Sécurité Numérique : Comprendre la Directive NIS 2
Adoptée en 2016, la directive NIS (Network and Information Systems) a été mise en place par l’Union Européenne pour renforcer la résilience des infrastructures critiques des organisations face aux menaces cyber. Cette année, une nouvelle version de cette directive (NIS 2) entre en vigueur. Elle élargie le champ d’application de la directive et renforce la coopération entre tous les États membres.
NIS 2 : une nouvelle directive pour mieux se protéger
Publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022, la directive NIS 2 va succéder à la directive NIS 1 (entrée en vigueur dès 2016). Bien que NIS 1 ait apporté des résultats positifs, son champ d’application était devenu trop restreint. Avec l’augmentation et la sophistication des cyberattaques, la Commission Européenne a proposé d’étendre le champ d’application de NIS 1 pour permettre à davantage de secteurs et d’entités de se protéger.
Avec cette seconde version de la directive, l’UE impose de nouvelles obligations aux États membres. L’objectif est de garantir un niveau élevé de sécurité des réseaux et des systèmes d’information. Le but est ainsi de contribuer à la création d’un environnement numérique plus sûr en garantissant la prévention, la détection et la gestion des incidents de sécurité.
De manière générale, la directive NIS 2, s’appuie sur les éléments de l’ancienne version et met l’accent sur :
- la gestion commune des risques cyber
- la déclaration des incidents
- les obligations de partage d’informations au sein de l’UE
En France il a été noté une hausse de 400 % des cyberattaques depuis 2020. Selon l’ANSSI, 69 % des cyberattaques visaient des entreprises, 20 % des collectivités territoriales, 11 % des établissements de santé.
NIS 2 vs NIS 1 : quels changements ?
En quelques années, le paysage cyber a beaucoup évolué (nombre d’attaques, sophistication…) Les dispositions initiales de la directive NIS n’étaient plus adaptés et suffisamment ambitieuses pour l’Union Européenne qui souhaitait être plus proactive et résiliente face aux cybermenaces. C’est pourquoi, une deuxième version de cette directive s’est rapidement imposée.
- Ce second texte prévoit notamment un élargissement important de son périmètre d’application. De nouveaux secteurs devront prochainement appliquer les dispositions votées dans le cadre de cette directive (détail dans le paragraphe ci-dessous).
- Les exigences en matière de sécurité sont également renforcées. Les entités concernées par la directive devront mettre en place des mesures de sécurité plus robustes et appliquer des procédures plus strictes de gestion des risques et des incidents.
- Une distinction entre entités importantes et essentielles apparait. Les obligations de sécurité seront ainsi adaptées au niveau de criticité de chaque secteur d’activité.
- Enfin, en cas d’incident, un dispositif de déclaration en 3 volets est mis en place. Les sanctions en cas de manquements au règlement européen sont également renforcées.
Qui est concerné par NIS 2 ?
La directive NIS-2 concerne beaucoup plus d’entités que la directive NIS-1. De manière générale, elle cible toutes les organisations de plus de 50 salariés et qui réalisent un chiffre d’affaire de plus de 10 million d’euros au sein de secteurs spécifiques. Il peut donc s’agir de PME, de grandes entreprises ou même de collectivités territoriales.
Les entités essentielles et les entités importantes
Dans sa version n°2, la directive distingue les entités importantes des entités essentielles. Les entités importantes appartiennent à un secteur d’activité jugé moins critique. Elles doivent donc se conformer à un cadre légal moins contraignant.
Les entités essentielles (EE) regroupent les organisations de plus de 250 employés ou qui réalisent un chiffre d’affaires annuel supérieur à 50 millions d’euros au sein d’une liste de secteurs jugés très critiques, parmi lesquels : l’énergie, les transports, le secteur bancaire, la gestion de l’eau, les administrations publiques…
Les entités importantes (EI), quant à elles, regroupent les organisations de plus de 50 employés ou qui réalisent un chiffre d’affaires annuel de 10 millions d’euros dans des secteurs jugés importants (services postaux, gestion des déchets, production et distribution de produits chimiques, fournisseurs numériques…)
La directive NIS encadrait 19 secteurs d’activités. Au total, avec cette nouvelle version, ce sont 35 secteurs qui sont maintenant concernées. Vous pouvez retrouver la liste complète en annexe 1 de la directive publié au Journal Officiel de l’Union Européenne.
Les sous-traitants aussi impactés par la directive NIS 2
De plus en plus d’attaquants tentent de compromettre leur cible en exploitant les faiblesses présentes dans les systèmes d’information de leur chaîne d’approvisionnement. On parle d’attaque de type « supply-chain ». Pour que les entités essentielles et importantes soient protégées, il est donc indispensable que leurs partenaires (fournisseurs, distributeurs…) le soient aussi. C’est pourquoi, la directive NIS 2 impose désormais aux sous-traitants, les mêmes exigences cyber, qu’aux entités des secteurs clés. En rejoignant le cadre légal de la directive NIS 2, les entreprises de sous-traitance doivent donc se mettre à niveau rapidement et prendre les mesures nécessaires pour se protéger face aux risques cyber.
Quel est le calendrier ?
La directive NIS 2 a été publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022. Un délai de 21 mois est accordé aux 27 États membres pour qu’ils intègrent dans leur système juridique les différentes exigences réglementaires. Ainsi, la nouvelle directive NIS, entrera en vigueur au plus tard le 18 octobre 2024.
Des obligations de signalement plus stricts
Avec NIS-1, les fournisseurs de services numériques (FSN) et les opérateurs de services essentiels (OSE) avaient l’obligation de déclarer aux autorités les incidents de sécurité significatifs qu’elles subissaient. Cependant, le texte restait très flou sur le contenu de ces notifications. Il ne fournissait pas non plus de délai pour effectuer la déclaration d’incident.
Désormais, la nouvelle directive NIS 2 demande aux entités des informations plus strictes en cas d’attaque. La déclaration devra s’effectuer en 3 temps :
- Une notification initiale doit être faite dans les 24 heures après avoir eu connaissance de l’incident
- Une notification détaillée doit ensuite être rédigée dans un délai de 72 heures après avoir eu connaissance de l’incident
- Enfin, un rapport final doit être envoyé aux autorités compétentes (l’ANSSI ou les CISRT pour la France) dans le mois suivant l’incident.
Les sanctions en cas de non-conformité
Tout comme, les obligations de signalement, les sanctions en cas de non-conformité avec la directive NIS-2 se renforcent.
En cas de non-respect des dispositions prévues par la loi, les entités concernées feront l’objet d’amendes administratives. Ces sanctions varient en fonction de la catégorisation de l’entité (essentielle ou importante). Elles pourront s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel pour les entités essentielles. Pour les entités importantes, l’amende maximale est fixée à 7 millions d’euros ou 1,4% du chiffre d’affaire annuel. Le montant le plus élevé sera retenu. En cas de manquements graves, des sanctions pénales pourront aussi être imposées.