le 14 décembre 2022 qu'est née l'idée de NIS2.

La directive NIS  2, network and information systems, dans les grandes lignes

Trois points ont amené à réfléchir à NIS 2 assez rapidement :

  1. On s'est vite rendu compte que le périmètre de NIS 1 était très limité, il englobait environ 15 000 opérateurs régulés et en l'élargissant on passait à plus de 100 000 entités.
  2. Les exigences qui étaient assez floues dans la première directive et avaient besoin d'être clarifiées.
  3. Les mécanismes de régulation avaient besoin d'être plus précis.
La différence NIS 1 et NIS 2

Pour les législateurs, il a fallu réfléchir différemment, tout n’était pas science : les petites et les moyennes entreprises pouvaient être aussi des entités critiques.

👉🏼 Il a donc fallu mieux catégoriser les acteurs ciblés et le groupe de travail européen a créé deux typologies :

  • les entités essentielles EE
  • les entités importantes EI

Les mesures ne s'appliquent pas de la même manière selon les cas et surtout, elles s'appliquent à la proportionnelle de la dimension de l'organisation.

Ainsi, les mesures de sécurité demandées prennent en compte la taille de l'organisation, les contrôles en amont pour les EE et en aval pour les EI si une non-conformité a été découverte.
Les pénalités ne seront pas identiques, jusqu'à 2% du CA pour les EE et 1.4% du CA pour les EI.

Comme pour NIS 1 les délais de mise en conformité sont longs afin de laisser le temps aux acteurs ciblés de prendre des mesures. Il en sera de même avec NIS 2.

Envie de voir une démo instantanée de Youzer ?  
Voir la démo

Les différences entre NIS 1 et NIS 2 :

Voyons à présent les différences et ce qui ne change pas entre les deux réglementations.

Ce qui va changer :

  • il y a un pouvoir de sanctions et de contrôle (nous allons y revenir). Il faut poser les règles et les rendre plus coercitives.
  • le socle de sécurité est insuffisant, il va y avoir une augmentation des exigences et des pénalités. On aura plus de précisions dans les mois à venir surtout sur les opérateurs de services essentiels.
  • le champ d’application change : avant, on parlait d'opérateurs de services essentiels et fournisseurs de services numériques. Aujourd'hui, on parle d’entités essentielles et d’entités importantes : ça couvre plus de monde et ça prévoit des exceptions.
  • le point le plus important : auparavant les États désignaient les entités, aujourd'hui c'est aux entreprises et organisations de se déclarer comme entités auprès des autorités. Les États membres devront déclarer l'ensemble des EE et des EI sur leur territoire au plus tard le 17 avril 2025, pour sa part la France laisse jusqu'au 17 janvier aux entreprises et organisations pour se déclarer.

Ce qui ne change pas

  • la coopération entre les États, la commission et l'ENISA (l'agence de l'Union européenne pour la cybersécurité).
  • le réseau des CSIRT (équipe spécialisée dans la gestion des incidents de sécurité informatique).
  • le partage d’information volontaire
  • l'harmonisation minimale (l'inconvénient c'est que certains pays vont être plus stricts, d’autres plus laxistes ce qui va provoquer une distorsion de concurrence).

Qui sera concerné par cette nouvelle directive ?

La directive s'applique sur trois critères :

  1. Être une personne physique ou morale ayant en son nom propre la capacité à être titulaire de droits et d’obligations : une personne dotée de la personnalité juridique.

  2. En fonction de la dimension de l'entreprise :
Taille entité Nombre d'employés Chiffre d'affaire Bilan annuel
Moyenne entreprise Supérieur à 50 Supérieur à 10 millions d'euros Supérieur à 10 millions d'euros
Grande entreprise Supérieur à 250 Supérieur à 50 millions d'euros Supérieur à 43 millions d'euros

3. En fonction de la criticité de son activité :

Entités Essentielles Entités Importantes
Énergie Services postaux et d'expédition
Transports Gestion des déchets
Secteur bancaire Fabrication, production et distribution de produits chimiques
Infrastructures des marchés financiers Production, transformation et distribution des denrées alimentaires
Santé Fabrication (dispositifs médicaux, produits informatiques, équipements électroniques, machines et équipements, véhicules automobiles et matériels de transport)
Eau potable Fournisseurs numériques
Eaux usées Recherche
Infrastructures numériques
Gestion des services TIC
Administration publique
Espace

Retrouver la liste détaillée des EE et EI, pages 64 à 67 pour les EE et pages 69 - 70 pour les EI.

4. Être établi ou fournir des services au sein de l'Union européenne. Même si vous n'êtes pas établi dans l'UE mais que vous travaillez avec des entreprises UE vous êtes concernés.

Il existe des exceptions qui ne prennent pas en compte les critères précédents comme la criticité de l'activité ou si elle est désignée par l'État. Par exemple le critère de taille ne s’applique pas pour tous les secteurs : les fournisseurs de réseaux, des services publics locaux, entité de l'administration publiques particulière, fournisseur de service numérique, prestataires de services de confiance, les fournisseurs de registre des noms de domaines...

Il y a :

  • une règle par défaut,
  • un mécanisme d’ajustement
  • une clarification

Quel est l’objectif de la directive NIS 2 ?

Avec le contexte économique, les guerres, les cyberattaques, la commission européenne souhaite renforcer la cybersécurité sur l'ensemble des pays membres avec comme objectif l'unicité.

NIS 2 s'inscrit dans un contexte de résilience, elle doit aider les acteurs à surmonter et faire face aux crises cyber.

Le marché européen veut se montrer fort et uni face aux hackers de plus en plus organisés. Les cyberattaques se professionnalisent et la supply chain est de plus en plus visée.

NIS 1 visait à renforcer les acteurs hautement critiques mais le problème s'est décalé sur leur sous-traitant, il s'agit de forcer l'ensemble des acteurs à renforcer sa cybersécurité.

La direction des entreprises est beaucoup plus impliquée dans NIS 2 qu'elle ne l'a jamais été. Si bien, que l'on reporte la responsabilité sur les organes de direction avec une obligation de formation et une implication dans l'application de règles et de normes de cybersécurité.

La direction qui pouvait jusque-là se détacher des problématiques des directions informatiques va devoir s'impliquer et surtout fournir un budget.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Qu’est-ce qui va changer avec l’adoption de la directive NIS2 ?

Les entités vont devenir proactives de leur sécurité numérique.

Elles vont avoir des obligations et devront suivre une charte de sécurité avec une gestion des risques.

  • Les entités doivent se notifier à l’ANSSI.
  • Elles doivent communiquer des infos de contact et les maintenir à jour.
  • Elles doivent déclarer à l’ANSSI les incidents cyber majeurs

Ce qui change pour les organes de direction

Il va aussi y avoir des évolutions au niveau des exigences de sécurité au niveau des organes de direction, ils devront approuver les mesures en matière de risk management, superviser leur mise en œuvre et seront responsables en cas de non respect des obligations.

Il y a une obligation de formation des membres de la direction pour mieux comprendre les risques, les pratiques et les incidents en matière de gestion de la cybersécurité.

La direction doit aussi apporter une formation continue à l'ensemble des collaborateurs sur la sécurité informatique.

Obligation pour les organes de direction

Les mesures de sécurité pour les entités régulées

  • les politiques relatives à l'analyse des risques et à la sécurité des SI
  • la gestion des incidents
  • la continuité des activités (sauvegardes, PRA, gestion des crises)
  • la sécurité de la chaîne d'approvisionnement (fournisseurs/prestataires)
  • la sécurité de l'acquisition, du développement et de la maintenance du SI
  • des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des actifs
  • l'utilisation des solutions d'authentification à plusieurs facteurs ou d'authentification continue et de communications sécurisées

⚠️ Pas d'inquiétude, ce sont les grandes lignes et les États vont rajouter des précisions sur ce que l'on doit faire.

La déclaration d'un incident NIS 2

L'épisode doit être déclaré selon des étapes très définies :

  1. L'organisme doit le notifier au CSIRT ou à l’autorité compétente dans les 24h suivant le début de l'incident. Il sera très important de bien préciser s'il y a impact transfrontalier.
    C'est une alerte précoce dans laquelle on stipule un acte malveillant ou illicite, réel ou suspecté.
    Morten Løkkegaard, membre du Parlement européen, précise bien que c’est juste ‘Houston we have a problem’ : aucun rapport détaillé n'est attendu, juste la mention aux autorités qu'il y a une situation problématique.

  2. 72h après la notification de l’incident, l'organisme doit faire une mise à jour des informations et une évaluation initiale.

  3. Un mois après la notification (donc 72h + un mois), l'organisme doit faire son rapport final ou un mois après le traitement de l’incident au maximum.

NB : Si l'incident dure plus d'un mois, l'organisme doit réaliser un rapport intermédiaire.

Différentes étapes suite à un incident - NIS 2

Le rapport final

Il doit comporter les éléments suivants :

  • une description détaillée de l'incident, incluant sa gravité, son impact, ses répercussions et l'état d'avancement si l'incident est encore en cours,
  • le type de menace ou la cause profonde ayant probablement déclenché l'incident,
  • les mesures d'atténuation appliquées et en cours,
  • le cas échéant, les conséquences transfrontalières de l'incident.

Que risque une entreprise concernée si elle ne respecte pas les exigences décrites par cette directive européenne ?

Comme nous avons pu le voir les entreprises ont une obligation d'information d'un acte malveillant ou illicite mais ce n'est pas tout, elles ont aussi une obligation de se former aux gestes de bonnes hygiènes informatiques mais aussi de mettre tous les moyens en place pour se protéger des cyberattaques.

Les sanctions non pécuniaires pour le EI ou EE :

Il y aura des avertissements et l'ordre d’informer, de rendre public un évènement majeur.
L'ANSSI pourra demander de stopper un comportement et de se mettre en conformité.

Pour les EE, il y aura :

  • l'ordre de désigner un responsable de contrôle pour une personne donnée,
  • l'interdiction temporaire aux personnes physiques d’exercer une fonction de direction ou de représentation légale,
  • la suspension d’une certification ou une autorisation (vous aurez été averti en amont !).

Les sanctions pécuniaires :

Entité essentielle Entité importante
Jusqu'à 10 M€ ou 2% du chiffre d'affaire annuel mondial Jusqu'à 7 M€ ou 1.4% du chiffre d'affaire annuel mondial
Des astreintes afin de contraindre une EE ou une EI à cesser son infraction

😔 La mauvaise nouvelle : ce sont des sanctions minimales fixées par la commission européenne, cela veut dire que chaque pays peut adapter les pénalités et choisir d'aller au-delà.

Pourquoi avoir mis en place des pénalités ?

Uniquement parce que ce sont les sanctions qui font bouger les lignes. Morten Løkkegaard explique “If we don’t have fines, sanctions, people will not apply, that’s the truth of the matter” (Si nous n'avons pas d'amendes, de sanctions, les gens ne se conformeront pas, c'est la réalité des choses).

L’autre raison, c'est que les entreprises actuellement sont tentées de payer la rançon, demain la sanction sera plus élevée que la rançon, donc les entreprises seront plutôt tenter d’aller sur une conformité de leurs pratiques. Il sera plus intéressant, judicieux de payer les investissements pour mettre leur cyberprotection à niveau.

Quand est-ce que la directive NIS 2 entrera en vigueur ?

Pour récapituler les dates :

  • La directive européenne NIS a été publiée le 27 décembre 2022 au journal officiel de l'UE ➡️ chaque État a 21 mois pour la décliner dans le droit de son pays.
  • La directive entrera dans le droit français le 17 octobre 2024. En amont, Il y aura une transposition de la directive pour en faire un projet de loi, qui implique un travail avec les ministères, les entités critiques actuelles, le SGDSN (secrétariat général de la défense et de la sécurité nationale) et les fédérations sectorielles. La réglementation doit suivre un parcours parlementaire.
  • Attention, l'entrée en vigueur en octobre ne signifie pas l'application de la directive. Il y a un délai de mise en conformité pour les entités régulées.

Quel est le rôle de l'ANSSI dans cette démarche ?

L'ANSSI en tant qu'acteur et intermédiaire historique de la partie réglementaire de NIS 1 et 2 en France assure l'application de NIS.

L’ANSSI va devoir se transformer pour avoir un rôle de conseil, de contrôle et de surveillance.

Contrôle

  • inspection sur place
  • audit de sécurité
  • scans de sécurité
  • demandes d’informations
  • demandes d’accès à des données

Pour les EE en plus :

  • audits réguliers
  • demandes de preuves

L'ANSSI va avoir un rôle particulier dans cette directive :

  • elle a un rôle de régulateur en accompagnant et en conseillant les entités,
  • elle contrôle,
  • elle aide au développement des services numériques,
  • elle est présente dans les grandes étapes de construction de la réglementation,
  • elle co-construit,
  • elle éclaircit.

En résumé : elle interagit entre les entités et le régulateur, elle fixe les exigences de sécurité, reçoit les déclarations d’incidents et contrôle les opérateurs de services essentiels avec la capacité de sanctionner.

rôle de l'ANSSI dans la directive NIS 2

Comment se mettre en conformité NIS 2 ?

Pour l'instant et vous l'aurez compris, NIS 2 n'est pas encore applicable, elle est dans un parcours réglementaire et l'ANSSI n'a pas encore transmis ses exigences.

Au salon InCyber 2024 à Lille, j'ai pu échanger avec une personne de la coordination sectorielle de l'ANSSI qui m'a donné le conseil suivant : pour les EI une bonne hygiène informatique appliquée à l'aide du guide sera un très bon pas vers une mise en conformité NIS 2.


Maxime Antoine à l'OSSIR (Observatoire de la sécurité des systèmes d'information et des réseaux) conseille lui pour sa part de :

  • allez voir les guides de l’ANSSI
  • industrialisez
  • ne faites plus de l’artisanat
  • boostez votre cybersécurité
  • ayez un leadership
  • ayez une vraie politique réelle
  • optez pour un processus de gestion des risques
  • ne vous limitez pas à la planification et à l’exécution → vérification, amélioration continue, gestion et non conformité.

En conclusion

NIS 2 sera applicable et connue en octobre 2024. Avant cette date, la loi n'est pas connue dans les détails, il est donc préférable de ne pas se précipiter sur n'importe quelle solution mais de faire un point sur son hygiène informatique et de revoir les basiques dans la gestion des risques cyber.

Nous pouvons vous aider à faire le point sur la gestion de vos utilisateurs et de leurs comptes :

  • qui a quoi et pourquoi ?
  • quels sont les droits accordés aux utilisateurs
  • qui utilisent vraiment les applications
  • avez-vous des comptes orphelins
  • avez-vous des comptes en erreurs
  • avez-vous des failles dans la transmission du 1er mot de passe
  • le partage de compte

Sources :

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Recevoir l'actu IT

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.