Vous êtes familier avec le contenu de la directive NIS 1 ? Commencez dès à présent à vous pencher sur la seconde version du texte. La directive NIS 2 fera l’objet d’une transposition en droit français dans les prochains mois. Elle concerne davantage d’entités de toutes tailles (hors micro et petite entreprise) et dans de nombreux secteurs.
What is the content of the NIS 2 directive? What changes does it bring? How can we prepare for it? Let's take a look at the main changes to come, and what you need to do to prepare for NIS 2.
What is the NIS 2 directive?
Presentation of the NIS 2 directive
La directive NIS 2 (NIS pour Network and Information Security / Sécurité des réseaux et des systèmes d’information) est un élargissement de la directive NIS 1, première version du texte publiée en 2016 et transposée dans le droit français en 2018. Le contexte cyber a profondément changé en l’espace de quelques années.
Les acteurs malveillants ciblent désormais de nouvelles entités (entreprises de type PME et ETI, collectivités), les rançongiciels peuvent avoir des conséquences graves, et les acteurs de la chaîne d’approvisionnement sont désormais eux aussi visés. La seconde version de la directive prend en compte ces nouveaux éléments.
La directive NIS 2 a été publiée au Journal officiel de l’Union européenne en décembre 2022. Les États membres de l’UE disposent d’un délai maximum de 21 mois pour transposer la directive dans le droit national, soit jusqu’en octobre 2024 (entrée en vigueur de la directive).
Objectives and scope of the NIS 2 directive
Face à un contexte cyber en pleine évolution (les acteurs malveillants sont de mieux en mieux outillés et organisés), l’objectif de la directive NIS 2 se montre plus ambitieux : pousser davantage d’entités à mieux se protéger, à travers des mesures de sécurité permettant de réduire l’exposition de leur infrastructure critique aux risques cyber.
To support this objective, the NIS 2 directive is marked by several changes, including:
• L’extension de son périmètre d’application (davantage de secteurs et de typologies d’entités sont concernés, entités privées comme publiques)
• Le renforcement des obligations et des sanctions
• La responsabilisation des organes de direction des entreprises
What are the main changes brought about by the NIS 2 directive?
Extended scope of application: a real change of scale
L’un des principaux changements apportés par la directive NIS 2 concerne son périmètre d’application, désormais étendu à de nombreuses entités de toutes tailles :
• Entreprises au sens large, depuis les PME jusqu’aux groupes du CAC40
• Administrations centrales et collectivités territoriales (régulation optionnelle pour les collectivités territoriales)
• Acteurs de la chaîne d’approvisionnement (supply chain)
La directive NIS 2 élargit la liste des activités concernées en ajoutant des secteurs (espace, eaux usées, administration publique, services postaux et d’expédition, gestion des déchets, fournisseurs numériques, produits chimiques, denrées alimentaires, fabrication, etc.) et des sous-secteurs (réseaux de chaleur et de froid dans le secteur de l’énergie, par exemple).
Les critères pris en compte pour définir les entités concernées par la directive sont la taille de l’entité (nombre d’employés, chiffre d’affaires, etc.) et la criticité de son secteur d’activité.
Introduction of a proportionality mechanism
La directive NIS 2 introduit également un mécanisme de proportionnalité. Les entités concernées sont désormais réparties en deux catégories, en fonction de leur niveau de criticité :
• Entités essentielles, ou EE (anciennement Opérateurs de Services Essentiels) : activités dans les secteurs hautement critiques
• Entités importantes, ou EI
The security requirements applied to these two categories of entity will not be the same.
What are the implications of the NIS 2 directive for businesses, public authorities and local authorities?
What are the obligations of the entities concerned?
Regulatory compliance: key obligations
La directive NIS 2 liste un certain nombre de mesures de sécurité obligatoires en matière d’analyse des risques, de politique de sécurité des systèmes d’information, de gestion des incidents, de continuité et de reprise d’activité, etc.
NB : si certaines exigences seront appliquées à l’échelle nationale sans subir de modification, d’autres, en revanche, seront déclinées et adaptées au niveau national. Il est donc encore trop tôt pour détailler de manière exhaustive les différentes obligations qui s’appliqueront en France. Consultez la FAQ actualisée régulièrement sur le site de l’ANSSI.
Nevertheless, it is possible to indicate that the entities concerned are subject to new obligations or to a reinforcement of existing obligations, in particular :
• La réduction des délais de signalement des incidents cyber au CSIRT (Centre de réponse aux incidents de sécurité informatique) national
• Le renforcement des normes de cybersécurité
• L’obligation de former ses employés au risque cyber
• L’obligation de réaliser régulièrement des audits de sécurité
Notification of major security incidents
Les entités concernées par la directive NIS 2 doivent signaler à leur CSIRT tout incident de sécurité important, en respectant plusieurs étapes :
• Notification initiale dans un délai maximum de 24 heures après la prise de connaissance de l’incident,
• Notification détaillée dans un délai maximum de 72 heures après la prise de connaissance de l’incident,
• Remise d’un rapport final au CSIRT dans le mois suivant l’incident.
What is the role of the competent authorities?
Le rôle de l’ANSSI se voit renforcé. L’agence accompagnera les entités concernées dans l’adoption de solutions de sécurisation (compréhension de la réglementation et actions à mettre en place). L’agence sera également en mesure de réaliser des contrôles susceptibles de donner lieu à des injonctions (dans le cas de non-conformité identifiée).
La deuxième version de la directive concernant un nombre beaucoup plus important d’entités, celles-ci pourront également être accompagnées par les CSIRT.
How do you comply with the NIS 2 directive?
How to prepare for the transposition of the NIS 2 directive?
L’ANSSI conseille aux entités concernées (entreprises, administrations, collectivités) de ne pas attendre la transposition de la directive NIS 2 dans le droit français, mais de commencer à se préparer dès maintenant. Les entités déjà concernées par NIS 2 doivent poursuivre leurs efforts.
Quant aux entités de taille plus modeste qui s’apprêtent à intégrer le périmètre de la nouvelle directive, l’ANSSI leur conseille de s’approprier dès maintenant son guide pour la cybersécurité des TPE et PME. Ces entités ont tout intérêt à développer une démarche proactive en matière de sécurité informatique (identification des vulnérabilités, sensibilisation des collaborateurs, etc.)
Drawing up an information systems security policy (ISSP)
Le PSSI est un plan d’action destiné à maintenir la sécurité du réseau et du système d’information d’une organisation. Document de référence sur la sécurité des SI, il reflète la vision stratégique de la direction sur le sujet.
Le PSSI définit les objectifs en matière de sécurité des SI, ainsi que les moyens et les choix effectués pour assurer cette sécurité. La mise en place d’une politique de sécurité des systèmes d’information fait partie des obligations contenues dans la directive NIS 2 et constitue un socle fondamental à la mise en place d’une démarche de cybersécurité efficace. Pour en savoir plus, voici le texte de loi intégral.
What are the consequences of non-compliance with the NIS 2 directive?
Financial penalties
L’un des changements apportés par la directive NIS 2 concerne le renforcement du régime de sanctions. En cas de non-respect des exigences décrites par la directive européenne, toutes les entités assujetties s’exposent à des amendes allant d’au moins 1,4 % (pour les entités importantes) à 2 % (pour les entités essentielles) du chiffre d’affaires annuel mondial.
Sanctions against top management
La directive NIS 2 cherche également à responsabiliser et à sensibiliser les organes de direction à la gestion des risques cyber. Elle prévoit donc des sanctions (hors administrations publiques) pouvant aller jusqu’à la suspension des certifications et autorisations relatives aux services ou activités fournis par l’entité, ainsi qu’une interdiction temporaire, pour le directeur général ou représentant légal, d’exercer des fonctions de direction au sein de l’entité concernée.
Si la directive NIS 2 s’inscrit dans le prolongement de la première version du texte, elle en amplifie grandement la portée. En élargissant son périmètre d’application, en introduisant de nouvelles obligations et en renforçant le régime de sanctions, elle invite les organisations à prendre la mesure des menaces cyber et à renforcer leur niveau de sécurité. Entreprises, collectivités, préparez-vous dès maintenant à renforcer votre posture de sécurité.
Vous souhaitez être accompagné dans le déploiement d'une solution CAASM ? Contactez-nous.
