La cybersécurité est plus que jamais au cœur des préoccupations de l’Union européenne (UE), et la nouvelle directive NIS2 en est la preuve concrète. Cette directive représente une avancée majeure dans le domaine de la législation de cybersécurité à l’échelle de l’UE, visant à renforcer la sécurité informatique de manière significative.
Les États membres ont également la possibilité d’ajouter des entités à leur liste nationale, y compris les organismes gouvernementaux locaux, les établissements éducatifs et les entreprises jugées cruciales pour le pays malgré leur taille plus modeste.
La directive NIS2 impose des obligations à tous les fournisseurs d’infrastructures critiques et de services numériques opérant dans l’UE, les obligeant à mettre en place des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et systèmes informatiques. Elle vise à relever les défis de la cybersécurité en instaurant un cadre juridique exhaustif au sein de l’UE.
La directive NIS2 couvre 18 secteurs distincts et leurs sous-secteurs. Son objectif est de combler les lacunes de la directive NIS originelle en élargissant la couverture des secteurs de services critiques, en renforçant les exigences de sécurité, en abordant la sécurité de la chaîne d’approvisionnement, en intensifiant les obligations de signalement et l’application de la loi.
La directive NIS2 vise à contrer diverses cyber-menaces , notamment sur les compromissions de la chaîne d’approvisionnement liés aux logiciels, les campagnes de désinformation sophistiquées, l’accroissement de la surveillance numérique et de la perte de la vie privée.
Elle s’attaque également aux problèmes d’erreur humaine et d’exploitation des systèmes hérités au sein des écosystèmes cyber-physiques, ainsi qu’aux attaques ciblées renforcées par les données des appareils intelligents.
Quels sont les secteurs affectés par le règlement NIS 2 ?
La directive NIS2 (Network and Information Security) élargit la portée de la directive NIS originale en incluant plus d’organisations et de secteurs. Les secteurs concernés par la directive NIS2 sont les suivants :
- Le secteur spatial
- Les administrations publiques
- Les fournisseurs de services numériques
- Les établissements de santé
- Les banques
- Les transports
- Les services postaux et d’expédition
- La gestion des déchets
- La fabrication
- Les télécommunications
- Les plateformes de réseaux sociaux
- Le secteur de l’eau
- La recherche
Il convient de souligner que toutes les entités opérant dans ces secteurs seront catégorisées comme « essentielles » ou « importantes » si elles satisfont l’une ou plusieurs des conditions suivantes :
- Elles emploient plus de 50 personnes.
- Leur chiffre d’affaires annuel dépasse les 50 millions d’euros.
- Leur bilan annuel est supérieur à 43 millions d’euros.
De plus, les États ont la possibilité d’ajouter des entités spécifiques à leur liste nationale, telles que les organismes gouvernementaux locaux, les établissements d’enseignement, ainsi que les entreprises qui, bien que ne remplissant pas le critère de taille, sont considérées comme cruciales pour la nation.
Plus de détail sur :
- les Entités Essentielles (EE), voir l’Annexe I du texte NIS2
- les Entités Importantes (IE), voir l’Annexe II du texte NIS2
Quelles sont les exigences imposées par le NIS 2 aux entreprises concernées ?
La directive NIS2 (Network and Information Security) impose diverses responsabilités aux entreprises concernées. Voici les principales exigences auxquelles les entreprises doivent se conformer en vertu de la directive NIS2 :
- Amélioration des mesures de sécurité : Les entreprises doivent mettre en place des mesures techniques, organisationnelles et opérationnelles appropriées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d’information. Ces mesures doivent garantir la confidentialité, l’intégrité et la disponibilité des données.
- Gestion des incidents de sécurité : En cas d’incident de cybersécurité, les organisations ont l’obligation de le signaler à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans un délai de 24 heures. Ce délai pourrait être ajusté avant la mise en œuvre nationale de la directive.
- Évaluation des risques liés à la cybersécurité : Chaque entité doit procéder à une évaluation des risques liés à la cybersécurité au sein de sa structure. Cette évaluation doit prendre en compte les menaces de cyber sécurité.
- Gestion des risques de sécurité: Les entreprises doivent respecter des exigences renforcées en matière de gestion des risques, en tenant compte du principe de proportionnalité et de la criticité des entités concernées.
- Mettre en place des outils de détection et de réponse : Les entreprises doivent mettre en place des outils pour détecter et répondre aux incidents de sécurité.
Quelles sont les sanctions en cas de non-respect de la directive NIS 2 ?
La directive NIS2 impose des sanctions financières importantes en cas de non-respect de ses obligations. Bien que les sanctions puissent varier d’un pays à l’autre, la directive énonce un ensemble minimal de sanctions administratives pour les violations des règles relatives à la gestion des risques et à la déclaration en matière de cybersécurité.
Ces sanctions comprennent des amendes administratives, des ordres contraignants, des exigences de mise en conformité avec les normes de la directive NIS2, ainsi que des mesures visant à mettre en œuvre les recommandations d’un audit de sécurité.
En outre, des sanctions pénales peuvent être appliquées, notamment des poursuites pour négligence grave contre les dirigeants d’entreprise.
Il est essentiel de noter que la directive NIS2 ne deviendra formellement contraignante qu’à partir d’octobre 2024. Cependant, il est vivement recommandé aux entreprises concernées de se préparer le plus tôt possible aux nouvelles obligations de la directive NIS2, sans attendre qu’elles soient transposées dans la législation nationale.
L’article 34(4) de la Directive NIS2 prévoit des sanctions administratives en cas de non-respect de ces obligations (voir ci-dessous pour plus de détails dans cet article). Les amendes varient en fonction de la classification de l’entité :
- Pour les Entités Importantes (EI), la Directive NIS2 stipule que des sanctions administratives peuvent être imposées, atteignant un maximum de 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante est affiliée, en retenant le montant le plus élevé.
- Pour les Entités Essentielles (EE), des sanctions administratives pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle est affiliée, en retenant le montant le plus élevé, sont prévues.
10 mesures minimales de cybersécurité exigées par la directive NIS2
D’après la réglementation (Article 21), les Entreprises et les Entités Individuelles (EE et EI) doivent mettre en place au moins les 10 mesures suivantes :
- Élaborer des politiques de sécurité et réaliser une évaluation des risques cyber.
- Gérer les incidents, couvrant la prévention, la détection et la réponse aux incidents.
- Gérer les crises et assurer la continuité des activités, notamment par la gestion des sauvegardes et la reprise des opérations.
- Assurer la sécurité de la chaîne d’approvisionnement, y compris la sécurité dans les interactions entre l’entité et ses fournisseurs ou prestataires de services.
- Assurer la sécurité du système informatique, ce qui implique de prendre des mesures lors de l’acquisition, du développement et de la maintenance des réseaux et des systèmes informatiques, en plus de gérer les vulnérabilités.
- Mettre en place des politiques et des procédures, notamment des tests et des audits, pour évaluer l’efficacité des mesures de gestion des risques liés à la cybersécurité.
- Encourager l’adoption de principes fondamentaux de cybersécurité par les collaborateurs et dispenser une formation en cybersécurité à leur intention.
- Élaborer des politiques et des procédures concernant l’utilisation de la cryptographie et, le cas échéant, du chiffrement.
- Assurer la sécurité des ressources humaines en instaurant des politiques de contrôle d’accès et en supervisant la gestion des actifs.
- Mettre en place des solutions d’authentification à plusieurs facteurs ou une authentification continue, ainsi que des communications sécurisées par voix, vidéo et texte, et des systèmes de communication d’urgence sécurisés, en fonction des exigences spécifiques de l’entité.
Information complémentaire : Lien