Présentation de la NIS 2 : changements, exigences et préparation

NIS 2 est la deuxième version de la Network and Information Systems Directive (directive sur les réseaux et les systèmes d’information). Cette législation historique sur la cybersécurité vise à établir un niveau plus élevé de cyber-résilience au sein des organisations de l’Union européenne (UE), en particulier les opérateurs des infrastructures critiques et des services essentiels.

Le nom exact de cette législation est « NIS 2 ». Cependant, vous pouvez rencontrer les termes « conformité NIS2 » ou « Directive NIS2 » dans des documents officiels. Les deux sont acceptables, mais la première option est celle qui est publiée au Journal officiel de l’Union européenne.

En tant que règlement européen, chaque État membre doit transposer la directive NIS dans sa législation nationale respective d’ici le 17 octobre 2024, date à laquelle toutes les entités couvertes seront légalement obligées de se conformer à ses exigences de sécurité. Plus simplement, cela signifie que toutes les nations de l’UE devront rendre le règlement juridiquement contraignant dans leur propre pays afin de pouvoir l’appliquer.

Au niveau national, la NIS 2 vise à stimuler la cybersécurité globale par les mesures suivantes :

1. Obliger chaque État membre de l’UE à se préparer à une éventuelle cybermenace en se dotant d’une équipe d’intervention en cas d’incidents de sécurité informatique (CSIRT) et d’une autorité nationale compétente en matière de réseaux et de systèmes d’information.
2. Renforcer la collaboration entre les États membres en créant un groupe de coopération pour l’échange d’informations. 
3. Favoriser une culture de la cybersécurité dans les secteurs d’infrastructures critiques qui dépendent fortement des technologies de l’information et de la communication.

En bref, la NIS 2 entend garantir que les entités concernées dans l’ensemble de l’UE sont prêtes à atténuer les menaces grâce à des mesures de sécurité appropriées, à la surveillance des menaces et à de bonnes pratiques.

Pourquoi la NIS 2 est-elle importante ?

La NIS 2 représente une nette amélioration par rapport à la directive NIS originale. Historiquement, la NIS 1 a été la première législation européenne en matière de cybersécurité et visait également à renforcer la cyber-résilience dans cette région.

Bien qu’elle ait réussi à déclencher un changement de mentalité et à améliorer la protection des données, elle a néanmoins été confrontée à des défis. Peu de temps après sa mise en œuvre, les taux d’adoption ont été variables dans l’Union européenne. Certaines entreprises sont considérées comme essentielles dans certains pays, mais pas dans d’autres. Ces incohérences n’ont apporté que confusion et fragmentation dans cette conformité qui se voulait uniforme.

Parallèlement, les risques ont considérablement évolué depuis 2016. À l’échelle mondiale, la cybercriminalité se développe si rapidement que si sa puissance était mesurée comme celle d’un pays, elle représenterait la troisième économie du monde. De nouveaux vecteurs d’attaque, de plus en plus sophistiqués, menacent les entreprises, notamment avec l’arrivée de l’intelligence artificielle (IA).

Les escroqueries par hameçonnage basées sur l’IA, par exemple, apprennent à tromper les utilisateurs peu méfiants et à voler leurs identifiants de connexion en toute simplicité. Et avec l’avènement de l’informatique quantique, ce n’est qu’une question de temps avant que les pirates puissent déchiffrer de nombreux algorithmes cryptographiques utilisés aujourd’hui.

Bien entendu, la géopolitique ne fait qu’ajouter à la complexité. La guerre menée par la Russie en Ukraine a donné lieu à des cyberattaques à motivation politique, financées par l’État. Selon l’Agence de l’Union européenne pour la cybersécurité (ENISA), en 2022, la grande majorité de ces attaques visait les administrations publiques et les gouvernements, ainsi que les fournisseurs de services numériques et les infrastructures critiques.

Face à ces problèmes, la Commission européenne a décidé de réviser la directive NIS. La deuxième version ne se contente pas d’aborder la question de la mise en œuvre unifiée, elle place également la barre plus haut en matière de cyber-résilience, en phase avec l’évolution des cybermenaces.

La directive NIS actualisée corrige les lacunes de son prédécesseur et accroît considérablement sa portée. Plus spécifiquement, elle apporte les modifications suivantes :

• Élargissement du champ d’application à d’autres secteurs
• Sanctions plus sévères imposées en cas de non-conformité
• Exigences plus strictes en matière de cybersécurité

Examinons de plus près les principales différences entre la première et la deuxième version de la directive NIS.

Champ d’application élargi

La directive NIS initiale s’appliquait aux « opérateurs de services essentiels » et aux « fournisseurs de services numériques ». Aujourd’hui, cette distinction n’existe plus. 

Les entités concernées sont plutôt classées par taille et par type. D’une manière générale, la NIS 2 concerne toutes les organisations qui fournissent des « services essentiels ou importants » à l’Union européenne. Le nombre de secteurs couverts passe ainsi de sept à quinze, ce qui permet de protéger davantage d’aspects essentiels de la société européenne.

Une entité essentielle est classée comme une grande entreprise qui opère dans un secteur critique, comme ceux listés ci-dessous. Dans ce cas, une grande entité est définie comme ayant au moins 250 employés, un chiffre d’affaires annuel d’au moins 50 millions d’euros ou un bilan annuel d’au moins 43 millions d’euros. Selon la NIS 2, les services essentiels concernent ces secteurs :

• Énergie
• Transport
• Finance
• Administration publique
• Santé
• Spatial
• Approvisionnement en eau (potable et usée)
• Infrastructure numérique

En revanche, une entité importante est une entreprise de taille moyenne opérant dans des secteurs hautement critiques qui n’entrent pas dans la catégorie des services essentiels. Ces entreprises ont généralement au moins 50 employés, un chiffre d’affaires annuel d’au moins 10 millions d’euros ou un bilan de 10 millions d’euros. Dans le cadre de la NIS 2, les entités importantes incluent ces secteurs :

• Services postaux
• Gestion des déchets
• Produits chimiques
• Recherche
• Alimentation
• Fabrication
• Fournisseurs numériques

Certains des secteurs susmentionnés semblent se rejoindre, comme l’infrastructure numérique et les fournisseurs de services numériques. Le premier fait référence aux services cloud, aux opérateurs de télécommunications, aux centres de données, aux services de confiance, etc. En bref, il englobe toute entité qui fournit un service numérique essentiel au fonctionnement de la société.

Les fournisseurs numériques comprennent des services plus spécifiques, tels que les moteurs de recherche, les marchés en ligne et les réseaux sociaux. Ils sont indispensables pour communiquer et effectuer des transactions, mais les conséquences d’un cyberincident qui les rendrait inopérants ne seraient pas forcément dramatiques.

Mais qu’en est-il des opérateurs basés en dehors de l’UE ? En vertu de l’article 26 de la NIS 2, les entités essentielles et importantes relèvent de la juridiction de l’État membre de l’UE dans lequel elles fournissent leurs services. Si l’entité fournit des services dans plus d’un État membre, elle doit relever de la juridiction de chacun d’entre eux.

Sanctions plus sévères en cas de non-conformité

La NIS 2 prévoit des sanctions beaucoup plus sévères en cas de non-conformité, notamment :

1. Sanctions non monétaires

La NIS 2 confère aux autorités nationales de contrôle le pouvoir de faire appliquer :

• Ordonnances de conformité
• Instructions contraignantes
• Audits de sécurité
• Ordonnances de notifier les menaces

2. Amendes administratives

Les amendes peuvent varier en fonction de l’État membre, mais la directive NIS établit une liste minimale de sanctions. 

• Pour les entités essentielles, l’État membre doit prévoir une amende maximale d’au moins 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
• Si une entité importante enfreint la directive, l’État membre doit lui infliger une amende maximale d’au moins 7 000 000 € ou de 1,4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

3. Sanctions pénales à l’encontre des organismes de gestion

Plutôt que de faire peser toute la pression de la conformité à la NIS 2 sur les départements informatiques, la directive prévoit de nouvelles sanctions qui rendent les organismes de gestion personnellement responsables de négligence grave en cas d’incident lié à la cybersécurité. Par exemple, une autorité compétente peut interdire temporairement à des cadres d’occuper des postes de direction. Elle peut également ordonner aux organisations de divulguer les violations de conformité et de faire une déclaration publique identifiant la ou les personnes responsables de l’incident.

Des exigences plus strictes

Enfin, la NIS 2 renforce considérablement les exigences en matière de cybersécurité pour les entités concernées. D’une manière générale, elle impose la notification précoce des incidents, une gestion élargie des risques et une série de mesures de sécurité minimales.

Qu’est-ce que cela signifie ? Voyons plus en détail les exigences exactes de la NIS 2.

La nouvelle directive renforce la cyber-résilience en introduisant des obligations dans quatre domaines :

Gestion des risques

Les entreprises doivent adopter des mesures de gestion des risques liés à la cybersécurité afin de minimiser la probabilité et l’impact des différents vecteurs de cybermenaces. Plus précisément, elles doivent mettre en œuvre des mesures de précaution techniques, opérationnelles et organisationnelles pour atténuer les risques affectant leur réseau et leurs systèmes d’information, afin de mieux protéger les données. Il peut s’agir de procédures de gestion des incidents, d’un renforcement de la sécurité de la chaîne d’approvisionnement, de systèmes de contrôle d’accès et de chiffrement.

Gouvernance d’entreprise

Les organismes de gestion sont chargés de superviser et d’approuver les protocoles de gestion des risques de cybersécurité de leurs organisations respectives et doivent veiller à ce qu’ils soient mis en œuvre de manière efficace.

Conformément à l’article 20, les États membres doivent « veiller à ce que les membres des organismes de gestion des entités essentielles et importantes soient tenus de suivre une formation » et les encourager à proposer systématiquement des programmes de formation similaires à leurs employés. L’objectif est de permettre à tous les membres d’une organisation donnée d’identifier les risques et de minimiser l’exposition au mieux de leurs capacités.

Signalement des incidents

Les entités critiques doivent établir des procédures pour signaler rapidement les incidents de sécurité qui affectent de manière significative leur prestation de services et/ou leurs utilisateurs. Selon la classification NIS 2, un incident de sécurité « important » est un incident qui :

• a entraîné ou peut entraîner de graves perturbations opérationnelles dans un secteur critique ;
• a affecté ou peut affecter d’autres personnes physiques ou morales en leur causant des dommages considérables.

Les entités doivent avertir l’autorité compétente de leur État membre (y compris le CSIRT) au plus tard 24 heures après avoir eu connaissance du cyberincident. Elles doivent également rédiger un rapport complet au plus tard 72 heures après et un rapport final un mois après l’envoi du document initial.

Continuité des activités

La NIS 2 révisée vise à garantir la continuité des activités après une attaque. Les entités sont tenues d’élaborer une stratégie crédible détaillant leur réponse et leur reprise d’activité à la suite de tels incidents, dans le but de minimiser rapidement les perturbations. Par conséquent, la NIS 2 met l’accent sur l’adoption de solutions de sauvegarde dans le cloud.

10 mesures de base en matière de cybersécurité

L'article 21 définit dix mesures de sécurité de base à mettre en œuvre pour préserver les quatre domaines primordiaux de l’entreprise. Elles reposent sur une « approche tous risques » qui vise à atténuer les vecteurs de menace les plus probables.Voici la liste :

1. Politiques en matière d’analyse des risques et de sécurité des systèmes d’information
2. Plans d’intervention en cas d’incident pour faire face aux menaces actives
3. Plans de continuité des activités, tels que les procédures de sauvegarde, de reprise après sinistre et de gestion de crise
4. Sécurité de la chaîne d’approvisionnement, y compris les mesures protégeant les relations entre les entreprises et leurs fournisseurs directs ou prestataires de services
5. Sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
6. Politiques et procédures visant à évaluer l’efficacité des mesures de gestion des risques liés à la cybersécurité
7. Formation à la sensibilisation, à l’hygiène et aux meilleures pratiques en matière de cybersécurité
8. Politiques relatives à l’utilisation de la cryptographie et du chiffrement
9. Procédures de contrôle d’accès, en particulier pour les employés ayant accès à des données sensibles
10. Authentification multifactorielle, surveillance continue et systèmes de communication sécurisés

Outre la NIS 2, les opérateurs de l’UE devront se conformer à de nombreuses autres réglementations, notamment :

• Loi sur la résilience opérationnelle numérique (DORA, Digital Operational Resilience Act)
• Directive sur la résilience des entités critiques (CER, Critical Entities Resilience)
• Loi sur la cyber-résilience (CRA, Cyber Resilience Act)

Quels sont les points communs entre ces législations ? Étudions cela en détail :

Comparatif : NIS 2 et DORA

La NIS 2 et la DORA réglementent toutes deux la cybersécurité, mais leurs objectifs sont légèrement différents. La DORA est spécifiquement axée sur le secteur financier, tandis que la NIS 2 couvre un éventail plus large d’organisations.

Conformément à l’article 4, paragraphes 1 et 2, de la directive NIS, les dispositions de la DORA relatives à la gestion et au signalement des risques liés aux TIC, aux tests de résilience opérationnelle numérique, au partage d’informations et aux risques tiers s’appliquent en lieu et place des dispositions de la NIS 2. En d’autres termes, les entités financières doivent se référer à la DORA pour ces domaines et à la NIS 2 pour toutes les autres exigences.

En définitive, pour les entités financières, les dispositions de la DORA prévalent sur celles de la NIS 2 concernant les mesures de sécurité susmentionnées.

Comparatif : NIS 2 et directive CER

La directive CER s’adresse aux entités critiques, telles que les fournisseurs d’énergie et de transport, et leur fournit des instructions pour se prémunir des risques non liés à la cybercriminalité. Bien que la NIS 2 se concentre sur la cybersécurité, les deux directives sont susceptibles de couvrir les mêmes entités. Dans ce cas, les organisations devront se conformer aux deux, en tenant compte à la fois de la cyber-résilience et de la résilience physique.

Les entités critiques doivent se conformer à la NIS 2 en ce qui concerne la cybersécurité et à la directive CER pour les incidents non liés à la cybercriminalité.

Comparatif : NIS 2 et CRA

La Cyber Resilience Act est une proposition de loi sur la cybersécurité des produits matériels et logiciels comportant des éléments numériques, tels que les appareils IoT (Internet des objets). Alors que la NIS 2 vise à améliorer la posture de sécurité des entreprises elles-mêmes, la CRA exige des sociétés qu’elles assurent en priorité la sécurité des produits qu’elles fabriquent ou vendent. 

D’une manière générale, la CRA complète la NIS 2, mais ne recoupe pas ses domaines ni ne prévaut sur ses dispositions. Par conséquent, les entités peuvent être soumises aux deux règlements.

La conformité à la NIS 2 vous préoccupe ? N’ayez crainte : nous sommes là pour vous aider.

Entrust se charge de la cybersécurité et de la protection des données. Notre portefeuille comprend toutes les solutions de conformité dont vous avez besoin :

• Modules matériels de sécurité (HSM) : Les HSM nShield d’Entrust offrent un environnement sécurisé pour la génération, la gestion et la protection des clés cryptographiques, qui sont essentielles pour protéger les données sensibles et garantir l’intégrité des transactions numériques. 
• Gestion de la posture de sécurité du cloud : Nos outils de sécurité complets aident les organisations à gérer leur posture de sécurité dans les environnements cloud grâce à une surveillance continue, une détection automatisée des menaces et bien plus encore.
• Gestion des identités et des accès (GIA) : Nous fournissons des solutions GIA qui permettent aux organisations de s’assurer que seuls les utilisateurs autorisés peuvent accéder aux informations sensibles, fournissant ainsi une base solide pour la sécurité Zero Trust.
• Public Key Infrastructure (PKI) : Les solutions PKI d’Entrust fournissent un cadre pour sécuriser les communications et les transactions, gérer les certificats numériques et garantir l’authenticité des identités numériques, autant d’éléments importants pour la conformité à la NIS 2.

Globalement, les offres d’Entrust constituent une suite complète d’outils permettant aux organisations de renforcer leur stratégie en matière de cybersécurité, à se protéger contre les menaces et à se conformer aux exigences de la directive NIS 2.