NIS 2 : tout savoir de la nouvelle directive

NIS 2, de quoi parle-t-on ? 

La directive NIS 2 (pour “Network and Information Security”, en français “Sécurité des réseaux et des systèmes d’information”) a pour objectif de renforcer le niveau de cybersécurité des structures économiques et administratives au sein des Etats membres de l’Union européenne. Son but est de protéger les réseaux et systèmes d’information essentiels qui soutiennent les services critiques de notre société.

Pour cela, la directive impose un ensemble de mesures juridiques, techniques et organisationnelles à mettre en œuvre par les entités concernées pour élever leur niveau de cybersécurité et accroître leur résilience opérationnelle.

Si la première directive NIS se concentrait sur les grands acteurs économiques, NIS 2 élargit son champ d’application pour concerner plus de secteurs et introduit des exigences adaptées à la montée des menaces cyber.

En France, c’est l’ANSSI, l’Agence nationale de la Sécurité des Systèmes d’information, qui est chargée de transposer la directive européenne dans le droit national et d’assurer sa mise en œuvre.

‍

Plus d’entreprises concernées par NIS 2

La directive NIS 2 a élargi son champ d’application pour englober plus de services que la première directive. Selon les estimations de la Commission européenne, 160 000 entités sont maintenant concernées en Europe, dont 10 000 à 20 000 en France. Ces entités sont réparties dans 18 secteurs d’activité. 

Les secteurs hautement critiques : administrations publiques ; eaux potables ; eaux usées ; énergies ; espace ; gestion des services Technologie de l’information et de la Communication (interentreprises) ; infrastructures des marchés financiers ; infrastructures numériques ; santé ; secteur bancaire ; transports. 

Les autres secteurs critiques : fabrication, production et distribution de produits chimiques ; fournisseurs numériques ; gestion des déchets ; industrie manufacturière ; production, transformation et distribution de denrées alimentaires ; recherche ; services postaux et d’expédition. 

Objectif ? Faire que ces entités moins visibles mais tout aussi essentielles soient protégées contre les menaces croissantes.

‍

Une directive autour de cinq piliers 

La directive NIS 2 préconise une démarche continue qui va au-delà d’une approche réactive. Les organisations sont tenues de mettre en place une démarche proactive et préventive en matière de cybersécurité. 

Elle repose sur cinq piliers fondamentaux qui couvrent un large éventail de mesures visant à protéger les systèmes et les réseaux d’information face aux menaces cyber. 

✓ La gestion des risques en matière de cybersécurité

Les organisations doivent adopter des pratiques robustes de gestion des risques en cybersécurité. Pour cela, elles doivent réaliser régulièrement des évaluations de risque pour identifier et atténuer les menaces potentielles. Elles doivent également établir des stratégies claires pour gérer les vulnérabilités, en s’assurant que les infrastructures et systèmes sont protégés. 

✓ Le partage d’informations

Tout incident de sécurité significatif doit être signalé à l’autorité nationale désignée dans un délai de 24h après sa découverte. Cette déclaration doit comprendre des mises à jour régulières sur l’état de gestion de l’incident et être suivie d’un rapport final dans un délai d’un mois. Cela doit permettre aux autorités de prendre compte de l’ampleur des menaces et de coordonner les réponses au niveau national et européen. 

✓ La collaboration nationale et internationale

La directive NIS 2 encourage la coopération entre les Etats membres pour partager des informations sur les menaces et les meilleures pratiques en matière de cybersécurité. Cela devra permettre de créer des réponses collectives efficaces face aux cybermenaces. 

✓ La sécurisation des chaînes d’approvisionnement

Les fournisseurs et sous-traitants devront respecter les mêmes normes de sécurité que les entités concernées. Pour s’en assurer, des audits réguliers et des contrôles de conformité devront être mis en place dans toute la chaîne d’approvisionnement. 

✓ Les sanctions et la responsabilité

Si elles ne respectent pas les exigences de la directive NIS 2, les organisations s’exposent à des sanctions financières importantes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. 

‍

Entreprises, comment s’adapter à la directive NIS 2 ?

La directive NIS 2 est concrètement mise en place depuis octobre 2024. A cette date, la France et les autres Etats membres doivent avoir intégré les obligations de la directive dans leur législation nationale. 

Pour les entreprises, cela implique qu’elles entrent dans la phase de mise en conformité, et donc qu’elles ont trois ans pour appliquer les exigences de la directive sans être pénalisées. Passé ce délai, elles seront sanctionnées si elles ne les respectent pas. 

La directive impose à chaque organisation de créer une feuille de route détaillant les actions nécessaires pour atteindre la conformité. Cette feuille de route doit comprendre : 

→ Des jalons clairs : des étapes précises à atteindre à différentes phases de la mise en œuvre.

→ Des indicateurs de performance : des critères permettant de mesurer l’efficacité des mesures mises en place pour répondre aux exigences de la directive.

→ Les ressources nécessaires : une évaluation des ressources humaines, techniques et financières requises pour mettre en œuvre les initiatives de cybersécurité. 

Pour accompagner les organisations dans cette mise en conformité, l’ANSSI leur fournit des outils et des ressources. La plateforme “Mon Espace NIS 2”, en plus de l’accès aux ressources, permet aux entreprises de s’enregistrer et de vérifier si elles sont concernées par la directive. L’ANSSI met également à disposition des outils comme “MonAideCyber” et “MonServiceSécurité” pour aider les entreprises à évaluer leur posture en matière de cybersécurité et à identifier les actions à entreprendre. 

‍

NIS 2 et ISO 27001, quels liens ? 

La directive NIS 2 et la norme ISO 27001 sont deux cadres majeurs dans le domaine de la sécurité de l’information. 

La norme ISO 27001 est une norme internationale qui vise à organiser la sécurité de l’information au sein d’un organisme. A la différence de la directive NIS 2, c’est une norme basée sur une démarche volontaire pour les organisations souhaitant certifier leur système de gestion de la sécurité de l’information. 

Les deux partageant des objectifs communs en matière de politique de risques et de gestion des incidents, les entités certifiées ISO 27001 auront donc un avantage pour respecter les exigences de la directive NIS 2. 

‍

NIS 2 en bref 

‍🎯 Objectif de la directive : renforcer la cybersécurité et la résilience des services essentiels en Union européenne.

🔍 Élargissement du champ d'application : 18 secteurs critiques désormais concernés.

🛡️ Gestion proactive des risques : évaluation régulière et gestion des vulnérabilités.

🚨 Signalement des incidents : déclaration sous 24 heures pour tout incident majeur.

📄 Rapport final obligatoire : délai d’un mois pour soumettre un rapport de suivi.

🤝 Coopération renforcée : partage d’informations et bonnes pratiques entre États membres.

🔗 Sécurisation des fournisseurs : contrôles et audits de la chaîne d’approvisionnement.

💸 Sanctions financières : jusqu'à 10 millions d'euros ou 2 % du chiffre d’affaires mondial.

‍🗂️ Feuille de route de conformité : étapes précises et indicateurs de performance requis.