La directive NIS2

contexte et origine

secteurs et entreprises concernées

exigences de conformité

contrôles et sanctions

Anticiper

Contexte et Origine

Historique : évolution de la réglementation européenne en cybersécurité (de NIS1 à NIS2).

Adoptée le 6 juillet 2016 et transposée en France le 26 février 2018, la directive NIS (Network and Information System Security) est une avancée majeure pour la cybersécurité en Europe. Elle vise à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne (UE).

Cette réglementation s’adresse aux OSE (Opérateur de service essentiel, désigné par arrêté du Premier Ministre) ainsi qu’aux FSN (Fournisseur de Service Numérique).
Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Par exemple : les acteurs de la santé, des transports, des infrastructures énergétiques…

Est considéré comme FSN, tout opérateur fournissant, à l’intérieur de l’UE, des services de type places de marché en ligne (Amazon, ebay…), moteurs de recherche en ligne (Google, Bing…), services informatiques Cloud (Dropbox, Google…). Les FSN doivent appliquer la directive NIS sous réserve de conditions : leur nombre d’employés est supérieur ou égal à 50 et/ou leur chiffre d’affaires annuel est supérieur à 10 millions d’euros.
NIS1 instaure des mesures de gouvernance, de coopération, de règles de cybersécurité pour les OSE et les FSN.

secteurs critiques nis2

Les limites de la directive NIS1 et les raisons de la mise à jour.

La directive NIS1 trouve rapidement ses limites :

  • Un champ d’application restreint (OSE, FSN)
  • Des divergences, d’un Etat à l’autre, notamment sur la définition d’un OSE
  • Un manque de précisions dans les mesures techniques et organisationnelles
  • Une exigence faible et inégale du niveau de résilience selon les secteurs
  • Un pouvoir de sanction limité
  • Des cyberattaques toujours plus fréquentes et élaborées, qui rendent obsolètes les préconisations de la directive.

En décembre 2022, l’Union Européenne adopte la Directive NIS 2 qui élargit le champ des entités et secteurs concernés et introduit des exigences plus adaptées, notamment au regard du renforcement de la menace cyber.

Elle prévoit un socle de mesures juridiques, techniques et organisationnelles que les entités concernées devront mettre en œuvre, en fonction du risque existant, afin d’élever leur niveau général de cybersécurité et d’accroître leur résilience opérationnelle.

Changements NIS1 / NIS2

schéma de comparaison nis2 vs Nis1

Secteurs et entreprises concernées

Liste des secteurs essentiels (énergie, santé, finance, transport, etc.) et des services numériques concernés.

NIS2 élargit le champ des entités concernées par la règlementation en matière de cybersécurité en incluant plusieurs milliers d’entités (collectivités territoriales, administrations publiques, moyennes et grandes entreprises) sur 18 secteurs d’activité :

schéma secteurs critiques pour NIS2
schéma secteurs critiques 2 pour NIS2

Entité essentielle vs Entité importante

Pour garantir une proportionnalité de traitement, la directive NIS2 distingue deux catégories d’entités régulées :

  • EE : Entités essentielles
  • EI : Entités importantes

Pour les entreprises, cette catégorisation s’établit selon leur taille, leur chiffre d’affaires, leur bilan comptable et leur secteur d’activité (hautement critique ou critique). Les micro et petites entreprises ne sont pas intégrées dans le périmètre NIS2.

Les entités essentielles, jugées vitales pour le maintien des fonctions sociétales ou économiques critiques, doivent respecter des normes de sécurité plus élevées. Les entités importantes, bien que moins critiques, sont également tenues de suivre des protocoles de sécurité améliorés.

Tableau des critères d’entité et de classification :
Taille de l’entitéNombre d’employésChiffre d’affaires (millions €)Bilan annuel (millions €)Secteurs hautement critiquesAutres secteurs critiques
Intermédiaire et grandeX ≥ 250Y ≥ 50Z ≥ 43Entités essentiellesEntités importantes
Moyenne50 ≤ X < 25010 ≤ Y < 5010 ≤ Z < 43Entités importantesEntités importantes
Micro et petiteX < 50Y < 10Z < 10Non concernéesNon concernées

Exigences de Conformité

Obligations de cybersécurité

La directive NIS 2 définit, dans ses articles 20 et 21, les obligations de cybersécurité à mettre en œuvre par les entités essentielles et importantes.

Article 20 : Gouvernance

Les organes de direction des EE et EI approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités. Ils sont tenus de suivre une formation et, idéalement, d’en faire bénéficier les membres de leur personnel

Article 21 : Mesures de gestion des risques

Il prévoit 10 mesures minimum de sécurité obligatoires :

a-        Politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information

b-        Gestion des incidents. Elle regroupe toutes les solutions de détection et de réponse aux incidents de sécurité, les systèmes automatisant le traitement des données de sécurité et les mesures de remédiation, mais aussi les sujets de préparation, de simulation et de gestion de crise ainsi que le forensic.

c-        Continuité des activités : solutions de sauvegarde et de récupération, de stockage sécurisé, conseils en PRA/PCA (plan de reprise/continuité d’activités).

d-        Sécurité de la chaîne d’approvisionnement. Elle comprend aussi bien des mesures techniques, telles que la cartographie des interconnexions du système d’information à des services et applications tierces ou encore la sécurité de la chaîne logicielle, qu’un aspect juridique relatif aux relations contractuelles entre l’entité et ses partenaires

e-        Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités. Elle regroupe toutes les mesures techniques nécessaires à garantir la sécurité du SI. Le périmètre est donc extrêmement large : des solutions de détection et de réponse sur les endpoints (EDR) à la gestion des vulnérabilités, en passant par les tests de configuration, la sécurisation des accès distants, la mise en place d’une architecture Zero Trust, les SIEM, et SOAR, pare-feu et gateway, le filtrage IP, la sécurité de l’Active Directory, la gestion des identités et des accès, le durcissement des postes de travail, les WAF et WAAP ou encore les analyses de surface d’exposition. La liste est loin d’être exhaustive.

f-        Politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité

g-        Pratiques de base en matière de cyberhygiène et la formation à la cybersécurité

h-        Politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement

i-        Sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs

j-        Utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Zoom sur le signalement des incidents

Les entités concernées par NIS2 sont tenues de signaler à l’autorité nationale compétente (l’ANSSI en France), sans délai injustifié, tout incident ayant un « impact important » sur la fourniture de leurs services et activités.
Afin de respecter ces obligations de signalement, les organisations doivent fournir les types de rapports suivants :

  • Alerte précoce : émise au plus tard dans les 24 heures suivant la prise de conscience de l'incident
  • Notification de l'incident : émise au plus tard dans les 72 heures suivant la prise de conscience de l'incident
  • Rapport intermédiaire : émis sur demande de l’ANSSI, mettant en évidence les mises à jour pertinentes de la gestion des incidents et des crises
  • Rapport final : soumis au plus tard un mois après la notification de l'incident.


En complément de la notification à l’ANSSI, les entreprises doivent informer les utilisateurs des incidents pouvant perturber les services proposés.

Contrôles et sanctions

Contrôles par l’ANSSI

L’autorité nationale compétente au titre de la directive NIS 2 (l’ANSSI en France) aura la capacité de réaliser des contrôles pouvant amener à des injonctions en cas de non-conformité identifiée. Ceux-ci différencient les entités essentielles des entités importantes :

  • Entités essentielles : soumises à un régime de surveillance complet ex ante et ex post, dans lequel l’ANSSI a la possibilité de mener des perquisitions aléatoires, de réaliser des audits de sécurité (ad-hoc) et de demander certaines informations et preuves de conformité.
  • Entités importantes : soumises à un régime de surveillance plus léger ex post, applicable en cas de preuve, indication ou information considérée par l’ANSSI comme suggérant des infractions potentielles à la directive.


En complément de la notification à l’ANSSI, les entreprises doivent informer les utilisateurs des incidents pouvant perturber les services proposés.

Sanctions

En cas de manquement, une entité essentielle s’expose à une amende administrative d’un montant maximal s’élevant à au moins 10 000 000 euros ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.

Une entité importante s’expose à une amende administrative d’un montant maximal s’élevant à au moins 7 000 000 euros ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu.

Un maitre mot : anticiper

Calendrier de transposition en France

date transposition nis2

La France, comme les autres pays de l’UE, devait avoir transposé la directive NIS 2 pour le 17 octobre 2024, mais suite aux récents événements politiques du pays, le calendrier de transposition de la directive NIS 2 a été ajusté. La transposition est désormais reportée au 17 janvier 2025, date limite pour informer la Commission européenne des mesures adoptées. La France a ensuite jusqu’au 17 avril 2025 pour soumettre la liste des entreprises assujetties à cette nouvelle réglementation.

C’est ensuite à compter de la publication des décrets d’application ou des arrêtés que les mesures techniques de NIS 2 deviendront obligatoires entre entités régulées et prestataires sous-traitants. 

Vincent Strubel, Directeur Général de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) a également indiqué que la conformité totale à NIS2 devra se faire dans une période de trois ans. Attention, cela ne signifie pas que la mise en conformité peut attendre. En effet, il a également fixé un minimum requis de mesures à mettre en œuvre dès à présent, à savoir :

« l’enregistrement auprès de l’ANSSI de l’entité régulée sur le portail monespaceNIS2, les notifications des incidents et de montrer les investissements dans les solutions de sécurité ».

Je ne sais pas si je suis concerné

Vous n’êtes pas sûrs d’être concerné ou vous avez des doutes ? Faites le test !

Tester si je suis concerné
Retour en haut
Toutsurnis2
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.