Nathalie PICOT
22 Nov
22Nov

La directive NIS2 (Network and Information System Security) a été adoptée en novembre 2022 par le Parlement européen et est entrée en vigueur le 17 janvier 2023. Elle vise à renforcer les règles en matière de cybersécurité au sein de l’Union européenne et à accroître la cyber résilience des États membres.

Alors que la menace cyber augmente et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2  représente une opportunité unique. 

NIS 1 (Network & Information Security)  a été la première réglementation paneuropéenne (2016-2018 pour sa transposition en France) et identifiait sept secteurs d’activité à protéger dans les États de l’UE, La directive NIS 2 en est le prolongement naturel.

NIS 2 représente une formidable opportunité d’accroître la maturité cyber de nombreuses entités, des entreprises de taille intermédiaire aux grands groupes en passant par les administrations ou les collectivités locales. Elle instaure des protocoles de cybersécurité plus stricts et renforce les mécanismes de responsabilité, notamment sur l’ensemble de la supply-chain. 

La directive européenne s’inspire nettement de la loi de programmation militaire (LPM) 2013,qui désignait environ 200 Opérateurs d’Importances Vitales (OIV). Ces entités, pour la plupart habituées à traiter des informations sensibles (II 901) ou classifiées (IGI 1300), étaient relativement acculturées à la Sécurité. 

Mise en application

Le NIS 2 entrera en vigueur en France en octobre 2024. Bien que les zones d’ombre concernant la transposition française restent importantes, certaines exigences seront immédiatement applicables et d’autres devraient être soumises à un délai de mise en conformité. 

Sa mise en application va permettre à des milliers d’entités qui concernent le quotidien des citoyens de mieux se protéger.

Critères d'application

La directive concernera un certain nombres d'institutions d'états et de service publics. Mais également certaines entreprises du secteur privées. Deux scénarios sont possibles selon le classement de votre organisation en entité essentielle ou importante. Cette distinction détermine l’étendue des exigences qui vous sont applicables, ainsi que la taille de l’organisation, intermédiaire ou grande – une grande entreprise compte plus de250 employés et affiche un chiffre d’affaires de 50 millions d’euros,

Certains secteurs d’activité vous classent d’office comme entité essentielle (EE), et d’autres comme entité importante (EI)

Toutefois, chaque État membre peut recatégoriser une EI en EE pour tenir compte de son rôle majeur au niveau national.

Les entités dites Essentielles EE (Annexe I de la directive NIS2):

  • Les prestataires de services de confiances qualifiés, registre de nom de domaine de premier niveau et fournisseur de services DNS, quelques soit le taille
  • Fournisseur de réseaux de télécommunications publics
  • Les entreprises de secteurs hautement critiques OIV (importances Vitales)  :  l'Energie, Transport, Bancaire, Infrastructures de marchés financier, Santé, Eaux potables, Eaux usées, Infrastructure Numériques, Gestion des services TIC, Administrations publiques etc..

Les entités dites Importante EI (Annexe II de la directive NIS2) : 

  • Une entité importante est une entreprise qui est considérée comme ayant une importance significative pour la société et l’économie. Selon la directive NIS2, une entité est qualifiée d’importante sur la base de deux critères : Nombre de salariés, CA/Bilan Annuel
Les entreprise ayant un nombre d'employé >= 250  
ou un CA > à 50 Millions € 
ou un bilan annuel >= à 43 millions €


Les sanctions 

  • jusqu’à 10 millions € ou2 % du chiffre d’affaires mondial pour les entités essentielles 
  • Jusqu'à 7 millions d'€ ou 1,4 % du chiffre d’affaires mondial pour les autres entités hautement critiques.

les 10 mesures obligatoires

  1. Analyse des risques cyber encourus et des politiques de sécurité en place.
  2. Mise en place d’un système de gestion de la sécurité de l’information (SMSI).
  3. Définition d’une politique de sécurité de l’information (PSI).
  4. Mise en place de mesures techniques et organisationnelles pour garantir la sécurité des réseaux et des systèmes d’information.
  5. Mise en place de mesures de protection contre les attaques informatiques.
  6. Mise en place de mesures de détection et de réponse aux incidents de sécurité.
  7. Mise en place de mesures de continuité d’activité et de gestion de crise.
  8. Mise en place de mesures de coopération et de coordination avec les autorités compétentes.
  9. Formation et sensibilisation des employés à la sécurité de l’information.
  10. Déclaration obligatoire des incidents de sécurité (failles informatiques et incidents potentiels), sous un délai de 24 heures.

Conclusion

Et comme une réglementation n’arrive jamais seule… DORA, LPM2024, CyberScore, LOPMI et autre futur texte sur l’IA vont emboîter le pas ! Ces textes partagent ou partageront de nombreuses similitudes avec NIS 2. 

La mutualisation des mises en conformités est plus que jamais nécessaire. Ça tombe bien, c’est un vecteur de gains de temps et d’argent. Alors démarrons la conformité dès à présent. 

Et n’attendez pas d’être désigné par arrêté. Cette fois-ci, cela n’arrivera pas : cela sera à vous de vous faire reconnaître auprès de l’ANSSI !



Commentaires
* L'e-mail ne sera pas publié sur le site web.