NIS2 : quels changements pour les entreprises ?
Par Nicolas COCILOVO, Responsable pôle Gouvernance, risque et conformité chez C2S
NIS2 est une directive qui vise à unifier les pratiques en matière de cybersécurité et protéger les activités critiques des entreprises. En décembre 2022, les États membres de l’Union européenne (UE) ont officiellement promulgué la directive NIS2, une révision de la directive NIS de 2016. Cette directive NIS2 doit être transposée dans les lois nationales des États membres de l’UE d’ici octobre 2024.
Qu’est-ce que la directive NIS2 ?
La directive NIS2 est une version renforcée de la directive NIS1, une première version qui avait été conçue pour contrôler la protection des données des entreprises opérant dans des secteurs dits « essentiels » (énergie, eau, santé, transports par exemple) face à la cyber menace.
Définition de NIS
Cette directive NIS (Network and Information System Security, sécurité des réseaux et de l’information) et sa version enrichie NIS2 poursuivent un objectif principal :
Assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne (UE) et la protection des données critiques.
Le champ d’application de la directive NIS 1 concernait à l’époque les opérateurs de services essentiels (OSE) : des entités qui assurent un rôle crucial dans le fonctionnement de la société, comme les entreprises des secteurs de l’énergie, des transports, de la santé, de l’eau et des services financiers. NIS2 a l’ambition d’aller plus loin. On vous explique…
Pourquoi l’adoption de NIS2 a-t-elle été votée en Europe ?
La directive NIS2 a pour vocation d’élargir le nombre d’entreprises concernées par cet encadrement réglementaire. La dénomination des services essentiels est complétée par une liste de services « importants » comme par exemple, la gestion des déchets, le numérique, les services postaux ou encore certaines industries à l’activité sensible pour les États ou le fonctionnement des services publics.
Elle ajoute également une notion inédite de sanctions en cas de non-respect de la réglementation. Lorsque NIS1 ne visait qu’à établir un cadre et un protocole de protection contre les menaces cyber, NIS2 prévoit un contrôle qui sera réalisé par l’ANSSI en France et des sanctions pouvant aller de la suspension des cadres dirigeants à des amendes pouvant atteindre plusieurs millions d’euros.
Quelles sanctions et qui est concerné par NIS2 ?
La directive NIS2 impose aux différents acteurs des secteurs essentiels et importants des états membres de procéder à la mise en place d’une politique de gestions des incidents et d’une analyse des risques méthodiques.
En cas de contrôle, l’entreprise devra documenter et prouver la mise en conformité de son organisation en matière de protection. C’est pourquoi il est important que tous les organes de direction soient sensibilisés.
Si les entreprises n’ont pas opéré leur mise en conformité et si les mesures de sécurités n’ont pas été correctement adoptées, les sanctions peuvent être très importantes. Financièrement, une entreprise peut risquer :
- 10 millions d’euros ou 2% du chiffre d’affaires annuel total pour une activité essentielle
- 7 millions d’euros ou 1.4% du chiffre d’affaires pour les activités importantes.
Qui est impacté par NIS2 ?
On estime à plus de 20 000 le nombre d’entreprises concernées par la directive NIS2 en France.
En effet, toutes les entreprises de plus de 50 salariés qui réalisent un chiffre d’affaires de plus de 10 millions d’euros par an et qui entrent dans le cadre des activités essentielles ou importantes vont devoir se conformer aux exigences de la directive en matière de protection des données et des systèmes d’informations.
Les secteurs concernés par NIS2
On distingue les activités « hautement critiques » :
- L’énergie
- Les transports
- La santé
- La recherche spatiale
- La gestion de l’eau
- L’administration publique
- Les infrastructures numériques (cloud, opérateur, etc.)
- La finance
Et les activités « critiques » :
- Les services postaux
- La gestion des déchets
- Les fournisseurs numériques
- L’industrie chimique
- L’agroalimentaire
- Certaines industries de la fabrication
- Les réseaux de services publics
Ces deux types d’activités seront désormais encadrés par la directive NIS2. Le contrôle des mesures de sécurité à mettre en place sera effectué par l’ANSSI à partir de son adoption en France en 2024.
Comment préparer l’entrée en vigueur de NIS2 ?
La première des actions à mener est de vérifier que votre entreprise est concernée. Vous pouvez le faire très simplement en répondant au test proposé par l’ANSSi sur le site suivant : https://monespacenis2.cyber.gouv.fr/
Si vous faites partie des entreprises visées par la directive NIS2 et que vous devez organiser votre mise en conformité, il vous est fortement recommandé de vous faire accompagner par une société de conseil en cybersécurité ou tout simplement par votre opérateur. Celui-ci saura vous guider pour mettre en place les premiers protocoles.
Vous pourrez lui demander de réaliser un audit de maturité face à ces incidents. Il vous en coûtera autour de 4000 euros.
Chez C2S, nous disposons de toute l’expérience nécessaire pour évaluer la maturité de votre organisation en termes de cybersécurité et vis-à-vis de la directive NIS 2. Nos experts peuvent intervenir tant sur des thématiques techniques de renforcement de vos dispositifs de sécurité et infrastructures que sur des aspects organisationnels et de gouvernance de la sécurité nous explique Nicolas Cocilovo
NIS2 et la norme ISO 27001 : une approche et une méthodologie similaire
Il faut comprendre que la directive NIS2 est fortement inspirée de la Norme ISO 27001 qui certifie les protocoles de gestion des risques. C’est pourquoi il est important de la consulter avant de mettre en place votre propre process. Vous pouvez également consulter le guide d’hygiène de l’ANSSI qui vous renseignera sur les principes fondamentaux de la réglementation.
L’approche par les risques sera certainement la meilleure façon de procéder face aux acteurs de la cybermenace. Quels sont les principaux risques qu’encourt votre organisation (vols de données, compromission d’information, attaque par déni de service, etc.) ? Il s’agira ensuite de construire une réponse adaptée à votre problématique personnelle.
NIS2 : comment réagir en cas d’incident ?
La directive NIS2 impose un certain nombre de mesures de sécurité pour protéger ses systèmes d’information mais elle impose également un protocole de déclaration des incidents et des attaques. En effet une entreprise ciblée devra déclarer son incident à son CSIRT.
Les CSIRT régionaux (Computer Security Incident Response Team) sont des centres de réponse aux incidents cybers dédiés aux entités implantées sur leur territoire régional.
Quels sont les différents critères à étudier dans la directive ?
Quelle que soit votre activité dans les secteurs concernés, que vous soyez un sous-traitant ou non, voici les différents items que vous devrez traiter :
- Analyse des risques
- Politique de sécurité
- Gestion des incidents
- Gestion de crise
- Protocole de sauvegarde et de restauration des données
- Plan de continuité / reprise d’activité
- Sécurité de la supply chain
- Chiffrement des données
- Protocole d’authentification
- Contrôle des droits et des accès
- Gestion des actifs
- Sécurité des communications
- Gestion des RH
- Formation des personnels
Ce qu’il faut retenir pour se préparer à la réglementation NIS2 en 2024
- La directive NIS2 vise à renforcer la version initiale de NIS promulguée en 2016. Cette directive est européenne et entrera en vigueur en octobre 2024 en France.
- Elle concerne la cybersécurité et la protection des données et des systèmes de l’information de plusieurs secteurs dits essentiels ou importants.
- A l’inverse de NIS1, NIS2 prévoit un volet de sanctions en cas de non-conformité des entreprises. Ces sanctions seront appliquées en France par l’ANSSI.
- Pour se préparer, il est recommandé de faire appel à son opérateur ou à une société de conseil en sécurité.
Ces contenus pourraient vous intéresser