Déployée comme un véritable arsenal législatif pour les États membres de l’UE, notamment vis-à-vis des opérateurs de services essentiels et des fournisseurs de service numérique, la directive Network and Information Security - plus connue sous son acronyme NIS - a marqué une étape fondamentale dans le renforcement de la cybersécurité européenne. Adoptée en 2016 par le Parlement, ce texte a eu comme effet bénéfique l’augmentation de la collaboration et du partage d’information entre les différents États. Héritière de la première version de NIS, la nouvelle directive a été adoptée par le Parlement européen le 10 novembre 2022, puis publiée au Journal Officiel de l’Union européenne le 27 décembre 2022. NIS 2 ambitionne notamment de combler les écarts importants en matière de cybersécurité entre les pays, et le manque d’harmonisation des domaines soumis aux dispositions de la directive NIS. Ces écarts ont été relevés lors d’une analyse d’impact réalisée en 2020, conformément à l’article 23 de NIS 1 qui oblige la Commission à fréquemment réexaminer les dispositions. Parmi les écarts, on note l’absence de réponse commune en cas de crise, l’absence d’harmonisation des secteurs soumis aux dispositions de la directive NIS et, enfin, le faible - et inégal - niveau de cyber-résilience des entités suivant leur secteur d’activité.

La directive NIS 2 étend son périmètre d’application, obligeant plus d’entités et de secteurs à appliquer stricto sensu ses principes. Le présent article offre une synthèse des principaux enjeux qui découlent de la mise en conformité à NIS 2.  

Quels sont les apports notables de NIS 2 ?

Le premier apport majeur du texte repose sur l’extension de son champ d’application. De nouveaux secteurs sont impactés - tels que l’énergie, les transports, les banques, la santé, les administrations publiques, les infrastructures numériques ou encore le secteur spatial. L’élargissement des secteurs impliqués par NIS 2 démontre la propension des élus européens d’enraciner un cadre législatif prônant la résilience de l’ensemble des secteurs clés de l’économie, dont les entreprises sont au cœur de cet écosystème. Chaque État membre devra avoir communiqué une liste de ses entités essentielles et importantes au plus tard le 17 avril 2025. Cette liste devra être régulièrement examinée, au minimum tous les deux ans. NIS 2 apporte également une seconde évolution majeure : « l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes ». Le secteur privé est également impliqué, puisque NIS 2 vise également à renforcer la cybersécurité des entreprises, de la petite PME aux géants du CAC40.  

Quelles sont les mesures de cybersécurité prioritaires introduites par NIS 2 ?

Selon la Directive (article 21), les entreprises concernées doivent mettre en œuvre un socle de cybersécurité basé sur dix mesures orientées principalement autour de :
  • La sécurité d’exploitation : sécurité des réseaux et des Systèmes d’Information, politiques et procédures liées à l’utilisation du chiffrement, solutions d’authentification multi-facteurs ;
  • La gestion des incidents: signalement des incidents de sécurité sous 24h, traitement des incidents ;
  • La mise en place de contrôles renforcés: tests d’intrusions et scans de vulnérabilités, afin d’analyser et d’évaluer l'efficacité des mesures de sécurité déployées au sein des entreprises, déploiement de politiques relatives à l’analyse de risques ;
  • La sécurité de la chaîne d’approvisionnement: travaux de due diligence sur la chaîne d’approvisionnement - third-parties assessment ;
  • La sensibilisation de l’ensemble des parties prenantes: formation et sensibilisation des collaborateurs et dirigeants à la cybersécurité.

Vers un renforcement de la collaboration européenne ?

Côté européen, l’accent est porté sur la collaboration entre États : NIS 2 a instauré le Cyber Crises Link Organisation Network (CyCLONe), réseau européen d’organisations de liaison en cas de crises de cybersécurité. Sa mission principale sera de soutenir la gestion coordonnée lors des crises et incidents majeurs en matière de cybersécurité dans l’Union. De son côté l’ENISA, l’agence de l'Union européenne pour la cybersécurité, devra tenir un registre complet de toutes les vulnérabilités constatées dans les pays membres de l’Union - ainsi que produire tous les deux ans un rapport sur l’état de la cybersécurité dans l’Union.

Quelles sont les sanctions prévues en cas de non-conformité ?

D’ici à l’entrée en vigueur de NIS 2 au deuxième semestre 2024, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre. Au-delà de cette date, l’article 34 de la directive NIS 2 prévoit des amendes administratives « d’un montant maximal s’élevant à, au moins, 7 millions d’euros ou à, au moins, 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise ». La Commission européenne indique également vouloir engager la responsabilité des dirigeants en cas d’infraction. La directive NIS 2 implique ainsi une notion de responsabilité du top management en matière de sécurité, garantissant ainsi une meilleure gouvernance. A cet effet, l’article 20 stipule que les organes de direction se doivent d’approuver et de superviser la mise en œuvre de mesures de sécurité, ainsi que de suivre des formations régulièrement (y compris les collaborateurs).  

Quelles sont les étapes clés pour une entreprise dans la mise en œuvre de NIS 2 ?

Les cinq grandes étapes dans l’application de NIS 2 reposent notamment sur :
  1. La mise en œuvre d’une feuille de route SSI chiffrant les principaux chantiers à mettre en œuvre afin d’être conforme à la directive NIS 2 et les coûts induits ;
  2. La sensibilisation du top management à leurs rôles et aux amendes prévues en cas de non-respect des exigences prévues par NIS 2 (ainsi que la sensibilisation des collaborateurs) ;
  3. L’application des exigences de la directive NIS 2, notamment l’implémentation d’un plan de gestion de crise et de continuité d’activité, l’évaluation de la chaîne d’approvisionnement ;
  4. L’élaboration de son SMSI en fonction des exigences NIS 2 ;
  5. La revue de l’intégralité des mesures de sécurité implémentées via des audits techniques réguliers.
NIS 2 devrait permettre d’augmenter le niveau global de cybersécurité, et d’organiser la résilience des infrastructures publiques et privées à l’échelle européenne. La réussite de son application ne saurait être complète sans la mise en œuvre d’une approche holistique de la cybersécurité - passant par la mise en place de mesures organisationnelles et techniques, dont le RSSI en est le chef d’orchestre. Les principales actions à implémenter rapidement au sein des entreprises, reposent notamment sur la gestion de crise en cas d’incident, la continuité d’activité, l’audit technique ou encore la sensibilisation des parties prenantes - éléments indispensables dans la construction d’un socle de cybersécurité proactive.

Par Julia JUVIGNY-NALPAS, consultante sécurité GRC chez Synetis

ARTICLES SIMILAIRESPLUS DE L'AUTEUR