Secu

Directive NIS 2 : où en est-on vraiment ?

Par La rédaction, publié le 13 juin 2024

La directive NIS 2 est au cœur de bien des discussions, d’études et de préoccupations de RSSI et DSI. Tout le monde en parle… mais personne ne sait. Alors où en est-on vraiment ?

Par Jérôme Derouvroy, Directeur Technique, Gouvernance, Risque et Conformité de l’intégrateur français Nomios

L’Europe a décidé de faire évoluer la Directive NIS (Network and Information Security) pour élever le niveau de sécurité d’un grand nombre d’organisations européennes et établir un niveau de maturité homogène au sein des pays de l’UE.

La nouvelle Directive NIS 2 est donc une extension de NIS en vigueur depuis 2016 et qui concernait environ 300 entités dont les activités étaient considérées comme essentielles pour la Nation. NIS 2 va donc étendre ce périmètre à des milliers d’organisations (privées et publiques) qui vont elles aussi devoir faire évoluer leur cybersécurité pour répondre à un nombre important de nouvelles exigences.

Problème, à ce jour et alors que les organisations vont devoir se préparer « rapidement » : tout le monde parle de la nouvelle version de NIS mais personne ne sait quelles seront concrètement les nouvelles mesures exigées.

Il y a cela dit une nouveauté que nous connaissons déjà… et elle change déjà beaucoup à elle seule : NIS 2 va instaurer des « sanctions » et frapper au porte-monnaie les organisations dont le niveau de cybersécurité sera pris en défaut !

Voici un point sur ce que nous savons vraiment et ce sur quoi nous pouvons déjà nous avancer.

Qui est concerné ?

La directive NIS 2 va concerner des Entités Importantes (EI) et les Entités Essentielles (EE). Alors que NIS concernait environ 300 Opérateurs de Services Essentiels (OSE), NIS 2 va s’adresser à plus de 10 000 EI et EE en France, mais aussi – et c’est nouveau – à leurs prestataires, ayant un accès aux infrastructures des entreprises EI et EE concernées en premier lieu. De quoi faire largement doubler le nombre d’entreprises soumises à NIS 2.

Les EI et EE sont des organisations de plus de 50 salariés réalisant plus de 10 millions d’euros de chiffre d’affaires et sont issues des 18 secteurs identifiés par NIS, répartis en 2 catégories : secteurs hautement critiques ou secteurs critiques, parmi lesquels l’énergie, les transports, la santé et le pharmaceutique, le spatial, les banques et institutions financières ou encore les administrations publiques.

Pour savoir si vous êtes concernées par NIS 2, vous pouvez consulter l’espace NIS 2 mis en place par l’Etat : Mon Espace NIS2 – Pour bien débuter (cyber.gouv.fr)

Le saviez-vous ?

La France a inspiré la 1ère version de NIS avec sa Loi de Programmation Militaire (qui imposait des exigences de cybersécurité à des organismes dont les activités étaient et sont encore identifiées comme vitales pour la Nation – autrement appelés OIV) mais l’adoption et la transposition de NIS 1 ont été libre pour chaque pays et la France a plutôt limité le nombre d’entités concernées par rapport à certains autres pays européens. A titre de comparaison, NIS 1 concernait plus de 10 000 « OSE » en Finlande, 1250 au Portugal, entre 550 et 600 en et en Italie. Ces pays ont finalement pris de l’avance pour la Directive V2…

Les échéances ?

Nous entendons souvent parler de la date du 17 octobre 2024 pour l’entrée en vigueur de NIS 2 mais cette date est la date limite pour la transposition du texte dans la loi nationale. Chaque pays aura ensuite jusqu’au 17 janvier 2025 pour informer la Commission européenne des règles et mesures adoptées, puis jusqu’au 17 avril 2025 pour déposer la liste des EI et EE concernées. Donc (pas de panique) la vraie mise en conformité n’est pas attendue avant un peu moins d’un an, voire même un peu plus si on en croit les éléments distillés par le DG de l’ANSSI, Monsieur Vincent Strubel au FIC de Lille. Reste également à savoir si le calendrier de la transposition de NIS 2 ne va pas subir un retard à la suite de la dissolution de l’Assemblée Nationale il y a quelques jours et qui a pour impact immédiat la mise à l’arrêt de tous les travaux parlementaires… La date butoir du 17 octobre reste valable, mais espérons que les députés nouvellement élus prendront rapidement et sérieusement le sujet en main !

Les sanctions ? Quel référent Étatique ?

NIS 2 va frapper fort, et a prévu des sanctions dissuasives : c’est fait exprès ! En cas de violation des articles 21 (les mesures de gestion des risques cyber) et 23 (obligation d’information), les EI pourront se voir infliger une amende de 7 millions d’euros ou 1,4% de leur chiffre d’affaires mondial, et les EE de 10 millions d’euros ou 2% de leur CA mondial.

En revanche, tant que nous n’avons pas la transposition de la Directive en droit français, nous ne savons toujours pas quelle sera l’autorité française compétente pour sanctionner. Très vraisemblablement, cela devrait être l’ANSSI ou un nouvel organisme qui lui sera affilié.

Notons que le but de NIS 2 est d’élever le niveau de cybersécurité des organisations et donc de les aider à faire face aux attaques. Le but premier n’est clairement donc pas de sanctionner d’une amende des entreprises déjà victimes d’une cyberattaque. Il y a donc fort à parier que l’ANSSI, ou son organisme référent, sanctionnera en premier lieu les entreprises qui ne joueraient pas le jeu et auraient tenté de dissimuler une cyberattaque en choisissant de ne pas alerter.

Comment s’y préparer ?

Le conseil que nous pouvons adresser aux EI et EE est donc en premier lieu de se doter en des capacités de détection pour pouvoir alerter, et de mettre en place les règles de base d’hygiène cyber.

En attendant les mesures concrètes, les entreprises peuvent s’inspirer de la version initiale de NIS ou, mieux encore, en atteignant la conformité ISO 27001

Si nous ne connaissons pas encore les mesures NIS 2, nous savons quand même par où commencer pour anticiper les futures exigences ! Cela va de soi mais se mettre en conformité avec NIS 1 serait déjà un grand pas. Rappelons que NIS se compose de 4 chapitres (Gouvernance, Protection, Défense, Résilience) et 23 règles de sécurité détaillées dans l’arrêté du 14 septembre 2018.

Avec NIS 2, l’UE souhaite faire évoluer la protection des données européennes face aux menaces grandissantes sur plusieurs grands axes :

>> La gestion des risques (article 21)
>> Les obligations de déclaration et de partage d’informations (article 23)
>> La capacité de réponse aux incidents
>> La sécurité de la supply chain
>> Le chiffrement des données

Sur cette base, nous pouvons clairement imaginer le contour de NIS 2 et recommander aux entreprises la mise en place d’actions précises à savoir la réalisation d’une analyse de risque (audit), la mise en place d’une charte, et de 7 axes de cybersécurité :

>> Plan de gestion des incidents
>> Plan de continuité des activités avec gestion des sauvegardes
>> Plan de reprise d’activité
>> Plan de gestion de crise
>> Politiques et Procédures pour évaluer l’efficacité des mesures
>> Plan de formation cyber hygiène et cybersécurité
>> Politiques de contrôles d’accès et de gestion des actifs

Et pour les organismes déjà bien avancés et qui veulent aller encore plus loin, nous ne pouvons que leur recommander de se pencher sur la certification ISO 27001, qui est la référence en matière de gestion de la sécurité des données informatiques/ de l’information dans le monde.

Le monde de la cyber est tellement virulent que nous n’avons pas d’autre choix que de passer à l’étape supérieure. C’est l’objectif de NIS 2. Le point n’est pas tant de contraindre, mais d’inciter les organisations à se protéger face à une menace qu’elles ne comprennent pas forcément ni ne maitrisent par nature.

En revanche, ce qui est sûr, c’est que se mettre en conformité va demander du travail et des investissements financiers… C’est là l’un des enjeux clés de la préparation à NIS 2, faire accepter aux dirigeants que l’investissement est nécessaire.
Mais pour cela un argument devrait les convaincre : cela coûtera toujours moins cher qu’une crise cyber ou les conséquences d’une cyberattaque…

À LIRE AUSSI :