La directive NIS 2 étend son périmètre d’application, obligeant plus d’entités et de secteurs à appliquer stricto sensu ses principes. Le présent article offre une synthèse des principaux enjeux qui découlent de la mise en conformité à NIS 2.
Quels sont les apports notables de NIS 2 ?
Le premier apport majeur du texte repose sur l’extension de son champ d’application. De nouveaux secteurs sont impactés - tels que l’énergie, les transports, les banques, la santé, les administrations publiques, les infrastructures numériques ou encore le secteur spatial. L’élargissement des secteurs impliqués par NIS 2 démontre la propension des élus européens d’enraciner un cadre législatif prônant la résilience de l’ensemble des secteurs clés de l’économie, dont les entreprises sont au cœur de cet écosystème. Chaque État membre devra avoir communiqué une liste de ses entités essentielles et importantes au plus tard le 17 avril 2025. Cette liste devra être régulièrement examinée, au minimum tous les deux ans. NIS 2 apporte également une seconde évolution majeure : « l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes ». Le secteur privé est également impliqué, puisque NIS 2 vise également à renforcer la cybersécurité des entreprises, de la petite PME aux géants du CAC40.Quelles sont les mesures de cybersécurité prioritaires introduites par NIS 2 ?
Selon la Directive (article 21), les entreprises concernées doivent mettre en œuvre un socle de cybersécurité basé sur dix mesures orientées principalement autour de :- La sécurité d’exploitation : sécurité des réseaux et des Systèmes d’Information, politiques et procédures liées à l’utilisation du chiffrement, solutions d’authentification multi-facteurs ;
- La gestion des incidents: signalement des incidents de sécurité sous 24h, traitement des incidents ;
- La mise en place de contrôles renforcés: tests d’intrusions et scans de vulnérabilités, afin d’analyser et d’évaluer l'efficacité des mesures de sécurité déployées au sein des entreprises, déploiement de politiques relatives à l’analyse de risques ;
- La sécurité de la chaîne d’approvisionnement: travaux de due diligence sur la chaîne d’approvisionnement - third-parties assessment ;
- La sensibilisation de l’ensemble des parties prenantes: formation et sensibilisation des collaborateurs et dirigeants à la cybersécurité.
Vers un renforcement de la collaboration européenne ?
Côté européen, l’accent est porté sur la collaboration entre États : NIS 2 a instauré le Cyber Crises Link Organisation Network (CyCLONe), réseau européen d’organisations de liaison en cas de crises de cybersécurité. Sa mission principale sera de soutenir la gestion coordonnée lors des crises et incidents majeurs en matière de cybersécurité dans l’Union. De son côté l’ENISA, l’agence de l'Union européenne pour la cybersécurité, devra tenir un registre complet de toutes les vulnérabilités constatées dans les pays membres de l’Union - ainsi que produire tous les deux ans un rapport sur l’état de la cybersécurité dans l’Union.Quelles sont les sanctions prévues en cas de non-conformité ?
D’ici à l’entrée en vigueur de NIS 2 au deuxième semestre 2024, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre. Au-delà de cette date, l’article 34 de la directive NIS 2 prévoit des amendes administratives « d’un montant maximal s’élevant à, au moins, 7 millions d’euros ou à, au moins, 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise ». La Commission européenne indique également vouloir engager la responsabilité des dirigeants en cas d’infraction. La directive NIS 2 implique ainsi une notion de responsabilité du top management en matière de sécurité, garantissant ainsi une meilleure gouvernance. A cet effet, l’article 20 stipule que les organes de direction se doivent d’approuver et de superviser la mise en œuvre de mesures de sécurité, ainsi que de suivre des formations régulièrement (y compris les collaborateurs).Quelles sont les étapes clés pour une entreprise dans la mise en œuvre de NIS 2 ?
Les cinq grandes étapes dans l’application de NIS 2 reposent notamment sur :- La mise en œuvre d’une feuille de route SSI chiffrant les principaux chantiers à mettre en œuvre afin d’être conforme à la directive NIS 2 et les coûts induits ;
- La sensibilisation du top management à leurs rôles et aux amendes prévues en cas de non-respect des exigences prévues par NIS 2 (ainsi que la sensibilisation des collaborateurs) ;
- L’application des exigences de la directive NIS 2, notamment l’implémentation d’un plan de gestion de crise et de continuité d’activité, l’évaluation de la chaîne d’approvisionnement ;
- L’élaboration de son SMSI en fonction des exigences NIS 2 ;
- La revue de l’intégralité des mesures de sécurité implémentées via des audits techniques réguliers.
Par Julia JUVIGNY-NALPAS, consultante sécurité GRC chez Synetis