Qu’est-ce que la directive NIS2 ?

La directive NIS2 (directive (UE) 2022/2555), publiée au Journal officiel de l’Union européenne, est un texte législatif historique qui établit le premier instrument de réglementation horizontale pour la cybersécurité dans l’UE. Un instrument horizontal est un instrument qui s’applique à tous les secteurs et à toutes les industries, sans exception.

Législation sur la cybersécurité dans l’UE

Avant NIS2, la directive NIS initiale a posé les bases de la coopération en matière de cybersécurité dans l’UE. Toutefois, la transformation numérique rapide et les vulnérabilités mises en évidence par la pandémie de COVID-19 ont exposé un certain nombre de limites de la directive initiale, notamment :

• Une cyberrésilience globale insuffisante : de nombreuses entreprises opérant au sein de l’UE restent vulnérables aux cybermenaces.
• Une résilience inégale entre les États membres et les secteurs : le niveau de préparation varie considérablement d’un État membre à l’autre et d’un secteur à l’autre.
• Une compréhension limitée des menaces : les États membres n’ont pas de vision commune de l’évolution du paysage des cybermenaces, notamment des menaces et des vulnérabilités les plus récentes.
• Une réponse fragmentée en cas de crise : l’absence d’approche coordonnée a entravé les efforts communs de réponse face aux cyberattaques.

Consciente de ces limites, la Commission européenne a compris qu’une solution pérenne était nécessaire et a établi dans cette optique la directive NIS2 qui vise à renforcer la politique de sécurité globale de l’Union européenne.

Voici une liste des principales obligations de la directive NIS2 :

• Gestion des risques : les entités doivent mettre en œuvre un programme complet de gestion des risques afin d’identifier, d’analyser et de hiérarchiser les menaces potentielles pesant sur leurs infrastructures critiques. Cela peut inclure une modélisation des menaces, des évaluations des vulnérabilités et des tests d’intrusion. Par exemple, un fournisseur d’énergie devrait évaluer les risques associés à une cyberattaque susceptible de perturber son réseau électrique.
• Mesures de sécurité : les entités doivent établir et maintenir un ensemble de mesures de sécurité techniques et essentielles dans des domaines tels que le contrôle d’accès, la réponse aux incidents, la continuité des activités et la sécurité de la chaîne logistique.
• Supervision de la direction : l’organe de direction d’une entité (par exemple, le conseil d’administration ou le directeur général) est chargé de superviser et d’approuver le programme de gestion des risques liés à la cybersécurité, les mesures de sécurité et les plans de réponse aux incidents. L’équipe dirigeante peut être tenue pour responsable en cas de manquement grave à ces obligations.
• Notification des incidents : les entités doivent signaler rapidement aux autorités compétentes tout incident de sécurité notable ayant une incidence sur leurs opérations ou leurs services. Un « rapport d’alerte précoce » doit être émis dans un délai de 24 heures en cas de suspicion d’incident. Puis, un rapport plus détaillé de « notification d’incident » doit être émis dans les 72 heures avec une description de la gravité, de l’impact et de tout indicateur de compromission identifié. Enfin, un « rapport final » complet doit être envoyé dans un délai d’un mois et inclure toutes les informations concernant l’incident, sa cause première et les mesures correctives prises.
• Partage d’informations : la directive NIS2 vise à améliorer le partage des informations entre les États membres afin de mieux coordonner les interventions en cas de cyberattaques de grande envergure. Cela inclut le partage des informations sur les cybermenaces, les vulnérabilités et les bonnes pratiques.

Les organismes de réglementation nationaux mettent en évidence dix mesures clés :

1. Analyse des risques et sécurité des systèmes d’information
2. Gestion des incidents
3. Mesures de continuité des activités (sauvegarde, reprise après sinistre, gestion de crise)
4. Sécurité de la chaîne logistique
5. Sécurité dans les mesures d’acquisition, de développement et de maintenance des systèmes, y compris le traitement et la divulgation des vulnérabilités
6. Politiques et procédures visant à évaluer l’efficacité des mesures de gestion des risques liés à la cybersécurité
7. Formation et intégrité des systèmes informatiques de base
8. Politiques relatives à l’utilisation appropriée de la cryptographie et du chiffrement
9. Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs
10. Utilisation de communications vocales/vidéo/écrites sécurisées à l’aide de l’authentification multifacteur et de communications d’urgence sécurisées

Selon les directives, toutes les mesures doivent être proportionnées au risque, à la taille, au coût ainsi qu’à l’impact et à la gravité des incidents. Elles doivent également prendre en compte les technologies les plus avancées et, le cas échéant, les normes européennes et internationales pertinentes.

NIS et NIS2

Voici un tableau comparant les principales caractéristiques de NIS et de NIS2 :

Pour assurer une conformité continue à la directive NIS2, les organismes nationaux de réglementation ont le pouvoir d’enquêter sur les violations potentielles de ladite directive. Au cours de ces enquêtes, ils peuvent recourir à l’une des mesures suivantes :

• Inspections sur place : les organismes de réglementation peuvent se rendre dans les locaux d’une entité pour évaluer directement son niveau de cybersécurité.
• Audits de sécurité : ils peuvent effectuer des audits de sécurité afin d’évaluer l’infrastructure de sécurité d’une entité et d’identifier les vulnérabilités potentielles.
• Demande d’informations : ils peuvent demander à une entité des informations détaillées, telles que ses plans de gestion des risques liés à la cybersécurité, son protocole de réponse aux incidents et les preuves de la mise en œuvre des mesures de sécurité.
• Analyses de sécurité : ils peuvent procéder à des analyses des réseaux ou des systèmes afin d’identifier d’éventuelles failles de sécurité exploitables ou mauvaises configurations.
• Accès à l’information : les organismes de réglementation peuvent demander des informations sur les mesures de cybersécurité d’une entreprise, y compris sur la manière dont elles sont mises en œuvre et toute documentation annexe.

Il est important de noter que pour les entités importantes, ces mesures d’investigation ne peuvent être prises qu’après la survenue d’un incident. Par contre, pour les entités essentielles, considérées comme des infrastructures plus critiques, les organismes de réglementation peuvent utiliser ces mesures dès que nécessaire afin de garantir une conformité permanente aux obligations de la directive NIS2, avant même qu’une violation ne se produise.

Les sanctions en cas de non-conformité sont décrites ci-après :

• Les entités essentielles devront payer au moins 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel mondial, selon le montant le plus élevé.
• Les entités importantes devront payer au moins 7 millions d’euros ou 1,4 % de leur chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Les mesures de sécurité de la directive NIS2 s’appliquent à toutes les entités désignées comme « essentielles » ou « importantes » dans le cadre de ladite directive. En d’autres termes, dès lors qu’une entité fournit des produits ou des services indispensables au quotidien des citoyens, elle doit respecter les mesures imposées par la directive NIS2.

Exemples d’entités essentielles : fournisseurs d’énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, déchets, eau et infrastructures numériques.

Exemples d’entités importantes : services postaux et de messagerie, industrie chimique, agroalimentaire, fabrication, gestion des déchets et recherche.

Outre les entités essentielles et importantes de l’UE, la directive NIS2 s’applique également à certaines entités non européennes qui proposent leurs services au sein de l’Union européenne. Sont inclus dans ces entités les fournisseurs de services DNS, les fournisseurs de services Cloud et de datacenter, les registres de noms de domaines de premier niveau (TLD), les fournisseurs de services managés (MSP), les fournisseurs de réseaux de diffusion de contenu (CDN) et les fournisseurs de plateformes de vente en ligne.

La directive NIS2 est une directive détaillée sur la cybersécurité qui vise à améliorer le niveau global de sécurité de l’Union européenne. Si vous relevez du champ d’application de la directive en qualité d’entité importante ou essentielle, nous vous conseillons de renforcer vos mesures de cybersécurité afin de protéger vos systèmes et services stratégiques. Cela vous permettra non seulement de mieux lutter contre les cyberattaques, mais aussi de contribuer au renforcement de la sécurité numérique à l’échelle européenne.

Les États membres de l’UE ont jusqu’au 17 octobre 2024 pour intégrer la directive NIS2 à leurs réglementations nationales, avec une prise d’effet des obligations y afférentes le lendemain, soit le 18 octobre 2024. Ces réglementations nationales devraient contenir plus de détails sur les aspects techniques de la directive et fournir des conseils supplémentaires sur la conformité.