La Directive NIS 2 (Network and Information Systems Directive) a été adoptée par le Parlement Européen le 10 novembre 2022. En cours de transposition par les États membres, cette nouvelle version interroge. Qui est concerné ? Comment appliquer cette directive au sein de son entreprise ? Quels sont les risques en cas de non-respect ? Explications.
1. Qu'est-ce que la directive NIS2 ?
La directive NIS 2 est le prolongement de la directive NIS adoptée en juillet 2016 puis transposée en France en 2018. Conçue comme un bouclier législatif au niveau Européen, cette directive dans sa première version a eu pour but de définir un niveau d’exigence commun et relatif à la « sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique » (Décret n° 2018-384 du 23 mai 2018) dont l’interruption pourrait impacter significativement le fonctionnement de l’économie ou de la société. C’est au travers de cette transposition nationale que le statut d’opérateur de services essentiels (OSE) vient compléter le statut d’opérateur d’importance vital (OIV) établi par la loi de programmation militaire de 2013. En Allemagne, un statut similaire intitulé KRITIS a été également créé.
Dans le but de renforcer cette première version et d’étendre le niveau d’exigence à de nouveaux acteurs, la directive NIS 2 a été adoptée le 10 novembre 2022 et est en cours de transposition dans les états. Comme le souligne Luc D’Urso, CEO d’Atempo « cette réglementation permet d’encadrer les entreprises et de les aider à se protéger contre les cybermenaces mais surtout d’assurer la résilience de leur système d’information et au-delà, de garantir leur mission de service public auprès des populations et entreprises ».
NIS 2 va plus loin en élargissant le nombre de secteurs concernés passant de 19 dans sa première version à aujourd’hui 35. Elle définit de manière plus précise l’obligation de notification aux autorités compétentes en cas d’incident de sécurité et supprime le statut d’OSE pour le remplacer par deux nouvelles typologies d’organisations : les entités essentielles (EE) et les entités importantes (EI). Dernière nouveauté et non des moindres, NIS 2 intègre les entreprises de sous-traitance et dans certains cas les collectivités territoriales à la liste des acteurs concernés.
2. À qui s'adresse cette directive ?
La directive NIS 2 s’adresse aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés. Ces entreprises peuvent être des PME, grandes entreprises ou dans certains cas des collectivités territoriales.
3. Quels sont les 35 secteurs concernés par cette directive ?
Initialement, la Directive NIS 1 encadrait 19 secteurs. Avec cette nouvelle version, ce sont 35 secteurs qui sont concernés.
Les 19 secteurs de NIS 1 sont : Les secteurs de la santé, de l’énergie, des transports, le secteur bancaire, les infrastructures des marchés financiers, le secteur de l’eau potable, des eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques, le secteur aérospatial.
À cela, NIS 2 complète par les secteurs suivants : Le secteur des services postaux et d’expédition, le secteur de la gestion des déchets, le secteur de la fabrication, de la production et distribution de produits chimiques, le secteur de l’industrie, le secteur agroalimentaire, les fournisseurs de services numériques. Comme le souligne Luc D’Urso, « L’élargissement des secteurs soumis à la réglementation NIS 2 vise à avoir une approche globale et souveraine dans la définition des services offerts aux populations. Elle vise à organiser la résilience dans les secteurs critiques dans le quotidien de tout européen. »
4. À quelle période cette directive sera-t-elle mise en application ?
Adoptée le 10 novembre 2022 par le Parlement Européen et publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022, les États membres disposent de 21 mois pour établir la transposition de la réglementation au sein de leur droit national avec une date butoir au 17 octobre 2024. Pour Luc D’Urso « si on peut se satisfaire de l’adoption de NIS 2 par le conseil européen, on ne peut que regretter une adoption lente de mesures qui sont dès aujourd’hui critiques. Atempo accompagne déjà de nombreux organismes dans la mise en place de politiques de protection des données contre des menaces qui n’attendent pas. »
5. Pourquoi cette directive est-elle stratégique pour Atempo ?
Cette directive renforce le caractère proactif que doivent prendre les entreprises en matière de cybersécurité. En donnant un cadre juridique à cette approche, NIS 2 permet de relever le niveau de sécurité et d’organiser la résilience des infrastructures critiques à l’échelle européenne. Dorénavant, un manque budgétaire, une infrastructure vieillissante ou un manque d’anticipation ne seront plus des excuses face aux pénalités que NIS 2 introduit. La réalité de la menace cyber aujourd’hui est qu’elle est une épée de Damoclès pour toutes entreprises et que seule la maitrise de la protection de ses données permet d’organiser la résilience et la bonne continuité d'activité critique. Les solutions souveraines d’Atempo de protection et de continuité d’activité conjuguées aux solutions proactives de cybersécurité sont la garantie stratégique de conformité face à NIS 2 et au-delà, des menaces cyber.
6. Quelle est la différence entre une entreprise dite entité essentielle et une entreprise dite entité importante ?
Les entreprises essentielles et importantes sont des entreprises faisant partie des 35 secteurs concernés qui ont en charge une infrastructure dont l’arrêt aurait un impact significatif pour l’économie et le fonctionnement du pays. Sauf cas particulier, les ETI et grandes entreprises faisant partie de la liste des opérateurs de services essentiels (OSE) seront catégorisées comme entités essentielles.
Les entreprises concernées seront définies dès la publication du décret transposant cette directive au niveau national, soit au plus tard le 17 octobre 2024. Les critères de sélection sont d’avoir au minimum 50 employés et un chiffre d’affaires supérieur à 10 millions d’euros.
7. Combien d'entreprises seraient concernées par NIS2 ?
Aucun chiffre officiel n’a été communiqué, cependant Guillaume Poupard, ancien Directeur Général de l’ANSSI déclarait en juin 2022 que le nombre d’acteurs concernés serait multiplié par 10. Une augmentation qui laisse présager un choc de conformité pour Luc D’Urso, « Il est certain que cette directive va complexifier la gestion des réseaux informatiques pour certains et plus spécifiquement ceux qui disposent d’un parc vieillissant. Atempo accompagne ces organisations en offrant des solutions souveraines de protection de données avec un large éventail de comptabilités permettant de réduire les difficultés de mise en conformité et de garantir la maitrise des politiques de sauvegarde »
De plus ces difficultés peuvent varier en fonction des ressources et des compétences en matière de cybersécurité dont bénéficie l’acteur concerné. Luc D’Urso analyse trois niveaux de difficulté dans l’implémentation des exigences réglementaires de cette directive en un « manque de ressources internes pour appliquer les mesures de sécurité et s’assurer de leur pleine conformité », « une difficulté de compréhension de la réglementation notamment du fait des délais imposés dans la déclaration des incidents de sécurité auprès des autorités compétentes » et pour finir « du coût élevé des investissements à mettre en œuvre dans des produits de cybersécurité pour se conformer ».
8. Existe-t-il des aides financières pour accompagner les entreprises dans l'achat et la mise en place de solutions de cybersécurité ?
Avec un contexte économique incertain accompagné d’un niveau de dette qui s’est accru pendant la pandémie de la covid-19, ce nouveau choc d’investissement ne pourra être absorbé par les entreprises. À ce jour, aucun mécanisme d’aides financières n’a été annoncé par les États, ce qui est normal puisqu’à l’heure de la rédaction de ces lignes, le texte est en cours de transposition nationale. En France, l’ANSSI dispose cependant depuis 2011 d’un budget d’investissement de 136 millions, volet cybersécurité du fond France Relance. À la fin 2021, 626 candidats avaient bénéficié d’un parcours de cybersécurité pour un total de 69 millions d’euros. Luc D’Urso précise en complément « De plus des acteurs militants souverains tels qu’Atempo, offrent des modèles tarifaires attractifs et disruptifs, de manière à accompagner efficacement le déploiement de solutions pérennes. Par ailleurs, un panel de solutions européennes existe, qui au-delà de simples considérations sécuritaires, contribue à renforcer un écosystème avec des emplois et de l’expertise locale participant à créer une boucle vertueuse. »
9. Pourquoi est-il important d'inclure les entreprises sous-traitantes ?
En réponse aux phénomènes de supply chain attack ou attaques ciblant la chaîne de sous-traitance, cette typologie d’acteurs est maintenant intégrée dans les secteurs concernés par NIS2. Pour Luc d’Urso « l'élargissement de la directive NIS 2 aux entreprises sous-traitantes est une étape importante pour renforcer la cybersécurité en Europe avec une approche globale de la chaine de valeur pour une plus grande résilience de l’ensemble ».
Les entreprises sous-traitantes peuvent avoir accès à des données sensibles ou à des systèmes critiques, et si elles ne sont pas suffisamment protégées contre les cybermenaces, elles peuvent devenir une cible pour les cybercriminels. En incluant les entreprises sous-traitantes dans les exigences de cybersécurité, les entreprises qui les emploient peuvent être sûres que leur sous-traitant a mis en place les mesures de sécurité appropriées pour protéger les données et les systèmes dont il a la responsabilité.
Cela permet d'éviter les risques de propagation de la vulnérabilité dans la chaîne de sous-traitance et de causer des dommages aux entreprises avec lesquelles il travaille. Comme le souligne Luc d’Urso « cela permet d'avoir une vision complète des risques et des vulnérabilités pour mieux les gérer. »
Pour rappel, les cyberattaques ayant frappé les entreprises Kaseya et Solarwinds ont causé par rebond des dizaines de milliers de victimes à travers le monde.
10. Que risque une entreprise qui ne se conforme pas à cette directive ?
Pour les entreprises non-coopérantes ou en faute, la Directive Européenne prévoit des sanctions. La Directive NIS 2 offre un droit d’injonction aux États membres rencontrant un cas d’incident de sécurité et un refus de collaboration avec les autorités. Ces sanctions peuvent prendre diverses formes, notamment des amendes administratives pouvant aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires de l'organisation (plus élevé retenu), ainsi que des sanctions pénales.
Sur ce point, Luc d’Urso analyse « Les sanctions prévues par la directive NIS 2 vont permettent de répartir la responsabilité entre les différents acteurs, qu’ils soient donneurs d’ordres ou entreprises sous-traitantes. C’est toute la chaîne de gestion des données qui va donc devoir se mettre à jour et renforcer ses niveaux de sécurité, afin de garantir la sécurité des données et la résilience des services rendus. Il est important de noter que la mise en conformité avec la directive NIS 2 est un processus continu et les entreprises doivent s'assurer qu'elles maintiennent une conformité en permanence pour éviter les sanctions et les risques potentiels pour leur activité. »
Vous souhaitez en savoir plus ?