Les évolutions de la Directive NIS

En 2016, l’UE adoptait une législation très importante qui venait façonner le paysage de la cybersécurité européenne : la directive NIS (pour Network and Information Security). Premier texte législatif européen sur la cybersécurité, la directive NIS, introduisait des mesures juridiques visant à renforcer le niveau général de cybersécurité dans l’UE. L’objectif de la directive NIS était d’atteindre un niveau commun élevé de cybersécurité dans tous les États membres. Toutefois, bien qu’elle ait renforcé les capacités des États membres en matière de cybersécurité, sa mise en œuvre s’est avérée difficile, entraînant une fragmentation à différents niveaux du marché intérieur.

Ainsi, pour répondre aux menaces croissantes que représentent la numérisation de notre économie et de notre société et la multiplication des cybermenaces, la Commission européenne présentait, en décembre 2020, une proposition visant à mettre à jour la directive NIS : Nis2.

Les évolutions de la Directive NIS :

Jeudi 10 novembre, après près de 2 ans de négociations et d’amendements, le parlement européen a finalement voté en séance plénière, par 577 voix pour, 6 contre et 31 abstentions, l’adoption du texte de Nis2[1].

Le texte entrera en vigueur, après l’approbation finale du Conseil et au vingtième jour après sa publication au Journal officiel de l’Union européenne.

La directive devra ensuite être transposée dans les législations nationales par les parlements nationaux dans un délai de 21 mois après son entrée en vigueur, soit à l’été 2024.

[1] https://www.europarl.europa.eu/news/fr/press-room/20221107IPR49608/cybersecurite-une-nouvelle-loi-pour-renforcer-la-resilience-europeenne

La directive n’est pas encore entrée en vigueur dans notre droit national, mais il est important de connaître à l’avance son libellé et ses nouvelles exigences. Quelles sont les nouvelles obligations et comment s’y préparer ?

Les nouveautés apportées par NIS 2.0 – comparaison avec NIS 1

La directive NIS, directement inspirée de notre Loi de Programmation Militaire (LPM) nationale, visait à introduire au niveau européen des dispositions comme celles prévues pour les Opérateurs d’Importance Vitale (OIV). C’est ainsi que la NIS 1.0 a créé un dispositif de cybersécurité pour protéger les Opérateurs de Services Essentielles (OSE) de secteurs stratégiques et les Fournisseurs de Services Numériques (FSN). La NIS 2.0 quant à elle va encore plus loin en incluant les moyennes et grandes entités d’un éventail plus large de secteurs vitaux pour l’économie et la société.

Thématiques	NIS 1	NIS 2
Entités concernées	Seulement les FSN et les entreprises désignées comme OSE par leur Etats membres. Ce qui laissait de trop grandes marges d’applications entre les Etats membres, et une disparité importante.	Désormais on ne parlera plus d’OSE et de FSN mais d’entités essentielles et d’entités importantes selon les services fournies. Avec NIS 2, la Commission européenne créé un ensemble de critères simplifiés qui déterminent à qui NIS2 s’appliquera. Il n’appartiendra plus aux pays de décider par eux-mêmes. Ainsi, seront concernées toutes les moyennes et grandes entreprises, ainsi que certaines administrations publiques dans les secteurs ci-après. Multipliant à peu près par 10 le nombre d’entités qui devront désormais se conformer aux exigences de la Directive.
Secteurs couverts	Eau Energie Infrastructure numérique Banques et assurances Transports Santé	Secteurs de NIS 1 Administration publique Alimentation Espace Services postaux et courriers Gestion des eaux usées et des déchets Fabrications de produits critiques (médicaments, laboratoires, produits chimiques…) Fournisseurs de réseaux et Télécom Fournisseurs de services numériques Services de réseaux sociaux et de centres de données
Régime de sanctions	La directive NIS 1 impose des pénalités financières qui varient selon les Etats membres. Par exemple en France, une non-conformité aux règles de sécurité entraînait une amende de 100k alors qu’elle était de 5 millions au Pays-Bas mais seulement de 20k en Estonie ou même inexistante en Hongrie ou en Bulgarie.	Afin de palier avec ces disparités trop importante la directive NIS 2 vient harmoniser les régimes de sanctions dans tous les Etats membres. Ainsi, désormais, les organisations qui ne se conformeront pas aux règles pourront se voir infliger une amende de 10 millions d’euros ou de 2 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. De plus, les organisations qui persisteront à enfreindre les règles pourront également voir leur équipe de direction sanctionnée.
Coopération européenne	La directive NIS 1 a crée un cadre de coopération au niveau européen avec : un groupe de coopération pour faciliter les échanges d’informations et de bonnes pratiques entre les Etats membres, la Commission et l’ENISA un réseau d’experts (CSIRT Network) capable d’intervenir en cas d’incident de sécurité informatique	Avec NIS 2, le rôle des CSIRT est renforcé et les Etats membres devront leur déclarer tout incident susceptible de causer des dommages opérationnels ou financiers importants afin de faciliter les interactions entre les équipes de réponses à incidents. Enfin, elle établira officiellement le réseau européen d’organisations de liaison pour les crises cybernétiques, EU-CyCLONe, qui soutiendra la gestion coordonnée des incidents de cybersécurité à grande échelle.

Ce que NIS 2 exigera en pratique

En plus des nouveautés mentionnées ci-dessus, la Directive NIS 2 est innovante en ce qu’elle propose :

Un système de déclaration d’incident :

La directive NIS 2.0 étend les obligations de signalement pour couvrir tout incident susceptible de causer des dommages opérationnels ou financiers importants. Elle introduit également des dispositions précises sur le processus de signalement des incidents (y compris le calendrier et le contenu des rapports). En autre, l’entité victimes devra notifier l’incident de sécurité auprès des autorités compétences ou les CSIRT dans les 24h après avoir été informé.

Désignation d'une équipe de réponse aux incidents de sécurité informatique :

La directive NIS 2.0 exige que les pays de l’UE désignent une équipe de réponse aux incidents de sécurité informatique afin de faciliter les interactions entre les entités déclarantes, les fabricants et les fournisseurs de services informatiques.

De plus, dans la cadre de la coopération européenne renforcée, les CSIRT et/ou autorités compétences de chaque États-membres devront informer leurs confrères européens pour anticiper les conséquences que cela pourrait avoir sur d’autres entités essentielles.

Une coopération accrue :

La directive vise à contribuer à un plus grand échange d’informations. Pour aller plus loin dans une coopération européenne, NIS 2.0 encourage la « divulgation coordonnée des vulnérabilités ». Cela signifie que les pirates éthiques peuvent signaler les vulnérabilités, afin qu’elles soient diagnostiquées et corrigées. À cette fin, une base de données des vulnérabilités connues sera tenue par l’Agence européenne pour la cybersécurité (ENISA).

Un management par le risque :

La proposition renforce et rationalise les exigences de sécurité en imposant une approche de management des risques, qui fournit une liste minimale d’éléments de sécurité de base qui doivent être appliqué :

Analyse des risques
Politiques de sécurité des systèmes d’information
Procédures de traitement des incidents
Plan de continuité d’activités
Gestion des crises

Ces exigences obligeront davantage d’entités et de secteurs à agir et permettront de renforcer l’harmonisation des niveaux de cybersécurité dans l’ensemble des États-membres de l’UE.

La prise en compte de la sécurité des chaînes d’approvisionnement :

Une nouveauté dans le texte révisée de NIS 2 repose sur le fait la Commission introduit de nouvelles exigences qui imposeront aux entreprises et aux administrations publiques de prendre en compte et de traiter les risques de cybersécurité dans les chaînes d’approvisionnement et les relations avec les fournisseurs.

Au niveau européen, cette proposition vient renforcer la cybersécurité en permettant d’étendre les mesures de management par le risque à un panel d’entité plus large que celles directement visé par la Directive. Les États membres, en coopération avec la Commission et l’ENISA, pourront procéder à des évaluations coordonnées des risques des chaînes d’approvisionnement critiques.

Une responsabilisation du top management et du RSSI

Par la mise à jour de la Directive, la Commission européenne entend utiliser la conformité comme levier d’action pour que la sécurité soit enfin prise au sérieux au niveau organisationnel.

En outre, la Directive NIS 2 en élargissant le nombre d’entités concernées, en imposant des exigences strictes de gestion des risques et en prenant en compte l’écosystème des fournisseurs dans son ensemble va demander un travail important de mise en conformité. On le constate depuis 2018 et l’entrée en vigueur du RGPD, le processus de mise en conformité est long et va demander l’implication des comités de direction.

De possible sanctions ?

La prise en compte de la mise en conformité à la directive NIS 2 est d’autant plus probante que les organisations qui ne se conformeront pas aux règles et exigences de la NIS se verront imposer des sanctions à l’encontre de leur équipe dirigeante. Les RSSI devraient désormais trouver une oreille attentive pour mettre en place les diverses règles et contrôles qu’ils tentent déjà tant bien que mal à mettre en place.

Conclusion

La multiplication des cybermenaces, exacerbée par les tensions géopolitiques actuelles, ne peuvent être ignorées. Plus que jamais la cybersécurité est une question qui doit être prise en compte sérieusement. La Directives NIS 2 en introduisant de nouvelles exigences et règles pour prévenir, traiter et réagir aux incidents et aux crises de cybersécurité vient renforcer la résilience européenne en faisant de la cybersécurité un enjeu de conformité.

Si l’adaptabilité et la praticité des propositions ambitieuses formulées par la Directive NIS 2 reste encore à démontrer, il reste nécessaire d’anticiper les changements qu’elle va entraîner. La mise en conformité est loin d’être une tâche facile et les entités auront besoin d’être accompagnées.

VONA a accompagné plusieurs de ses clients (Industrie, Ministères, …) dans la définition puis la mise en œuvre de leurs processus de MCS et peut vous aider dans votre projet. VONA a également développé une solution de gestion des vulnérabilités et des versions à destination des PMEs/ETIs. Pour en savoir plus sur cette solution, cliquez ici

Cookie	Durée	Description
__cf_bm	1 hour	Ce cookie, défini par Cloudflare, est utilisé pour soutenir la gestion des bots de Cloudflare.
cookielawinfo-checbox-analytics	11 months	Ce cookie est défini par le plugin RGPD « Cookie Consent ». Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checbox-functional	11 months	Ce cookie est défini par le plugin RGPD « Cookie Consent ». Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checbox-others	11 months	Ce cookie est défini par le plugin RGPD « Cookie Consent ». Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Autres".
cookielawinfo-checkbox-advertisement	1 year	Ce cookie est défini par le plugin RGPD « Cookie Consent ». Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-necessary	11 months	Ce cookie est défini par le plugin RGPD « Cookie Consent ». Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-performance	11 months	Ce cookie est défini par le plugin RGPD « Cookie Consent ». Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Performance".
CookieLawInfoConsent	1 year	CookieYes installe ce cookie pour enregistrer l'état par défaut du bouton de la catégorie correspondante et le statut du CCPA. Il fonctionne uniquement en coordination avec le cookie principal.
viewed_cookie_policy	11 months	Le cookie est défini par le plugin RGPD « Cookie Consent » et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies.

Cookie	Durée	Description
aka_debug		Ce cookie est essentiel à la fonctionnalité de lecture vidéo du site web. Il recueille des informations statistiques telles que le nombre de fois que la vidéo est affichée et les paramètres utilisés pour la lecture.
player	1 year	Ce cookie est utilisé pour enregistrer les préférences de l'utilisateur lors de la lecture de vidéos intégrées de Vimeo.

Cookie	Durée	Description
_ga	1 year 1 month 4 days	Google Analytics installe ce cookie pour calculer les données des visiteurs, des sessions et des campagnes, et suivre l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré aléatoirement pour reconnaître les visiteurs uniques.
_ga_*	1 year 1 month 4 days	Google Analytics installe ce cookie pour stocker et compter les visites de pages.
_gat_gtag_UA_*	1 minute	Google Analytics installe ce cookie pour stocker un identifiant utilisateur unique.
_gat_UA-*	1 minute	Google Analytics installe ce cookie pour le suivi du comportement des utilisateurs.
_gid	1 day	Google Analytics installe ce cookie pour stocker des informations sur la manière dont les visiteurs utilisent un site web tout en créant un rapport d'analyse de la performance du site. Parmi les données recueillies figurent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.
vuid	2 years	Ce domaine de ce cookie appartient à Vimeo. Ce cookie est utilisé par Vimeo pour collecter des informations de suivi. Il définit un identifiant unique pour intégrer des vidéos sur le site web.

La cybersécurité comme nouvel enjeu de conformité ? | La Directive Nis 2.0.