Adoptée en janvier 2023, la directive NIS 2 (pour « Network and Information Security ») abroge sa version précédente, la directive NIS 1, qui concernait quelques centaines d’opérateurs en France depuis 2018.
En France, c’est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui a été désignée, dès NIS 1, pour piloter la mise en œuvre de cette directive pour les entités concernées et agir en tant que régulateur et autorité nationale compétente.
Évolution par rapport à NIS 1
Cette directive avait posé les premières pierres d’une prise en compte commune et harmonisée, au niveau Européen, des enjeux de cybersécurité. Elle imposait des critères communs de sécurité informatique à respecter pour les entreprises européennes, mais ne s’appliquait qu’à un petit nombre d’entités, les OSE (Opérateurs de Service Essentiels).
La directive NIS 2 élargit le champ d’action, pour passer d’environ 300 entités françaises à plus de 10 000, réparties désormais en deux catégories : les Entités Essentielles (EE) et les Entités Importantes (EI). A l’échelle européenne, c’est un passage de l’ordre de 15 000 opérateurs sous NIS 1, à plus de 100 000 pour NIS 2. La division en deux catégories permet d’introduire une proportionnalité afin que tous les acteurs ne soient pas soumis aux mêmes règles et aux mêmes sanctions, en fonction de leur criticité et de leur moyen.
Adoptée fin 2022, cette directive sera transposée dans le droit français au plus tard le 17 octobre 2024. Des consultations sont actuellement en cours avec les principaux acteurs et fédérations des différents secteurs concernés pour préciser les contours des éléments non clairement spécifiés dans la directive.
Qui est concerné ?
La directive concerne désormais 18 secteurs principaux, et de nombreux sous-secteurs. Ces derniers sont répartis dans deux annexes qui permettent la classification en Entités Essentielles (EE) ou Importantes (EI).
L’annexe 1 contient les 11 secteurs considérés les plus critiques au regard de la sécurité nationale :
L’annexe 2 contient 7 secteurs supplémentaires, allant des services postaux à l’ensemble des acteurs travaillant autour des denrées alimentaires :
Enfin, le tableau suivant permet de définir si une entreprise sera concernée par NIS 2, et à quel type d’entité elle correspondra :
Pour simplifier :
- Toutes les entreprises de l’annexe 1 dont la taille est supérieure à « moyenne », c’est-à-dire ayant plus de 250 collaborateurs ou réalisant un CA (Chiffre d’Affaires) de plus de 50 millions d’euros, seront des Entités Essentielles.
- Toutes les entreprises dont la taille est a minima moyenne et listées dans l’une des deux annexes, qui ne sont pas des EE, seront des Entités Importantes.
Notons que pour chaque règle évoquée ci-dessus, des exceptions existent, et que l’ANSSI peut à discrétion ajouter des entités dans chacune de ces listes si elle l’estime nécessaire.
Les obligations des entités concernées
Bien que la directive prévoie des sanctions qui sont comparables à celles du RGPD (jusqu’à 2% du chiffre d’affaires mondiale pour les EE, 1,4% pour les EI), l’ANSSI insiste sur son rôle d’accompagnateur et sur les opportunités pour toutes les entreprises concernées d’élever leur niveau de sécurité.
Celles visées par ces consignes seront tenues de se notifier à l’ANSSI sous un délai non encore connu, de fournir et de tenir à jour des informations de contact, et de déclarer tout incident majeur relatif à la sécurité du système d’information dans un délai de 24h. Cette notification initiale devra être suivie de deux rapports.
De plus, des mesures techniques, opérationnelles et organisationnelles devront être mises en œuvre sur un ensemble de sujets :
- Politiques relatives à l’analyse des risques et à la SSI
- Gestion des incidents
- Continuité des activités (sauvegarde, PRA…)
- Sécurité de la chaîne d’approvisionnement (fournisseurs/prestataires)
- Sécurité de l’acquisition, du développement et de la maintenance des SI
- Politiques et procédures pour évaluer l’efficacité des mesures de gestion des crises
- Pratiques de base (cyberhygiène, formation)
- Politiques et procédures relatives à l’utilisation de la cryptographie
- Sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
- Utilisation de MFA ou authentification continue, de communications sécurisées et de système de communication d’urgence si besoin
Cet ensemble de mesures permet de couvrir de nombreux pans d’une démarche d’amélioration de la cybersécurité, et va pousser les entreprises et collectivités qui ne sont pas encore impliquées dans une telle démarche, à les considérer.
Le volet sur la chaîne d’approvisionnement vise particulièrement à éviter des attaques telles que celle très médiatisée subie par SolarWinds en 2020 et qui ciblait de nombreuses entreprises et institutions aux Etats-Unis.
En résumé
De très nombreuses entreprises qui n’étaient jusqu’alors pas concernées par NIS1 vont devoir prendre connaissances de la transposition de la directive NIS2 dans le droit français qui arrivera avant fin 2024.
Il s’agit d’une formidable opportunité d’harmoniser les pratiques et d’élever le niveau de sécurité de très nombreux acteurs économiques des paysages français et européens. Le rôle de l’ANSSI et ses missions vont également être décuplés, et elle devra s’appuyer sur des acteurs de confiance pour pouvoir accompagner toutes les entités concernées.
Article rédigé par : Florence H. , consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Certifications et Réglementations