La directive Européenne NIS 2 entrera en application à partir du 18 octobre 2024. Cette dernière répond à un besoin d’homogénéité important entre les différents États membres de l’UE ainsi qu’à une élévation du niveau de protection cyber des entreprises. On vous explique tout !
Pourquoi cette nouvelle directive Européenne ?
NIS 2 est une évolution de la directive NIS 1 qui concernait la sécurité des réseaux et des systèmes d’information pour environ 300 entités désignées « Opérateurs de Services Essentiels » (OSE) mise en œuvre en 2018.
Cette directive avait pour objectif de renforcer les capacités de coopération à l’échelle Européenne avec :
• Une uniformisation pour les États membres afin de définir une stratégie nationale commune.
• L’obligation de définir une autorité nationale compétente. En France, c'est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui a la charge de transposer la directive européenne en droit français.
• De mettre en place un groupe de coopérations
• De créer un CSIRT (une équipe spécialisée dans la gestion des incidents de sécurité informatique) commun.
Une évolution de cette première directive a été décidée par l’Union européenne pour principalement 2 raisons :
• Améliorer l’homogénéité entre les différents États membres de l’UE (certains pays ont transposé NIS 1 en l’appliquant à plusieurs dizaines de milliers d’entités, alors que d’autres quelques centaines…).
• Les menaces et les impacts associés ont fortement évoluées depuis 2016. À présent, les PME, ETI, collectivités sont tout autant ciblées que les grands groupes, et les conséquences des rançongiciels notamment sont assez dramatiques.
Face à ce constat, la Commission européenne a pris la décision fin 2020 d’étendre le périmètre et les ambitions de la directive NIS afin de couvrir des milliers d’entités à l’échelle nationale.
NIS 2 a donc pour objectif de rehausser le niveau de sécurité des systèmes d'information des entreprises de taille moyenne à la fois dans les secteurs privé et public contribuant à la chaîne d’approvisionnement du territoire au niveau national.
Qui est concerné ?
La directive européenne concerne au moins 10 000 entités en France.
NIS 2 intègre 2 typologies d’entités différentes :
• Les entités essentielles (EE)
• Les entités importantes (EI)
À cela, il faut appliquer 2 critères de sélections :
• Soit le nombre d’employés est > 50 pour les entités importantes et >250 pour les entités essentielles.
• Soit le chiffre d’affaires annuel est >10M€ pour les entités importantes et > 50M€ pour les entités essentielles.
Puis, on l’applique à des secteurs d’activité.
Les 18 secteurs concernés sont les suivants :
Les entités essentielles :
• L’énergie
• Les transports
• Le secteur bancaire
• Les infrastructures des marchés financiers
• La santé
• L’eau potable
• Les eaux usées,
• L’infrastructure numérique, à savoir :
o Fournisseurs de points d’échange internet
o Fournisseurs de services DNS
o Registres de noms de domaine de premier niveau
o Fournisseurs de services d’informatique en cloud
o Fournisseurs de services de centres de données
o Fournisseurs de réseaux de diffusion de contenu
o Prestataires de services de confiance
o Fournisseurs de réseaux de communications électroniques publics
o Fournisseurs de services de communications électroniques accessibles au public
• La gestion des services TIC (Service de l'information et de la communication en B2B) à savoir :
o Les fournisseurs de services gérés
o Les fournisseurs de services de sécurité gérés
• L’administration publique (Administration centrale)
• L'espace
Entités importantes :
• L’espace, les services postaux et d’expédition
• La gestion des déchets, la fabrication, production et distribution de produits chimiques
• La production, transformation et distribution des denrées alimentaires,
• La fabrication (dispositifs médicaux, informatique, électronique, optique, machine et équipements, automobile & autres matériels de transports),
• Les fournisseurs numériques
• La recherche
Quels impacts ?
NIS 2 prévoit les 10 mesures de sécurité :
• Les politiques relatives à l’analyse des risques et à la sécurité des SI
• La gestion des incidents avec notamment l’obligation de déclaration des incidents majeurs auprès de l’ANSSI
• La continuité des activités (sauvegardes, PRA, gestion des crises)
• La sécurité de la chaîne d’approvisionnement (fournisseurs & prestataires)
• La sécurité et l’acquisition, du développement et de la maintenance des SI
• Les politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
• Les pratiques de bases (cyberhygiène et formation à la cybersécurité)
• Des politiques et des procédures relatives à l’utilisation de la cryptographie
• La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
• L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelle sécurisées et de systèmes sécurisés de communication d’urgence
Quelles sanctions si une entreprise n’applique pas la directive ?
Les entités régulées seront soumises à une déclaration des incidents de sécurité majeurs dans un délai restreint auprès de l’ANSSI.
Tout comme la RGPD, le non respect de la directive pourra donner lieu à des sanctions financières fortes pouvant aller jusqu’à 10M€ ou 2 % du chiffre d'affaires mondial.
Vincent STRUBEL Directeur Général de l’ANSSI a récemment communiqué lors du FIC 2024 de nouveaux éléments concernant NIS 2 :
Les sanctions ne seront pas appliquées avant au moins 3 ans, le temps de la mise en conformité par les entités à compter de la publication de la transposition en France de NIS 2.
L’ANSSI assurera un rôle d’entité de contrôle, un organisme indépendant aura la charge de prendre la décision d’application des sanctions.
Les dates clés
L’échéance de la transcription de NIS 2 en droit national est fixée au 17 octobre 2024.
Une fois que l’ANSSI aura publié la transposition de NIS2, un délai de tolérance d'environ trois ans sera appliqué afin que les entités concernées puissent mettre en œuvre les mesures de sécurité attendues.
Passé ce délai, l’ANSSI pourra auditer les entités et faire délivrer des sanctions si des infractions sont constatées.
Exaprobe : notre accompagnement cybersécurité
Exaprobe dispose de l’expertise en cybersécurité pour vous accompagner à différents niveaux afin de vous aider à être en conformité avec les mesures prévues par NIS 2.
Cet accompagnement se traduit par l'implémentation de solutions techniques et des prestations techniques, de conseils, ou de services managés.
Prestations d'accompagnement possibles :
• Prestations d’accompagnement à la rédaction d’une PSSI
• Identification des risques : Audit de maturité Cyber
• Identification des risques : Audits d’architecture
• Identification des risques : Audits de configuration
• Prestation de conseil, design et mise en œuvre d’architectures résilientes
• Prestations de conseil sur la sécurité de la chaine d’approvisionnement
• Audits de configurations
• Pentests
• Prestations de formations aux bonnes pratiques Cyber (Phishing, gestion des mots de passes…)
• Prestations de bonnes pratiques d’exploitation des solutions techniques
• Prestations de conseil et d’accompagnement sur la mise en place de solutions cryptographiques et de chiffrement
• Prestations de conseil et d’accompagnement sur la mise en place de solutions de contrôle d’accès
• Prestations de conseil et d’accompagnement sur la mise en place de solutions MFA
• Prestations de conseil et d’accompagnement sur la sécurisation de leurs solutions de collaboration
Prestations de services possibles
• Service SOC avec détection et réponse aux incidents de sécurité (Go4Secu)
• Service de sensibilisation avec simulation de phishing (Go4Phishing)
• Service de sauvegarde de configuration des équipements d’infrastructure
• Service de maintien en condition opérationnel (MCO)
• Service d'assistance à l'exploitation
• Service de veille vulnérabilité
• Service de supervision
• Service de gouvernance
Nos recommandations
1) Vérifier si je suis concerné par NIS 2
Un portail a été mis en place par l’ANSSI afin de vérifier au travers d'un questionnaire simple si vous êtes éligible.
https://monespacenis2.cyber.gouv.fr/
2) S'enregistrer sur le portail si je suis concerné
S’enregistrer sur le portail de l’ANSSI si on est concerné pour communiquer sur l’avancement de sa conformité.
3) Anticiper les mesures et identifier les projets clés
Nous recommandons d’anticiper l’arrivée de cette directive sans attendre la transposition par l’ANSSI car nous connaissons dans les grandes lignes les mesures qui vont être appliquées.
Un premier audit de cartographie des 10 thématiques permet de situer son niveau de maturité sur chaque sujet.
Une fois cette phase d’analyse réalisée, un plan d’action pourra être établi afin de combler les principales carences constatées.