NIS 2, quels impacts sur les entreprises et les administrations ?

Depuis l’accélération de la transformation numérique dans le monde, les cyberattaques ne cessent de se multiplier. Certains sont plus exposés que d’autres, c’est le cas de l’Europe. À cause de l’interconnexion entre ses pays, une cyberattaque en Europe a souvent un effet boule de neige qui peut impacter gravement plusieurs pays. Pour faire face à ces différentes menaces, le Conseil Européen et le Parlement Européen ont adopté différents leviers comme la directive NIS (Network and Information Security) en 2016.

De NIS 1 à NIS 2

Les objectifs principaux de NIS 1 étaient de mettre en place une politique de cybersécurité à l’échelle européenne et renforcer la sécurité informatique des opérateurs de services essentiels (OSE) des États membres. Chaque État membre de l’Union Européenne devait faire l’inventaire de ses OSE et leur établir des obligations strictes à respecter sous peine de sanctions. La France avait répertorié 10 OSE et leur a imposé les obligations suivantes :

  • « Identifier un représentant auprès de l’ANSSI
  • Identifier son ou ses système(s) d’information essentiel (SIE)
    Appliquer dans des délais impartis des règles de sécurité (art. 6 )
  • Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés
  • Être soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés. » (Texte de l’ANSSI)

Selon Check Point Research, la moyenne de cyberattaques hebdomadaire en Europe a augmenté de + 26 % en 2022 comparé en 2021. Ce qui pousse l’Union Européenne à renforcer sa stratégie cybersécurité, ce qui va enclencher la mise à jour de NIS1 qui devient NIS 2.

Qui est concerné ?

Dans NIS 2, le nombre d’organismes assujettis aux obligations a augmenté. En effet, NIS 1 s’adressait strictement aux OSE ayant le statut légal d’OIV (opérateurs d’importance vitale). NIS 2 englobe non seulement ces OSE mais aussi les acteurs de la chaine d’approvisionnement, les sous-traitants et prestataires de services ayant en charge une infrastructure critique.

On retrouve maintenant dans les concernés, les acteurs des secteurs de : l’agroalimentaire, la production, les services postaux et de messageries, la gestion des déchets, la distribution des produits chimiques, les collectivités territoriales, l’espace, les administrations publiques (à l’exception de la défense, la sécurité nationale et publique, le maintien de l’ordre), les fabricants de produits critiques, etc

Dans ces secteurs, on retrouve à la fois les administrations et les entreprises (grande entreprise et PME, privée et publique). En France, nous n’avons pas encore le chiffre exact des structures qui seront concernées, mais le directeur de l’ANSSI prévoit des milliers structures appartenant à 18 secteurs d’activités.

Les modifications majeures de NIS 2

1- Extension de la directive à d’autres acteurs

À l’échelle européenne, les secteurs concernés passent de 19 à 35.

2- Les acteurs concernés sont répartis entre les entités essentielles et les entités importantes 

Les entités essentielles représentent les structures dont la coupure de service est catastrophique pour un pays. Quant aux entités importantes, elles représentent les structures qui gravitent autour des entités essentielles et qui ont un impact sur le bon fonctionnement d’un service critique.  Les structures sont catégorisées dans l’une ou l’autre entité en fonction de leur taille et de leur niveau de criticité.

3- Les entités essentielles et les entités importantes doivent mettre en place une politique de cyberhygiène 

Selon les textes de la directive NIS 2, cette politique doit comprendre :

  • « les principes «confiance zéro»
  • les mises à jour de logiciels
  • la configuration des dispositifs
  • la segmentation des réseaux
  • la gestion des identités et des accès ou la sensibilisation des utilisateurs
  • organiser une formation pour leur personnel et sensibiliser aux cybermenaces, au hameçonnage ou aux techniques d’ingénierie sociale. » (Statut 89 directive NIS 2)

4- Lors d’une cyberattaque, des délais stricts de communication sont imposés

Les entités essentielles et importantes doivent informer leur CSIRT (un centre d’alerte et de réaction aux attaques informatiques pour les entreprises ou les administrations) ou l’autorité compétente. Cela passe par faire une alerte précoce dans un délai de 24 heures, suivi d’une notification d’incident dans un délai de 72 heures et un rapport final de l’incident au plus tard 1 mois après la notification d’incident.

5- Des amendes prévues en cas de non-respect des obligations


L’autorité compétente pourra contrôler à tout moment que les obligations de la directive sont respectées. Si ce n’est pas le cas, les structures concernées en cours jusqu’à 10 millions d’euros d’amendes ou jusqu’à 2 % du CA. La responsabilité de personnes physiques des structures concernées pourrait être engagée.

6- EU-CyCLONe aura une place beaucoup plus importante dans la politique européenne de cybersécurité

Avec NIS 2, EU-CyCLONe est instauré officiellement comme : « intermédiaire entre les niveaux technique et politique lors d’incidents de cybersécurité majeurs et de crises et devrait renforcer la coopération au niveau opérationnel et soutenir la prise de décision au niveau politique. » (Statut 71 Directive NIS 2). Il s’agit du réseau européen d’organisations de liaison en cas de crises de cybersécurité qui permettra de renforcer la coopération des États membres. Il est composé de l’ANSSI et d’autres structures équivalentes européennes.

7- Les entités essentielles et les entités importantes ont des mesures minimum à mettre en place

Les États membres s’assurent que les entités essentielles et les entités importantes respectent a minima les mesures suivantes :

  • « les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;
  • la gestion des incidents;
  • la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
  • la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;
  • la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
  • des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
  • les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
  • des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
  • la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;
  • l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.” (Article 21 paragraphe 2 Directive NIS 2)

8- Les entités essentielles et les entités importantes seront soumises à différents contrôles

Les autorités compétentes auront le droit de faire : des inspections sur place et des contrôles à distance, des audits de sécurité, des scans de sécurité, des demandes d’informations, des demandes d’accès à des données, des demandes de preuves de la mise en œuvre de politique de cybersécurité, etc.

9- Les autorités compétentes pourront donner diverses sanctions aux entités essentielles et aux entités importantes

Elles auront les pouvoirs : d’émettre des avertissements, d’imposer ou de demander aux organes compétents d’imposer des mesures, d’ordonner des actions aux entités essentielles et aux entités importantes, etc.

Conclusion

La directive NIS 2 a été publiée le 27 décembre 2022, les États membres ont 21 mois pour transposer dans leur droit national, les réglementations de cette dernière. Selon le directeur de l’ANSSI, c’est au deuxième semestre de 2024 au plus tard que NIS 2 entrera en vigueur en France, avec des exigences en application directe et d’autres soumises à un délai de mise en conformité.

Les structures susceptibles d’être concernées par cette directive doivent s’y préparer sans tarder. Pour ce faire, elles doivent s’entourer d’experts qui peuvent les accompagner efficacement comme YPSI SAS, ExpertCyber labellisé par l’AFNOR pour la plateforme gouvernementale Cybermalveillance.gouv.fr. Nous sommes à votre entière disposition pour répondre à vos questions et vous accompagner, n’hésitez pas à nous contacter.

Partagez cet article :

Laisser un commentaire