Face à la multiplication des cybermenaces, exposant davantage les Systèmes d’Information à des risques d’attaques numériques, une action réglementaire forte au niveau européen s’est révélée plus que nécessaire.
En réponse à cette situation, la Directive NIS2 (Network and Information Security) a donc été adoptée et publiée au Journal Officiel de l’Union européenne. Cette directive succède à la NIS1 et établit un cadre réglementaire renforcé pour la sécurité des réseaux et des systèmes d’information. Son objectif est non seulement d’harmoniser les pratiques de cybersécurité à travers l’Union européenne, mais également d’étendre son champ d’application pour inclure un plus grand nombre d’entités, couvrant ainsi davantage de secteurs d’activité.
L’application de la Directive NIS 2 représente toutefois un défi de taille et nécessite un effort commun des 27 pays membres pour parvenir à aligner les mesures qu’elle impose avec les législations nationales d’ici octobre 2024. En parallèle, elle représente l’occasion pour divers secteurs et organisations de renforcer leurs défenses contre les cyberattaques, et favorise une coopération internationale plus efficiente au niveau de la gestion des crises cyber.
Mais quelles sont précisément les organisations concernées, et comment peuvent-elles se préparer à la directive NIS2 ? Eclairages dans cet article.
La Directive NIS2, qu’est-ce que c’est ?
La directive NIS initiale, établie en 2016, représentait le premier cadre législatif européen dédié à la cybersécurité. Son objectif était d’obliger les États membres à identifier les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) et à instaurer de nouvelles obligations en matière de sécurité informatique pour les réguler, notamment en ce qui concerne la notification des incidents.
La mise en œuvre de cette directive a cependant été marquée par un manque de cohésion entre les Etats membres, certaines organisations étant qualifiées de « services essentiels » dans certains pays, mais pas dans d’autres. Pour y remédier, la Commission européenne a révisé la directive NIS pour donner naissance à NIS2. Une mesure qui, en plus de clarifier quels sont les organismes concernés, s’étend désormais à de nouveaux secteurs d’activités.
Qui est concerné par NIS2 ?
La directive NIS2 concerne les entités opérant dans 18 secteurs d’activité spécifiques, eux-mêmes décomposés en sous-secteurs hautement critiques et critiques. La directive introduit aussi d’autres critères notamment celui de taille, ainsi les premières entités concernées sont les entités essentielles et importante (plus de 50 employés, avec un chiffre d’affaires dépassant 10 millions d’euros). Des critères qui englobent ainsi différentes tailles d’organismes, comme des collectivités territoriales, des PME ou des grandes entreprises.
Quels secteurs d’activité ?
Alors que la Directive NIS1 s’appliquait à 7 secteurs, cette mise à jour l’étend donc au nombre de 18 secteurs d’activité, décomposés en sous-secteurs.
Jusqu’ici, les 7 secteurs inclus regroupaient divers domaines tels que la santé, l’énergie, les transports, les infrastructures de marchés financiers, banques, fourniture et distribution d’eau potable, Infrastructures numériques.
Quant à la NIS2, elle élargit son champ d’application pour inclure également les services postaux et de livraison, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques (cloud, data center) …
Comment sont définies les entités essentielles ?
Les entités considérées comme essentielles ou importantes font partie des 18 secteurs ciblés et sont définies comment étant des infrastructures dont l’interruption aurait un impact sur l’économie et le bon fonctionnement du pays. De manière générale, les entreprises de taille intermédiaire (ETI) et les grandes entreprises répertoriées sur la liste des opérateurs de services essentiels (OSE) seront désormais classées comme des entités essentielles.
Elles seront identifiées dès la publication du décret de cette directive au niveau national. Chaque Etat membre a également la liberté d’ajouter certaines entités à sa liste nationale. Cela peut notamment concerner les administrations locales, les établissements d’enseignement ou encore les organisations qui, certes n’atteignent pas le seuil de taille fixé, mais sont considérées comme critiques pour l’Etat. Les gouvernements disposeront ainsi de 27 mois pour déterminer leur liste d’entités essentielles après l’entrée en vigueur du décret.
Quelles sont les obligations de la Directive NIS2 ?
La Directive NIS2 introduit des obligations renforcées en matière de signalement des incidents, l’un des plus grands changements étant la nécessité de signaler ceux considérés comme « importants » dans un délai de 24 heures. Pour assurer une cohérence dans l’interprétation de leur importance, la Commission européenne définira les cas concernés, mais la portée de ces incidents sera vraisemblablement étendue. Les entités essentielles doivent notifier les incidents aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ou à leur autorité compétente en respectant un processus en trois étapes :
- Une alerte précoce dans les 24 heures suivant la connaissance de l’incident ;
- Une notification complète dans les 72 heures, incluant une évaluation initiale ;
- Un rapport final détaillé dans un mois, comprenant une description complète de l’incident, du type de menace et de son impact.
De plus, NIS2 exige la mise en place de mesures de gestion des risques dans divers domaines :
- Les politiques d’analyse des risques et de sécurité des systèmes d’information ;
- La continuité des activités ;
- La sécurité de la chaîne d’approvisionnement ;
- Les pratiques de cyber-hygiène ;
- L’utilisation de la cryptographie ;
- La sécurité des ressources humaines ;
- Les politiques de contrôle d’accès.
Comment bien se préparer ?
Pour se préparer à la directive NIS2, il est tout d’abord essentiel de bien comprendre si votre organisation est concernée. Si c’est le cas, voici quelques étapes clés à suivre :
- Identification des risques de cybersécurité : c’est une priorité absolue. Vous devez comprendre quels sont les risques spécifiques à votre établissement et à votre secteur d’activité.
- Mise en place d’une stratégie de cybersécurité : cela implique notamment la création de politiques pour gérer les mots de passe, l’identité et l’accès, et le contrôle des applications.
- Sécurité de la chaîne d’approvisionnement : vous devez vous assurer que tous les éléments de votre chaîne d’approvisionnement sont sécurisés.
- Préparation à la communication des incidents : vous devez être prêt à communiquer rapidement et efficacement avec les autorités compétentes en cas d’incident de cybersécurité.
- Pour chaque étape, il est recommandé de faire appel à des experts en cybersécurité pour vous aider à mettre en place les mesures appropriées.
Expert en systèmes d’information et cybersécurité, Netsystem aide les entreprises et organisations publiques à mettre en place des mesures de sécurité adaptées à leurs besoins, et à se conformer aux réglementations en vigueur. Vous souhaitez vous faire accompagner pour vous préparer à la directive NIS2 et sécuriser votre SI ? Contactez-nous !