Directive NIS2 : quelles obligations pour les pays de l’UE et pour les entreprises concernées ?

Adoptée en novembre 2022 par le Parlement européen, la directive NIS2 (Network and Information System Security) est entrée en vigueur le 17 janvier 2023.

Ce texte, qui vise à renforcer les règles en matière de cybersécurité au sein de l’Union européenne et à accroître la cyber-résilience des États membres, doit être transposé dans le droit national d’ici au 17 octobre 2024, pour une application au 18 octobre.

Concrètement, que va changer NIS2 pour les pays de l’UE et pour les entreprises inscrites dans le périmètre de ses obligations ? On fait le point.

NIS2 : une révision indispensable face à l’augmentation des risques cyber en Europe

Dès décembre 2020, à peine deux ans après la transposition de NIS1 dans le droit français, la Commission européenne a commencé à réviser la directive pour l’adapter à une menace cyber en pleine transformation.

Cette version révisée, appelée NIS2, a vocation à harmoniser les normes de cybersécurité pour les entreprises et les administrations des États membres, à fixer des règles élémentaires en matière de protection des réseaux et des SI, et à définir les mécanismes permettant une coopération plus efficace et une réponse conjointe en cas d’incident significatif (c’est notamment l’objectif du réseau CyCLONe qui rassemble l’ANSSI et ses homologues).

Pour Yves Verhoeven, sous-directeur Stratégie de l’ANSSI, « la directive NIS2 est extrêmement ambitieuse » car, « face à des acteurs malveillants toujours plus performants et mieux outillés », cette nouvelle version du texte « élargit ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection ».

En matière de réglementation cyber, NIS2 constitue donc une initiative sans précédent.

Quels sont les grands changements apportés par la directive NIS2 ?

NIS2 conserve le périmètre défini par NIS1 tout en élargissant son champ d’application à un plus grand nombre de secteurs.

D’une part, la directive continue de s’adresser aux Opérateurs de Services Essentiels (OSE) dans les secteurs de la banque, de la finance, de l’énergie, de la santé, des transports et des télécommunications.

D’autre part, elle englobe désormais les secteurs…

  • de l’eau,
  • de la recherche,
  • des infrastructures numériques (fournisseurs d’accès au web, datacenters…),
  • des services numériques (moteurs de recherche, marketplaces…),
  • des services postaux,
  • de l’administration publique,
  • de l’espace,
  • de la grande distribution alimentaire,
  • de la gestion des déchets,
  • et de la fabrication de produits sensibles (chimiques et médicaux, surtout).

Par ailleurs, une nouvelle distinction est faite entre les entités essentielles (EE) et les entités importantes (EI), afin de réguler leurs obligations en fonction de leur niveau de criticité.

Le cloud privé SecNumCloud

Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles

Dans le même temps, NIS2 impose aux pays membres la qualification des opérateurs essentiels. Autrement dit, toutes les entités qui opèrent dans les secteurs couverts entrent automatiquement dans le champ d’application de la directive. Seules les entreprises de moins de 50 salariés sont exemptées, avec quelques exceptions.

Néanmoins, chaque pays reste libre d’inclure dans le champ d’application les petites entreprises et les collectivités territoriales qu’il juge pertinentes (avec une mise à jour obligatoire tous les deux ans).

Quelles sont les obligations de conformité avec NIS2 pour les entreprises ?

Les entreprises qui entrent dans la nouvelle nomenclature (entités essentielles ou importantes) devront se mettre en conformité avec la directive NIS2, en implémentant de nouvelles mesures techniques, organisationnelles et opérationnelles. Voici les principales :

  • L’analyse des risques cyber encourus et des politiques de sécurité en place.
  • La sécurisation des réseaux et des SI, avec utilisation de techniques de cryptographie et de chiffrage des données, contrôle des accès aux systèmes, et intégration de solutions d’authentification à plusieurs facteurs.
  • La mise en place de mesures pour garantir la continuité d’activité en cas d’incident.
  • La formation des collaborateurs aux risques cyber et aux bonnes pratiques à adopter pour s’en prémunir.
  • L’obligation de disposer d’une équipe de gestion des incidents cyber et de définir une personne de contact auprès de l’ANSSI.
  • L’obligation de déclarer un incident de sécurité à l’ANSSI (dans les 24 heures), de présenter une évaluation de l’impact du sinistre (dans les 72 heures), puis de fournir un rapport complet (dans un délai d’un mois).

Pour les entités essentielles, des contrôles aléatoires pourront être menés, en complément d’audits réguliers. Pour les entités importantes, les autorités compétentes auront la possibilité de réaliser un contrôle après la survenue d’un incident.

L’ANSSI recommande aux entreprises concernées de se préparer au plus tôt aux nouvelles obligations de la directive NIS2, sans attendre leur transposition dans le droit national – au plus tard le 17 octobre 2024. En France, plus de 600 organisations sont concernées.

Attention, car les sanctions prévues sont dissuasives : jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités importantes !