Directive NIS 2 : cadre européen pour la sécurité des infrastructures

Les cyberattaques menacent quotidiennement les collectivités, hôpitaux et entreprises, révélant une maturité cyber encore insuffisante face à des menaces toujours plus complexes. En 2023, 49 % des entreprises ont subi une cyberattaque réussie (source : Baromètre CESIN 2024).

Comment harmoniser les règles de cybersécurité en Europe et protéger les infrastructures critiques ? C’est tout l’enjeu de la directive NIS 2, qui renforce les obligations en matière de gestion des risques cyber à l’échelle européenne. Qui est concerné par NIS 2 ? Quel est le contenu de la nouvelle version de la directive ? Comment les solutions Oodrive répondent-elles à un certain nombre d’obligations formulées par la directive NIS 2 ?

Directive NIS 2 : Définition

La directive européenne 2022/2555 NIS 2* est un texte législatif élaboré à l’échelle de l’UE portant sur la cybersécurité. NIS 2 est une révision de la première version de la directive, votée en 2016 et transposée dans le droit français en 2018. L’intensification des cybermenaces et des tensions géopolitiques rendent nécessaire une actualisation de la directive NIS.

La nouvelle version de la directive doit rehausser et harmoniser le niveau global de cybersécurité dans les 27 États de l’UE afin de renforcer la résilience des infrastructures critiques européennes.

La directive NIS 2 élargit le champ d’application du texte initial, intègre de nouveaux secteurs et s’applique à davantage d’entités. Le texte met également l’accent sur la sécurisation de la chaîne d’approvisionnement et la réduction des risques de cybersécurité liés aux tiers et aux sous-traitants.

Délais de transposition de la Directive NIS 2 dans le droit national

Publiée en décembre 2022, la directive NIS 2 doit être transposée dans le droit national de chaque État membre de l’UE d’ici le 17 octobre 2024. Les États membres doivent également établir la liste des entités concernées, au plus tard le 17 avril 2025.

En France, la transposition de la Directive NIS 2 s’inscrit dans un projet de loi plus global intitulé Loi relative à la résilience des activités d’importance vitale. Le projet de loi vise à renforcer la résilience des activités essentielles, la protection des infrastructures critiques, ainsi que la cybersécurité et la solidité opérationnelle du secteur financier. Le texte a été présenté au Sénat pour une première lecture le 15 octobre 2024.

*Network and Information Security

Directive NIS 2 : tout ce qu’il faut retenir

Découvrez notre infographie synthétique des informations clés à retenir.

En savoir plus

Secteurs et entités concernés par la Directive NIS 2

Contrairement au règlement DORA, spécifiquement conçu pour renforcer la résilience numérique du secteur financier, la directive NIS 2 élargit son champ d’application par rapport à sa version précédente, couvrant de nouvelles entités et secteurs critiques dans divers domaines d’activité.

Si les OIV (Opérateurs d’importance vitale) sont toujours concernés par NIS 2, deux nouvelles catégories d’entités font leur apparition :

• Les Entités Essentielles ou « EE » (représentant les secteurs hautement critiques)
• Les Entités Importantes ou « EI » (représentant les autres secteurs critiques)

Les entités sont qualifiées EE ou EI en fonction de leur taille (nombre de salariés, chiffre d’affaires) et de la criticité de leur secteur d’activité. Environ 15 000 entités seraient concernées en France par l’application de la directive NIS 2 (1 500 entités l’étaient par la première version de la directive) et 150 000 en Europe.

En France, l’ANSSI est chargée de la transposition de la directive en droit français et disposera d’un pouvoir étendu de contrôle et d’audit. Cette fonction lui permettra de s’assurer que le socle de cybersécurité est bien mis en œuvre au sein des organisations concernées.

18 secteurs d’activité concernés

La nouvelle version de la directive fait passer le nombre de secteurs d’activité concernés de 10 à au moins 18 secteurs. Les 11 secteurs d’activité considérés comme hautement critiques sont :

• L’énergie
• Les transports
• Le secteur bancaire
• Les infrastructures des marchés financiers
• La santé
• La fourniture et la distribution d’eau potable
• La gestion des eaux usées
• Les infrastructures numériques
• La gestion des services numériques TIC
• L’administration publique
• L’espace

Quant aux secteurs considérés comme critiques, ils sont au nombre de 7 :

• Les services postaux et d’expédition
• La gestion des déchets
• La fabrication, la production et la distribution de produits chimiques
• La production, la transformation et la distribution de denrées alimentaires
• La fabrication
• Les fournisseurs numériques
• La recherche

Concerné par NIS 2 ? N’attendez pas la transposition dans le droit français pour vous y préparer !

Les entités concernées par la directive NIS 2 peuvent commencer dès maintenant à planifier et à budgéter les différentes actions nécessaires à leur mise en conformité NIS 2. Loin de représenter un poste de dépenses supplémentaire, NIS 2 représente une opportunité. En respectant la directive NIS 2, les entreprises ne se contentent pas de se conformer à des exigences réglementaires. Elles investissent dans la confiance numérique, une devise de plus en plus précieuse dans notre économie. Celles qui parviendront à intégrer efficacement ces changements renforceront non seulement leur résilience opérationnelle, mais amélioreront également la proposition de valeur qu’elles offrent à leurs clients.

Quelles sont les obligations imposées par la directive NIS 2 ?

Les entités concernées par NIS 2 doivent mettre en place de nouvelles mesures afin de répondre aux obligations qui leur sont imposées. Il s’agit à la fois de mesures techniques, organisationnelles et opérationnelles.

Obligations relatives à la gestion des risques (article 21)

La directive NIS 2 impose également aux entités concernées de mettre en place des politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information. Ces politiques concernent :

• La gestion des incidents
• La continuité des activités et la gestion des crises
• La sécurité de la chaîne d’approvisionnement
• La sécurité de l’acquisition, du développement et de la maintenance des réseaux/SI
• Le traitement et la divulgation des vulnérabilités
• L’évaluation de l’efficacité des mesures de gestion des risques
• Les mesures de cyberhygiène et la formation à la cybersécurité
• Les procédures relatives à l’utilisation de la cryptographie et/ou du chiffrement
• La sécurité des ressources humaines (contrôle d’accès et gestion des actifs)
• L’utilisation de solutions d’authentification (à plusieurs facteurs ou continue)

Obligations relatives à la gouvernance (article 20)

La directive NIS 2 impose deux obligations majeures en matière de gouvernance :

• Responsabiliser les organes de direction au sujet de la gestion des risques sur les réseaux et les systèmes informatiques
• Mettre en place une politique de formation aux enjeux de sécurité pour les membres de la direction et le personnel

En pratique, les organes de direction devront être de plus en plus impliqués. Ils seront également tenus responsables en cas de manquements à leurs obligations. Les organes de direction devront :

• Minimiser les conséquences des incidents de cybersécurité
• Prendre des mesures proactives pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d’information
• Valider les stratégies de gestion des risques de cybersécurité
• Assurer une formation continue en cybersécurité pour l’ensemble des salariés (membres de la direction inclus)

Obligations relatives au devoir d’information (article 23)

En cas d’incident détecté, les entités ont l’obligation d’informer les autorités compétentes et/ou le Computer Security Incident Response Team (CSIRT) :

• Alerte précoce dans les 24 heures suivant la détection de l’incident
• Notification d’incident formelle dans les 72 heures suivant la détection de l’incident

Toute notification (intermédiaire ou formelle) faisant suite à l’alerte précoce doit mentionner les éléments suivants :

• La gravité de l’incident (impacts et dommages constatés ou suspectés)
• Les sites visés et le caractère transfrontalier ou non de l’incident
• Le type de menace ou la cause profonde à l’origine de l’incident
• Les mesures d’atténuation appliquées

Quelles sont les sanctions prévues en cas de non-respect de la directive NIS 2 ?

L’actualisation de la directive marque le renforcement du régime de sanctions en cas de non-respect des obligations. Les structures qui ne respecteraient pas les obligations imposées par la directive NIS 2 s’exposent à des sanctions (à la fois financières et morales), différentes en fonction du type d’entité.

• Pour les entités importantes : 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial total
• Pour les entités essentielles : 10 millions d’euros ou 2% du chiffre d’affaires mondial total

Les dirigeants et cadres des entités concernées voient également leur responsabilité engagée. Ils peuvent se voir infliger des interdictions temporaires d’exercice de fonctions de direction.

Renforcement de la cybersécurité avec la Directive NIS 2

La Directive NIS 2 met l’accent sur la protection des chaînes d’approvisionnement l’amélioration de la coopération transfrontalière entre les États membres de l’Union européenne.

Sécurité des chaînes d’approvisionnement numériques

Les entreprises doivent désormais évaluer et gérer les risques liés à leurs fournisseurs et prestataires de services numériques. Pour assurer un niveau de protection élevé, elles doivent intégrer des clauses de cybersécurité dans leurs contrats et procéder à des audits réguliers pour vérifier la conformité des fournisseurs. De plus, un partage d’informations sur les vulnérabilités de la chaîne d’approvisionnement est encouragé afin d’anticiper et limiter les risques de cyberattaques.

Coopération transfrontalière accrue

NIS 2 met en place un cadre européen de coordination des réponses aux cybermenaces. Le réseau EU-CyCLONe a été créé pour gérer les crises cyber au niveau de l’UE et faciliter la communication entre les États membres. Les entreprises et administrations doivent désormais notifier rapidement les incidents de cybersécurité, permettant ainsi une réaction efficace à l’échelle européenne. En parallèle, l’UE harmonise les exigences de cybersécurité entre les pays pour éviter les disparités et assurer une protection homogène des infrastructures critiques. L’ENISA joue un rôle clé en fournissant des recommandations et en renforçant la veille sur les menaces émergentes.

Impact de la Directive NIS 2 sur la cybersécurité des entreprises

Les entreprises concernées par la NIS 2 doivent mettre en place des mesures strictes de gestion des risques, de prévention et de réaction aux incidents. L’objectif est d’assurer une meilleure continuité des services critiques et de protéger les données sensibles face à une menace cyber croissante.

Interaction avec d’autres réglementations européennes

La Directive NIS 2 interagit avec plusieurs autres cadres réglementaires européens, renforçant ainsi une approche cohérente de la cybersécurité :

• La règlementation DORA : Complémentaire à NIS 2, il cible spécifiquement le secteur financier en exigeant une résilience numérique accrue.
• Le RGPD : La mise en conformité avec NIS 2 implique aussi une vigilance accrue sur la protection des données personnelles, notamment en cas de cyberincidents.
• La directive CER : Elle s’applique aux infrastructures critiques et complète NIS 2 en intégrant une approche plus large de gestion des risques.
• La cyber Resilience Act : Ce règlement vise à garantir la cybersécurité des produits numériques et complète NIS 2 en couvrant la sécurité des dispositifs connectés.

Cette convergence réglementaire oblige les entreprises à adopter une approche globale et cohérente de la cybersécurité, en intégrant des processus de gestion des risques transversaux et en renforçant leur capacité à répondre aux incidents.

Défis de mise en conformité pour les PME

Les PME font face à plusieurs défis pour se conformer à la Directive NIS 2, principalement en raison de leurs ressources limitées et du manque d’expertise en cybersécurité.

Elles doivent gérer des coûts élevés, assurer la sécurisation de leur chaîne d’approvisionnement, et mettre en place des processus de gestion des risques et de notification des incidents, ce qui représente une charge importante. Le risque de sanctions financières en cas de non-conformité accentue la pression sur ces entreprises.

Pour s’adapter, les PME peuvent adopter une approche progressive, externaliser certaines tâches à des prestataires spécialisés, former leurs équipes et utiliser des solutions abordables. L’accompagnement par des organismes publics comme l’ANSSI peut également faciliter la transition vers la conformité.