Adoptée en janvier 2023, la directive européenne NIS 2 imposera à partir du mois d’octobre 2024 à de nombreuses entreprises, dont les entreprises du secteur de la finance, l’obligation d’améliorer leurs mesures de sécurité afin de lutter contre toutes les formes de cyberattaques. NIS 2 a pour objectif de mettre en place un niveau de maturité cyber homogène au sein de toute l’Union Européenne.
Qu’est-ce qui change avec la directive NIS2 ?
La directive NIS 2 étend la portée de la précédente réglementation (NIS 1) en incluant les secteurs déjà couverts (santé, banques, transports) et en s’étendant à de nouveaux domaines comme les administrations publiques, les télécommunications, les réseaux sociaux, les services postaux et le secteur spatial. Elle intègre également les entreprises privées, impactant des milliers d’entreprises, des PME aux grandes sociétés du CAC40.
Une innovation clé de la NIS 2 est l’introduction d’un mécanisme de proportionnalité, créant deux catégories d’entités réglementées selon leur niveau de criticité : les entités essentielles et les entités importantes. L’ANSSI utilisera ce critère pour définir des exigences spécifiques pour chaque catégorie.
Quels sont les objectifs de la directive NIS2 ?
La directive a 4 principaux objectifs :
- Améliorer la résilience des infrastructures critiques : la directive impose des mesures de sécurité renforcées pour les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) afin de garantir la disponibilité, l’intégrité, la confidentialité et la continuité des services essentiels.
- Renforcer la coopération et la coordination : elle encourage la coopération entre les États membres de l’UE pour garantir une réponse coordonnée aux incidents de cybersécurité, notamment en établissant des mécanismes de coopération et des réseaux de compétence.
- Promouvoir la notification d’incidents : la directive impose aux OSE et aux FSN de notifier les incidents de cybersécurité aux autorités compétentes et aux parties prenantes concernées, ce qui permet une réaction rapide et efficace en cas d’incident.
- Renforcer la sécurité des fournisseurs de services numériques : les FSN sont tenus de mettre en place des mesures de sécurité appropriées pour protéger leurs services numériques contre les cybermenaces.
Qui est visé par la directive NIS2 ?
La directive NIS2 cible les entreprises ayant un effectif supérieur à 50 employés et générant plus d’un million d’euros de revenus annuels dans les secteurs pertinents. Ces entreprises varient en taille, incluant les PME, les grandes sociétés, et parfois même certaines collectivités locales.
La directive NIS1 réglementait originellement 19 secteurs, mais avec la NIS2, le nombre de secteurs réglementés s’élève à 35.
Les 19 secteurs initialement couverts par la NIS1 comprenaient des domaines tels que la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la distribution d’eau potable, le traitement des eaux usées, les infrastructures numériques, les prestataires de services numériques, les administrations publiques, et l’industrie aérospatiale.
En plus de ceux-ci, la NIS2 étend sa réglementation à des secteurs additionnels, tels que les services postaux et de courrier, la gestion des déchets, l’industrie chimique, la fabrication, la distribution de produits chimiques, le secteur industriel, l’agroalimentaire, et les fournisseurs de services numériques supplémentaires (liste complète en bas d’article).
Quelles sont les différences entre les entités essentielles des entités importantes ?
Au sein des 35 secteurs ciblés par la directive, les entreprises sont classées en tant qu’entités essentielles ou importantes si elles gèrent des infrastructures dont une interruption aurait un impact majeur sur l’économie ou le fonctionnement du pays. Typiquement, les entreprises de taille intermédiaire (ETI) et les grandes entreprises répertoriées comme opérateurs de services essentiels (OSE) sont considérées comme des entités essentielles.
Ces entreprises seront officiellement identifiées avec la publication du décret national transposant cette directive, au plus tard le 17 octobre 2024.
Pourquoi l’inclusion des sous-traitants dans la directive NIS 2 est-elle essentielle ?
L’intégration des sous-traitants dans le cadre de la directive NIS 2 fait suite aux attaques ciblant les chaînes d’approvisionnement, aussi appelées attaques de type « supply chain ».
Les sous-traitants peuvent avoir accès à des données sensibles ou à des systèmes critiques. Si ces sous-traitants ne sont pas correctement sécurisés contre les cyberattaques, ils deviennent vulnérables aux activités malveillantes. En incluant les sous-traitants dans les normes de cybersécurité imposées par la directive, les organisations qui les emploient peuvent s’assurer que ces derniers appliquent des mesures de sécurité adéquates pour protéger les données et les systèmes sous leur responsabilité.
Ceci contribue à réduire les risques de propagation de vulnérabilités au sein de la chaîne d’approvisionnement et à prévenir les dommages potentiels aux entreprises partenaires.
Comment se préparer pour l’implémentation de NIS2 ?
L’application effective de la directive NIS 2 n’interviendra que fin 2024. En attendant sa transposition dans le droit français, les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques doivent continuer à se conformer aux normes de la NIS1 et aux réglementations existantes en matière de sécurité des systèmes d’information.
Par ailleurs, les entités déjà soumises à la NIS1 devraient maintenir leurs efforts pour se conformer à cette première version de la directive. Les avancées déjà réalisées seront utiles car la NIS2 s’appuie sur les principes établis par la NIS1. De plus, les entreprises potentiellement concernées par la NIS2 devraient déjà commencer à renforcer activement leur sécurité informatique.
Face à des menaces cybernétiques constantes et à la vulnérabilité des systèmes d’information, la NIS2 représente une opportunité pour les organisations d’investir dans l’amélioration de leur sécurité. Il est crucial pour les entreprises affectées d’évaluer rapidement leur niveau de préparation en cybersécurité.
Pour les secteurs impactés qui cherchent un soutien dans leur conformité à la sécurité informatique, Semkel vous accompagne à la fois sur le monitoring cyber et dark web afin de détecter en temps réel de potentielles fuites de données afin d’être conforme à la directive NIS 2 ainsi que la sensibilisation de vos collaborateurs.
—
Voici la liste des 35 secteurs couverts par la directive NIS2 :
- Énergie (y compris l’électricité, le gaz et le pétrole)
- Transport (y compris les transports routiers, ferroviaires, maritimes et aériens)
- Banques
- Infrastructures financières (y compris les bourses et les systèmes de paiement)
- Services de santé (hôpitaux et services de soins de santé)
- Approvisionnement en eau
- Approvisionnement alimentaire
- Approvisionnement numérique (DNS, services Internet)
- Services numériques pour le secteur public
- Services numériques en ligne (médias sociaux, places de marché en ligne, moteurs de recherche)
- Télécommunications
- Eau (gestion des eaux usées et des eaux de surface)
- Eau (gestion de l’eau potable)
- Eau (gestion des inondations)
- Éléments essentiels des entreprises et de la production industrielle
- Gestion des déchets
- Approvisionnement en produits chimiques
- Approvisionnement en médicaments
- Approvisionnement en dispositifs médicaux
- Production et distribution de gaz
- Production et distribution d’électricité
- Production et distribution de pétrole
- Production et distribution de biocarburants
- Production et distribution de carburants liquides
- Production et distribution de carburants gazeux
- Production et distribution de carburants solides
- Production et distribution de chaleur
- Services postaux
- Ports maritimes
- Gestion de la circulation aérienne
- Infrastructure ferroviaire
- Transport routier
- Fournisseurs de services numériques
- Services de cloud computing
- Fournisseurs de systèmes d’exploitation