NIS2 : Les nouvelles règles de cybersécurité qui changent la donne
Article écrit par
Stéphane JailletLe 10 novembre 2022, une vague de soulagement a déferlé sur l'Europe avec l'adoption de la directive NIS 2 par le Parlement européen. Cette nouvelle directive représente un pas de géant vers la protection des citoyens et des entreprises contre les cyberattaques, qui ne cessent de croître en intensité et en sophistication.
NIS2 représente la version actualisée de la directive européenne concernant la cybersécurité, qui succède à la directive NIS (Network and Information Security) de 2016. Son objectif fondamental est de garantir un niveau de sécurité informatique commun à tous les pays de l'Union européenne.
01. Directive NIS 2 vs NIS 1 : Quelles sont les différences cruciales à connaître ?
02. Directive NIS 2 : Qui est concerné et pourquoi devriez-vous prêter attention ?
03. Les obligations de sécurité selon la directive NIS2 : Ce que votre entreprise doit savoir
04. Sanctions renforcées : Les conséquences du non-respect de la directive NIS2
05. Préparer votre entreprise à la directive NIS2 : Les étapes essentielles à suivre
06. Dates importantes à retenir et actions à entreprendre dès maintenant pour se conformer à NIS2
01. Directive NIS 2 vs NIS 1 : Quelles sont les différences cruciales à connaître ?
Champ d'application élargi :
- NIS 1 : Principalement axé sur les opérateurs de services essentiels.
- NIS 2 : Englobe également les fournisseurs de services numériques.
Acteurs concernés :
- NIS 1 : Opérateurs de services essentiels dans des secteurs clés tels que l'énergie, les transports, etc.
- NIS 2 : Inclut non seulement les opérateurs de services essentiels mais aussi les fournisseurs de services numériques comme les plateformes en ligne, les services de cloud computing, etc.
Obligations de sécurité :
- NIS 1 : Obligations de sécurité moins détaillées et spécifiques.
- NIS 2 : Imposition de mesures de sécurité plus précises et spécifiques pour protéger les réseaux et les systèmes d'information.
Sanctions :
- NIS 1 : Sanctions moins sévères en cas de non-respect.
- NIS 2 : Des amendes pouvant atteindre jusqu'à 2% du chiffre d'affaires annuel total de l'entreprise en cas de non-conformité.
Coordination entre les États membres :
- NIS 1 : Coordination moins développée entre les États membres.
- NIS 2 : Renforcement de la coordination entre les États membres de l'UE pour une application cohérente de la directive.
Gestion des risques numériques :
- NIS 1 : Approche moins holistique de la gestion des risques numériques.
- NIS 2 : Approche plus complète de la gestion des risques, mettant l'accent sur l'évaluation et la gestion des risques numériques de manière proactive.
02. Directive NIS 2 : Qui est concerné et pourquoi devriez-vous prêter attention ?
La portée de la directive NIS 2 est vaste et concerne principalement les entités opérant dans des secteurs d'importance critique. Voici les principaux points de sa portée :
- Elle s'applique aux entités classées comme "essentielles" (EE) et "importantes" (EI) ;
- Elle englobe les secteurs déjà identifiés sous la directive NIS1 ainsi qu'une liste supplémentaire de secteurs "hautement critiques";
- Elle exclut les petites et moyennes entreprises du champ d'application, sauf dans certains cas spécifiques en fonction de la criticité du service fourni ;
- Les États membres sont chargés de définir, d'ici une date donnée, une liste des acteurs essentiels et importants devant se conformer à la directive et fournir les informations requises.
Qui sont les entités classées comme "essentielles" (EE) et "importantes" (EI) ?
Entités Essentielles (EE) :
- Fourniture d'énergie : Production, transport, distribution et stockage d'électricité, de gaz, de chaleur et de pétrole. Opérateurs d'infrastructures critiques d'énergie. Fournisseurs de services de gestion de réseau électrique.
- Transport : Transport aérien, maritime, ferroviaire et routier. Opérateurs d'infrastructures critiques de transport. Gestionnaires de trafic aérien, de ports et de gares.
- Services financiers : Banques, établissements de crédit et autres institutions financières. Opérateurs de marchés financiers et d'infrastructures de paiement. Fournisseurs de services de compensation et de règlement.
- Santé : Hôpitaux, cliniques et autres établissements de santé. Fabricants de dispositifs médicaux et de produits pharmaceutiques. Fournisseurs de services de santé numérique.
- Eau potable et eaux usées : Production, distribution et traitement de l'eau potable. Collecte et traitement des eaux usées. Opérateurs d'infrastructures critiques d'eau.
- Numérique: Moteurs de recherche. Réseaux sociaux. Plateformes de commerce électronique. Fournisseurs de services de cloud computing. Opérateurs d'infrastructures critiques numériques.
- Espace : Opérateurs de satellites et de systèmes spatiaux. Fournisseurs de services de navigation par satellite. Opérateurs d'infrastructures critiques spatiales.
- Administration publique : Administrations centrales et locales. Services d'urgence et de sécurité publique. Opérateurs d'infrastructures critiques d'administration publique.
- Services postaux et d'expédition : Fournisseurs de services postaux universels. Opérateurs de services de colis et de messagerie.
- Chimie: Fabricants et distributeurs de produits chimiques dangereux. Opérateurs d'infrastructures critiques chimiques.
- Alimentation : Production, transformation et distribution de denrées alimentaires. Opérateurs d'infrastructures critiques alimentaires.
- Fabrication : Fabricants de produits critiques pour la sécurité et la santé publique. Opérateurs d'infrastructures critiques de fabrication.
- Recherche et développement : Organismes de recherche et développement dans les domaines critiques pour la sécurité et la santé publique.
- Fournisseurs de services numériques : Fournisseurs de services de sécurité informatique. Fournisseurs de services de gestion des identités et des accès. Fournisseurs de services de cloud computing.
Entités Importantes (EI) :
- Moteurs de recherche : Fournisseurs de services de recherche en ligne. Plateformes d'agrégation de contenu.
- Réseaux sociaux : Plateformes de médias sociaux. Services de messagerie instantanée. Plateformes de partage de contenu.
- Plateformes de commerce électronique : Plateformes de vente en ligne. Sites de comparaison de prix. Services de paiement en ligne.
- Fournisseurs de services de cloud computing: Fournisseurs d'infrastructure en tant que service (IaaS). Fournisseurs de plateforme en tant que service (PaaS). Fournisseurs de logiciel en tant que service (SaaS).
- Opérateurs d'infrastructures critiques numériques : Fournisseurs de services de nom de domaine. Opérateurs de câbles sous-marins. Fournisseurs de services de sécurité informatique.
- Entités du secteur public : Administrations centrales et locales. Services d'urgence et de sécurité publique. Opérateurs d'infrastructures critiques d'administration publique.
- Fournisseurs de services de confiance : Fournisseurs de certificats électroniques. Autorités d'enregistrement de noms de domaine. Fournisseurs de services d'horodatage.
- Fournisseurs de services de sécurité informatique : Fournisseurs d'antivirus et de logiciels de sécurité. Fournisseurs de services de détection et de réponse aux incidents. Fournisseurs de services de test de pénétration.
- Fournisseurs de services de gestion des identités et des accès : Fournisseurs de services d'authentification et d'autorisation. Fournisseurs de services de gestion des comptes utilisateurs. Fournisseurs de services de fédération d'identité.
- Opérateurs de plateformes de partage d'économie collaborative : Plateformes de transport entre particuliers. Plateformes d'hébergement entre particuliers. Plateformes de services à la personne.
- Fournisseurs de services de communication électronique : Opérateurs de réseaux de télécommunications. Fournisseurs de services de téléphonie et d'internet. Fournisseurs de services de télévision par câble et par satellite.
03. Les obligations de sécurité selon la directive NIS2 : Ce que votre entreprise doit savoir
Quelles sont les obligations de sécurité de la directive NIS2 ?
Pour se conformer à la directive NIS 2, voici ce que votre entreprise doit garder à l'esprit :
-
Protéger vos réseaux et systèmes d'information : Utilisez des outils de sécurité tels que des pare-feu et des logiciels de détection des intrusions pour empêcher les cyberattaques.
-
Notification des incidents : Si votre entreprise subit une cyberattaque majeure, vous devez informer les autorités compétentes dans un délai spécifié. La transparence est essentielle pour une gestion rapide et efficace des incidents.
-
Coopération avec d'autres entités : Partagez des informations sur les menaces et les vulnérabilités avec d'autres entreprises pour renforcer la sécurité globale.
04. Sanctions renforcées : Les conséquences du non-respect de la directive NIS2
Quelles sont les sanctions en cas de non-respect de la directive NIS2 ?
En cas de non-conformité avec la directive NIS2, votre entreprise risque de se voir infliger des sanctions financières importantes :
- Des amendes : Ces sanctions monétaires peuvent être considérables, allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel global pour les entités essentielles, et 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel global pour les entités importantes.
- Des mesures administratives : Elles englobent diverses actions telles que des avertissements, des injonctions visant à assurer la conformité à la directive, des suspensions d'activité, ainsi que des retraits d'autorisations.
- Des injonctions judiciaires : Un tribunal peut ordonner à une organisation de se conformer à la directive par le biais de mesures spécifiques imposées par la loi.
Pour éviter ces conséquences néfastes, il est essentiel de prendre des mesures proactives pour assurer la conformité à la directive NIS2.
- Évaluez régulièrement les risques potentiels pour votre entreprise.
- Mettez en place des politiques de sécurité claires et compréhensibles pour votre personnel.
- Formez votre équipe aux meilleures pratiques en matière de sécurité informatique.
05. Préparer votre entreprise à la directive NIS2 : Les étapes essentielles à suivre
Pour assurer une transition en douceur vers la conformité à la directive européenne NIS 2, voici quelques conseils pratiques à suivre :
-
Évaluation des risques : Identifiez les principaux risques auxquels votre entreprise est confrontée en matière de sécurité numérique. Cela vous permettra de prioriser les mesures de sécurité nécessaires.
-
Mise en place de mesures de sécurité adéquates : Installez des solutions de sécurité telles que des pare-feu, des antivirus et des logiciels de détection des intrusions pour protéger vos systèmes contre les cyberattaques.
-
Formation du personnel : Sensibilisez votre équipe aux risques de sécurité et aux meilleures pratiques en matière de protection des données. Assurez-vous qu'ils comprennent l'importance de la conformité à la directive NIS2.
-
Élaboration de politiques et de procédures de sécurité : Établissez des politiques claires en matière de sécurité informatique et mettez en place des procédures pour gérer les incidents de sécurité.
-
Test et mise à jour réguliers : Testez régulièrement vos systèmes de sécurité et assurez-vous qu'ils sont à jour avec les derniers correctifs et mises à jour de sécurité.
06. Dates importantes à retenir et actions à entreprendre dès maintenant pour se conformer à NIS2
Voici les dates clés à retenir concernant la directive NIS2 :
- 27 décembre 2022 : Publication de la directive NIS2 au Journal Officiel de l'Union européenne.
- 16 janvier 2023 : Entrée en vigueur de la directive NIS2.
- 17 octobre 2024 : Date limite pour la transposition de la directive NIS2 en droit national par les États membres.
- 1er juin 2024 : Entrée en vigueur de la loi française transposant la directive NIS2.
Pour éviter de manquer les échéances cruciales de la directive NIS2 et assurer la conformité de votre entreprise, nous vous conseillons de prendre des mesures dès maintenant. Voici pourquoi une action immédiate est nécessaire et ce que vous pouvez faire :
-
Planification proactive : Élaborez un plan d'action détaillé pour vous assurer que votre entreprise est prête à se conformer à NIS2 dans les délais impartis. Identifiez les tâches nécessaires et assignez des responsabilités pour les mettre en œuvre efficacement.
-
Évaluation de la conformité actuelle : Évaluez où se situe actuellement votre entreprise en termes de conformité à la directive NIS2. Identifiez les lacunes potentielles et les domaines nécessitant une amélioration.
-
Mise en place de mesures correctives : Prenez des mesures immédiates pour remédier aux lacunes de conformité identifiées. Cela peut inclure la mise en place de nouvelles politiques de sécurité, la formation du personnel ou l'acquisition de technologies de sécurité supplémentaires.
-
Communication interne et sensibilisation : Impliquez activement votre équipe dans le processus de conformité et assurez-vous qu'ils comprennent l'importance de respecter les exigences de la directive NIS2. La sensibilisation accrue peut aider à garantir une conformité continue à long terme.
Conclusion
La directive NIS2 représente un progrès significatif dans le domaine de la cybersécurité en Europe. En renforçant les normes et en étendant son champ d'application, elle vise à assurer un niveau de protection accru pour tous les acteurs du marché numérique européen.
Le respect de la directive NIS2 est crucial pour protéger les citoyens et les entreprises contre les cybermenaces. En investissant dans la cybersécurité, les organisations peuvent contribuer à instaurer un environnement numérique plus sûr et plus fiable pour tous.
Voici quelques points clés à retenir :
- La directive NIS2 s'applique à un large éventail d'organisations, y compris les PME, les administrations publiques et les opérateurs de services postaux.
- Les organisations doivent mettre en place des mesures de sécurité techniques et organisationnelles appropriées.
- Les autorités nationales de cybersécurité superviseront la conformité des organisations à la directive NIS2.
- Des sanctions significatives peuvent être appliquées en cas de non-respect de la directive NIS2.
Pour plus d'informations sur la directive NIS2, téléchargez notre mini guide sur NIS2 : NIS2 - Mini guide.pdf
Veuillez également consulter les sites web suivants :
- Site web de l'ANSSI : https://cyber.gouv.fr/la-directive-nis-2
- Site web de la Commission européenne : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- Vidéo de l’ANSSI épisode 1 : Focus NIS 2 - Episode 1 - Vidéo Dailymotion
- Vidéo de l’ANSSI épisode 2 : Focus NIS 2 - Episode 2 - Vidéo Dailymotion
Articles à la une
Ces articles pourraient vous intéresser
11/01/2024
NIS 2 : qui est concerné et quels enjeux en matière de cybersécurité ?
Découvrir
26/02/2024
Directive NIS 2 : quelles obligations et comment s’y préparer ?
Découvrir