Directive NIS 2 : qu’est-ce qui change en 2023 ?

29 juin 2023 10 min de lecture
Directive NIS 2

Appliquée en 2016, la directive NIS 1 a posé les premières pierres d’une législation européenne en termes de cybersécurité. La directive NIS 2, qui a été votée en 2022, va devenir d’ici 2024 le nouveau document de référence concernant les obligations de cybersécurité, et ce dans de nombreux secteurs jugés critiques. On fait le point. 

La directive NIS 2 : de quoi parle-t-on ? 

Un peu de contexte sur NIS 2

La directive NIS 1 (Network and Informations System Security) a été abrogée en 2022 au profit de NIS 2, qui couvre davantage de domaines. L’objectif de ce texte est d’assurer un niveau de sécurité commun élevé pour les réseaux et systèmes d’information de toute l’Union Européenne. 

La directive NIS 2 a été adoptée le 14 décembre 2022, et elle sera transposée dans tous les États membres le 17 octobre 2024 au plus tard. Cette transposition, pilotée par l’ANSSI, est en cours.

NIS 1 vs. NIS 2 : qu’est-ce qui évolue ?

La directive NIS 2 conserve les grands axes de la directive NIS 1 : la gouvernance, la protection et la défense de la sécurité des réseaux et des SI, ainsi que la résilience des activités.

Mais de nouveaux objectifs ont été fixés : 

  • élargir le champ d’application, en passant de 7 à 18 secteurs ;
  • renforcer les obligations des entités concernées ;
  • accroître les sanctions

Les entités de grande taille, de taille intermédiaire et de taille moyenne (plus de 50 employés et plus de 10 millions de chiffre d’affaires) sont les premières concernées par cette directive NIS 2 :

  • les entités appartenant à 18 secteurs d’activités hautement critiques (énergie, infrastructures numériques, gestion des déchets…) ;
  • les entités dites « importantes » (services postaux, organismes de recherche…) ; 
  • les entités dites « essentielles » (fournisseurs de gaz et d’électricité, autorités routières, prestataires de soins de santé…).

D’autres entités sont considérées comme « essentielles », et donc concernées par NIS 2, quelle que soit leur taille et leur secteur : 

  • les prestataires de services de confiance qualifiés et les fournisseurs de services DNS ou de réseaux ;
  • les fournisseurs de réseaux publics et de services de communications électroniques accessibles au public (de taille moyenne) ;
  • toute entité soumise à la directive Résilience des Entités Critiques (REC) ;
  • toute entité désignée Opérateur de Service Essentiel au titre de NIS 1 ;
  • certaines entités désignées unitairement par la France au regard de certains critères spécifiques. 

La grande majorité des entreprises seront donc concernées par NIS 2.

La directive NIS 2 fait reposer la sécurité des systèmes d’information en Europe sur 5 piliers principaux. 

directive NIS 2 5 piliers

Pilier n° 1 de la directive NIS 2 : les cadres coordonnés en matière de cybersécurité

Objectif

Obliger chaque État membre à maintenir un haut niveau de cybersécurité sur son territoire.

Mise en place d’une stratégie nationale en matière de cybersécurité 

Cette stratégie détermine les mesures politiques et réglementaires, les objectifs, et les ressources nécessaires pour atteindre un haut niveau de cybersécurité. Elle permet d’encadrer la mise en œuvre de NIS 2 au niveau national. 

Désignation des autorités compétentes et de points de contact uniques

Dans chaque État membre, ces autorités sont chargées de superviser la mise en place de la directive NIS 2. Elles doivent communiquer entre elles pour assurer une application harmonieuse de NIS 2 dans toute l’Union européenne. 

En France, cette autorité est l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information

Mise en place de cadres nationaux de gestion de crise cyber

Chaque État membre doit désigner une autorité de gestion des crises cyber. En France, ce rôle est également assumé par l’ANSSI. 

Chaque État doit aussi adopter un plan national de réaction aux crises cyber, qui contient : 

  • les objectifs des mesures de préparation ;
  • les missions des autorités de gestion des crises cyber ;
  • les mesures de préparation nationales.

Focus sur les CSIRT

Les CSIRT sont des centres de réponse aux incidents informatiques. Ils permettent d’assurer un haut niveau de cybersécurité sur l’ensemble du territoire. 

En France, il s’agit du CERT-FR, rattaché à l’ANSSI. Celui-ci est chargé : 

  • de surveiller les cybermenaces ;
  • d’alerter sur de potentielles vulnérabilités ;
  • d’assister les entités touchées, par exemple en réalisant un scan proactif de leur réseau si la demande en est formulée.

Avec la directive NIS 2, les personnes ou entités qui constateront une vulnérabilité pourront le signaler au CSIRT, de manière anonyme ou non. Le CSIRT identifiera et contactera l’entité concernée, apportera une assistance aux personnes ayant fait le signalement, et s’occupera de gérer la vulnérabilité dans un délai déterminé. 

Une base de données européenne des vulnérabilités a également été créée avec NIS 2. Élaborée et tenue à jour par l’agence européenne ENISA, elle contient des informations sur les vulnérabilités, les produits TIC affectés et la disponibilité des correctifs. 

Pilier n° 2 de la directive NIS 2 : la coopération européenne et internationale en matière de cybersécurité

Objectif

Maintenir un haut niveau de cybersécurité dans l’Union européenne grâce à une collaboration efficace entre les différents acteurs.

Le groupe de coopération européen 

Ce groupe est composé de représentants des États membres, mais aussi de la Commission européenne et de l’ENISA. Ses principales missions sont les suivantes : 

  • fournir des orientations stratégiques aux autorités compétentes ;
  • évaluer régulièrement les cybermenaces dans l’UE ;
  • indiquer une orientation stratégique au réseau des CSIRT. 

Le réseau de CSIRT

Regroupant les CSIRT nationaux des États membres, il répond à 4 objectifs majeurs : 

  • échanger des informations sur les incidents et les menaces ;
  • assister les États membres en cas d’incidents transfrontières
  • identifier les potentielles menaces et alerter en conséquence ; 
  • examiner les exercices de cybersécurité. 

Le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe)

Nouveauté de la directive NIS 2, ce réseau est composé de représentants des États membres et de la Commission européenne ; l’ENISA en assure le secrétariat. 

Il assume de nombreuses missions, parmi lesquelles : 

  • renforcer le niveau de préparation à la gestion des incidents ; 
  • évaluer leur niveau d’impact
  • développer une connaissance situationnelle partagée des crises cyber. 

Pilier n° 3 de la directive NIS 2 : la gestion des risques en matière de cybersécurité

Les mesures de gestion des risques à mettre en place au sein des entités 

Objectif

Définir des mesures standards pour garantir à chaque entité une capacité minimum de résistance face aux risques cyber.

tableau-Directive-NIS2-Renforcez-votre-securite-sur-Microsoft-365

L’obligation d’information

Objectif

Utiliser la notification comme un moyen de garantir un accompagnement aux entités touchées.

Avec la directive NIS 1, les entités faisant face à un incident de sécurité devaient obligatoirement le notifier au CERT-FR. La directive NIS 2 précise ces délais de notification obligatoires.

  • Dans les 24 heures après avoir eu connaissance de l’incident : notifier une alerte précoce, indiquant les suspicions de malveillance et les possibles impacts transfrontières.
  • Dans les 72 heures : transmettre une notification mise à jour, avec évaluation de l’incident, de ses impacts, indicateurs de compromission…
  • À la demande éventuelle du CERT-FR : réaliser un rapport intermédiaire sur les mises à jour pertinentes de la situation.
  • Dans un délai d’un mois : dresser un rapport final comprenant une description détaillée de l’incident, sa cause profonde, les mesures d’atténuation mises en place et les impacts transfrontières éventuels de l’incident.

Périmètre d’application

Les mesures seront déclinées selon le statut de l’entité concernée (« essentielle » ou « importante »). Cette déclinaison est en cours de réflexion, et l’ANSSI sollicitera un panel d’entreprises pour définir précisément ces mesures. 

Cependant, il est certain que pour les entités « importantes », les termes de la directive NIS 1 seront reconduits avec NIS 2 : celles qui ont mis en pause leurs actions de mise en conformité avec NIS 1 en attendant NIS 2 peuvent donc les reprendre dès maintenant pour gagner du temps. 

En parallèle, le statut de Système d’Information Essentiel (SIE) disparaît avec NIS 2 : tous les systèmes d’information sont concernés par la nouvelle directive. Si les termes de NIS 1 avaient pour but de limiter au strict minimum le périmètre d’application afin de réduire les coûts, NIS 2 vise une réelle montée en maturité cyber pour l’ensemble des entreprises.

Pilier n° 4 de la directive NIS 2 : le partage d’informations

Objectif

Améliorer la connaissance et la maîtrise du risque cyber grâce à la collaboration des entités concernées.

Les accords de partage en matière de cybersécurité

Avec la directive NIS 2, toutes les entités (concernées ou non par NIS 2), pourront partager des informations importantes sur la cybersécurité – à condition que cela vise à : 

  • prévenir et détecter les incidents ; 
  • réagir et se rétablir ; 
  • renforcer le niveau de cybersécurité. 

La notification volontaire d’informations pertinentes

En parallèle, toutes les entités (concernées ou non par NIS 2) auront la possibilité de notifier volontairement le CERT-FR de toute information concernant les cybermenaces et les incidents évités. 

Pilier n° 5 de la directive NIS 2 : la supervision des autorités compétentes 

Objectif

Faire peser un risque de contrôle et de sanction sur les entités pour maintenir un haut niveau de cybersécurité dans l’Union européenne.

Ce pilier, véritable nouveauté de la directive NIS 2, vise à s’assurer du respect de la directive dans les États membres. Les principales mesures pouvant être prises par les autorités compétentes sont les suivantes : 

  • la réalisation d’inspections sur place et des contrôles à distance ;
  • la réalisation d’audits de sécurité réguliers et ciblés par un organisme indépendant ou une autorité compétente ;
  • la réalisation d’audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou d’une violation de la présente directive par l’entité essentielle ;
  • l’exécution de scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée ;
  • la demande d’accès à des données, à des documents et à toute information nécessaires à l’accomplissement de leurs tâches de supervision ;
  • les demandes de preuves de la mise en œuvre de politiques de cybersécurité, comme les résultats d’audits de sécurité. 

En cas de non-respect de la directive NIS 2, des sanctions lourdes et dissuasives peuvent s’appliquer : les amendes administratives peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires pour les entités essentielles, et 7 millions d’euros et 1,4 % du chiffre d’affaires pour les entités importantes. Des astreintes peuvent également être imposées si les violations de la directive NIS 2 persistent.

En somme, la directive NIS 2 conserve les mêmes axes que la directive NIS 1, mais la complète avec de nouveaux objectifs, de nouvelles mesures et de nouveaux champs d’application. D’ici 2024, les entités concernées devront être en conformité avec cette nouvelle réglementation : n’hésitez pas à vous faire accompagner par des professionnels pour vous en assurer !