La Directive NIS 2 de l'Union Européenne, qui est une évolution de la directive NIS (Network and Information Systems), est entrée en vigueur le 16 janvier 2023. Cette directive vise à améliorer le niveau de cybersécurité dans toute l'UE. Elle étend la portée de la directive précédente pour inclure un plus grand nombre d'entreprises et introduit des exigences de sécurité et de notification supplémentaires.
Quant à sa transposition en droit français, les États membres, y compris la France, ont jusqu'au 17 octobre 2024 pour adopter et publier les mesures nécessaires pour se conformer à la Directive NIS 2. Ces mesures devraient être appliquées à partir du 18 octobre 2024.
Ces dates sont importantes pour les entreprises opérant dans l'UE, car elles indiquent les délais pour se conformer aux nouvelles exigences de la directive. Les entreprises doivent être conscientes de ces échéances pour planifier adéquatement leur mise en conformité.
L'ambition de la Directive NIS 2 est de renforcer la sécurité des réseaux et des systèmes d'information au sein de l'Union Européenne. Elle vise à améliorer la résilience globale aux cyberattaques et autres incidents de sécurité en élargissant la portée de la réglementation, en établissant des exigences de sécurité plus strictes, en renforçant les obligations de rapport d'incident, et en promouvant une meilleure coopération entre les États membres. La directive cherche également à harmoniser les normes de cybersécurité à travers l'UE pour assurer un niveau élevé et cohérent de sécurité des infrastructures critiques et des services numériques.
A qui s’adresse t elle ?
La Directive NIS 2 s'applique à une large gamme d'organisations, classées en tant qu'entités "essentielles" ou "importantes". Cette directive élargit considérablement la portée des organisations concernées, modifie les exigences en matière de sécurité de l'information et augmente les sanctions potentielles pour non-conformité.
Secteurs Concernés :
Entités Essentielles : La notion d'entité essentielle est beaucoup plus large que celle des couverts par la NIS 1. Elle s'applique à 18 secteurs critiques, y compris les transports (air, rail, eau, route), la banque, les infrastructures de marché financier, la santé, l'eau potable, l'infrastructure numérique (y compris les services de cloud computing et les réseaux de communication électronique), l'administration publique, l'espace, les services postaux et de messagerie, la gestion des déchets, la production, le traitement et la distribution de produits chimiques, de nourriture, et d'autres.
Entités Importantes : Ces entités incluent les "fournisseurs de services numériques" ainsi que d'autres organisations. Elles sont soumises à des obligations plus strictes que les fournisseurs de services numériques sous NIS 1 et doivent respecter les mêmes exigences que les entités essentielles mais sont soumises à moins de surveillance.
Taille des Entreprises : La NIS 2 s'applique à toutes les entités de taille moyenne ou grande dans les secteurs énumérés. Cela signifie toute entité ayant plus de 50 employés et un chiffre d'affaires annuel et/ou un total de bilan annuel dépassant 10 millions d'euros. Elle s'applique également aux entités plus petites qui répondent à des critères spécifiques indiquant un rôle clé pour la société, l'économie ou pour des secteurs ou types de service particuliers.
Entités Hors UE : La directive s'applique également à certaines entités qui ne sont pas établies dans l'UE mais offrent des services au sein de l'UE. Ces entités sont tenues d'établir un représentant dans l'un des États membres où leurs services sont offerts.
Quelles sont les principales exigences ?
Il est un peu tôt pour mettre à disposition un document qui regroupe toutes les exigences réglementaires de NIS 2 : certaines exigences devraient s’appliquer à l’échelle nationale sans être modifiées comme la communication de certains contacts, tandis que d’autres doivent encore être déclinées au niveau national comme par exemple les mesures de cybersécurité. Ces mesures de sécurité seront accompagnées de guides et d’une assistance à la mise en œuvre qui dépendra du niveau des exigences de sécurité qui reste encore à définir. (source anssi)
Toutefois, voici un résumé des principales exigences qui seront demandées aux entreprises concernées :
Analyse des Risques et Sécurité des Systèmes d'Information : Les entités devront réaliser des analyses de risques régulières et assurer la sécurité de leurs systèmes d'information.
Gestion des Incidents : Les entités devront mettre en place des procédures pour détecter, signaler et gérer les incidents de cybersécurité.
Continuité des Activités : Les entités devront développer des stratégies de cyber résilience, y compris des plans de sauvegarde et de récupération après sinistre.
Sécurité de la Chaîne d'Approvisionnement : Les entités devront évaluer et gérer les risques liés à la chaîne d'approvisionnement .
Sécurité dans l'Acquisition, le Développement et la Maintenance : Les entités devront assurer la sécurité tout au long du cycle de vie des réseaux et des systèmes d'information.
Évaluation de l'Efficacité des Mesures de Gestion des Risques de Cybersécurité : Les entités devront mettre en place des politiques et des procédures pour évaluer l'efficacité de la gestion des risques de cybersécurité.
Pratiques de Cyber Hygiène et Formation en Cybersécurité : Les entités devront former le personnel aux meilleures pratiques de cybersécurité et mettre en œuvre des pratiques d’hygiène de cybersécurité de base.
Cette liste non exhaustive ne manquera pas de s’enrichir à mesure des travaux de transposition réalisés notamment par l’Anssi.
Comment se préparer ou anticiper ?
Dans le contexte de la conformité à la Directive NIS 2, les entreprises ont deux principales voies à considérer. La première consiste en une mise en œuvre mesure par mesure des différentes exigences de la directive. Cette méthode demande une analyse approfondie pour s'assurer que chaque aspect de la NIS 2 est correctement adressé.
L'adoption d'une certification en cybersécurité comme ISO 27001 pour répondre aux exigences de la Directive NIS 2 est une stratégie pertinente et holistique pour les entreprises. ISO 27001, une norme internationalement reconnue pour la gestion de la sécurité de l'information, propose un cadre qui couvre de nombreux domaines pertinents pour NIS 2, y compris la gestion des risques, la sécurité des systèmes d'information, et la gestion des incidents.
Cette approche intégrée offre une cohérence précieuse, assurant que les diverses exigences de NIS 2 sont traitées de manière complète. Par exemple, la gestion des risques sous ISO 27001 peut directement contribuer à répondre aux exigences d'analyse de risque de NIS 2. De même, les processus de gestion des incidents d'ISO 27001 peuvent s'aligner avec les obligations de rapport d'incident de NIS 2.
Opter pour ISO 27001 présente l'avantage d'une reconnaissance internationale, consolidant ainsi la réputation de l'entreprise en matière de cybersécurité. Cette certification n'est pas seulement un gage de conformité, mais aussi un indicateur de la maturité de la gouvernance de la sécurité de l'information de l'entreprise.
En outre, cette approche peut s'avérer plus efficace en termes de ressources par rapport à la mise en place de mesures individuelles pour chaque exigence de NIS 2. ISO 27001 offre un système déjà établi qui peut être adapté aux spécificités de NIS 2, évitant ainsi le besoin de développer de nouvelles procédures à partir de zéro.
L'amélioration continue est un autre atout majeur de l'adoption d'ISO 27001. Conformément à cette norme, les entreprises sont encouragées à évaluer et à améliorer continuellement leurs pratiques de sécurité de l'information. Cela garantit non seulement la conformité actuelle avec NIS 2, mais prépare également l'entreprise à répondre efficacement aux évolutions futures des menaces de cybersécurité et des réglementations.
Suis-je concerné?
Vous souhaitez savoir si votre organisation est concernée par cette nouvelle directive? Voici un petit formulaire qui devrait vous aider à répondre à cette question : www.akant.fr/nis2evaluation