NIS 2 : comment se conformer à la nouvelle directive européenne sur la cybersécurité ?

Qu’est-ce que la directive européenne NIS 2 ?

La directive NIS 2 (Network and Information Systems) est le nouveau cadre réglementaire européen qui vise à renforcer la cybersécurité au sein de l'Union européenne. Elle remplace et étend considérablement la portée de la directive NIS 1, promulguée en 2016.

Concrètement, NIS 2 oblige les entités concernées à mettre en place des mesures techniques et organisationnelles pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information, notamment :

• L'établissement de politiques de gestion des risques cyber ;
• La mise en place de procédures de gestion des incidents ;
• La continuité des activités et la gestion de crise ;
• La sécurisation de la chaîne d'approvisionnement ;
• L'utilisation du chiffrement et de processus d’authentification forte.

La directive introduit également un système de surveillance plus rigoureux, avec des audits réguliers et la possibilité pour les autorités d'imposer des amendes en cas de non-conformité.

NIS 2 établit par ailleurs un mécanisme de coopération renforcé entre les États membres avec la création du réseau des CSIRT (Computer Security Incident Response Teams) afin de faciliter l'échange d'informations sur les menaces et les incidents.

Quelle est la date d’entrée en vigueur de la directive NIS 2 en France ?

NIS 2 a été publiée au Journal officiel de l’Union Européenne le 27 décembre 2022 pour une entrée en vigueur effective le 17 janvier 2023 à l’échelle européenne.

Il faut toutefois attendre la transposition par les Etats membres, initialement fixée au 17 octobre 2024. En France, l’Anssi a annoncé un délai de trois ans (à compter de fin 2024) avant d’exiger une conformité complète.

« Le projet de loi de transposition est prêt depuis le printemps 2024, mais il n’a pas pu être examiné. On se donnera au moins trois ans avant d’exiger une conformité complète au cadre une fois qu’il sera posé, avant d’envisager des sanctions pour les manquements », explique Vincent Strubel, Directeur général de l’Anssi, dans une interview accordée à Banque Des Territoires en marge des Assises de la cybersécurité qui se sont déroulées du 9 au 11 octobre 2024.

Quel est le champ d’application de la directive NIS 2 ?

La Directive NIS 2 élargit considérablement le champ d'application de la première mouture. Elle couvre désormais 18 secteurs classés en deux catégories : les secteurs hautement critiques et les secteurs critiques.

Secteurs hautement critiques :

• Énergie (électricité, gaz, pétrole)
• Transports (aérien, ferroviaire, maritime, routier)
• Santé (hôpitaux, laboratoires)Eau (potable et eaux usées)
• Infrastructure numérique (DNS, IXP, TLD)Services TIC (B2B)Administration publiqueEspace

Secteurs critiques :

• BanqueInfrastructures des marchés financiers
• Services postaux et de courrierGestion des déchets
• Fabrication de produits critiques
• Production et distribution alimentaire
• Fournisseurs de services numériques

Elle classe ensuite les entités concernées en deux catégories selon leur taille et la criticité de leur activité.

1) Entités Essentielles (EE)

- Effectif :

Plus de 250 salariés

- Chiffre d'affaires ou bilan :
CA > 50 millions € ou total bilan > 43 millions €

2) Entités Importante (EI)

- Effectif

Entre 50 et 249 salariés

- CA compris entre 10 et 50 millions € ou total bilan compris entre 10 et 43 millions €



Ces deux entités sont soumises aux obligations de la directive NIS 2, mais les Entités Essentielles doivent se conformer à des exigences beaucoup plus strictes.

Le contexte qui a donné naissance à la directive NIS 2 sur la cybersécurité

La période 2016 - 2022 a été marquée par une escalade sans précédent des cybermenaces, ce qui a poussé l'Union européenne à repenser sa stratégie de cybersécurité. Cette période a en effet vu émerger des attaques d’une ampleur inédite et (surtout) d’une sophistication alarmante.

En clair, les techniques des pirates informatiques évoluaient beaucoup plus rapidement que les mécanismes de défense à l’échelle européenne.

Ces incidents de cybersécurité qui ont poussé l’UE a légiféré à nouveau sur la cybersécurité

Plusieurs incidents majeurs ont particulièrement alerté les autorités sur la nécessité de revoir le cadre législatif en matière de cybersécurité, avec des enjeux économiques, sécuritaires, sanitaires et même géopolitiques :

• En 2017, le rançongiciel (ransomware) WannaCry a infecté plus de 300 000 ordinateurs dans 150 pays. Il a notamment paralysé le système de santé britannique. Plus de 80 établissements de santé et 8 % des cabinets de médecine générale avaient été touchés, avec l’annulation de 19 000 rendez-vous médicaux sur une période d’une semaine. En Allemagne, les systèmes d’affichage dans les gares avaient été perturbés, tandis que les utilisateurs de l’opérateur espagnol Telefónica ont subi des lignes HS pendant plusieurs heures ;
• En juin 2017, le malware NotPetya a ciblé les institutions et grandes entreprises ukrainiennes avant de se propager dans toute l’Europe. Le géant du transport maritime Maersk a vu 49 000 ordinateurs portables et près de 1 000 applications infectées, pour des pertes estimées à 300 millions de dollars. Saint-Gobain a signalé un impact de 250 millions d'euros sur son chiffre d'affaires, tandis que Mondelez International a essuyé des pertes de 188 millions de dollars ;
• En 2018, Airbus a subi une cyberattaque ciblant ses systèmes d'information. Les pirates ont accédé aux données personnelles de certains employés européens et tenté de se procurer des documents de propriété intellectuelle sur les avions militaires et les satellites ;
• En mars 2019, Norsk Hydro, l'un des plus grands producteurs d'aluminium au monde, a été victime d'une attaque par rançongiciel. L'entreprise a dû suspendre la production dans plusieurs usines européennes et passer à des opérations manuelles dans d'autres. Les coûts totaux de l'attaque ont été estimés à environ 75 millions de dollars ;
• En décembre 2020, l'Agence européenne des médicaments (EMA) a été la cible d'une cyberattaque dont les méthodes exactes n’ont jamais été dévoilées. Des documents relatifs au vaccin contre la COVID-19 de Pfizer/BioNTech avaient notamment été compromis.

Les chiffres de la recrudescence des cyberattaques dans l’UE

En 2023, la recrudescence des ransomwares a continué de dominer le paysage de la menace cyber. Concrètement, le volume de données faisant l’objet d’extorsion par ce type d’attaque a bondi de 112 % en un an, selon une étude Crowd Strike (2023).

Dans le même sens, l'Europe a enregistré une hausse de 10 téraoctets de données volées chaque mois en raison des ransomwares, selon le panorama 2023 de la cybermenace.

Logiquement, la plateforme Cybermalveillance.gouv.fr a vu sa fréquentation augmenter de plus de 53 % en 2022, signe d'une prise de conscience face à des menaces de plus en plus nombreuses et de plus en plus sophistiquées.

💡 À savoir

Après le phishing, qui consiste à envoyer des emails factices en masse et espérer une réponse d’une « victime », les pirates informatiques misent désormais sur le spearphishing. Cette approche consiste à cibler un individu en particulier, le plus souvent ayant un poste de responsabilité dans une grande entreprise, pour lui envoyer des emails progressifs qui imitent ceux d’un partenaire de confiance ou d’un supérieur hiérarchique, le plus souvent situé dans un autre pays.

Objectif : obtenir des accès, un virement, des informations sensibles, etc. De nombreux groupes de pirates informatiques parrainés par des États réalisent régulièrement des campagnes de spearphishing en ciblant des secteurs très sensibles comme la Défense, la diplomatie, les transports, la finance et la santé. L’attaque contre la campagne présidentielle de Hillary Clinton en 2016 en est un exemple concret.

Les facteurs qui expliquent la recrudescence structurelle des cyberattaques dans l’UE

Nous assistons à la professionnalisation des groupes cybercriminels, avec l'émergence de modèles « Ransomware-as-a-Service » qui permettent à des acteurs malveillants peu qualifiés de « commander » des cyberattaques très sophistiquées et à grande échelle.

Le paysage de la cybersécurité montre également l’exploitation de plus en plus croissance des vulnérabilités dans la chaîne d'approvisionnement, comme l'a montré l'affaire SolarWinds. Ce constat est bien illustré par l’essor des attaques par rebond, qui consistent à cibler des tiers mal protégés (fournisseurs, prestataires, sous-traitants) pour atteindre des structures plus importantes (et donc potentiellement plus lucratives).

D’un autre côté, les cyberattaques semblent s’orienter progressivement vers des infrastructures critiques et menacent directement la sécurité nationale des États membres.

Enfin, la complexification des environnements numériques a créé de nouveaux défis :

• L'adoption massive du Cloud Computing a étendu la surface d'attaque et brouillé les périmètres de sécurité traditionnels ;
• La prolifération des objets connectés (IoT) dans les entreprises a introduit de nouveaux points d'entrée potentiels pour les attaquants ;
• Le développement de l'Intelligence Artificielle et du Machine Learning a ouvert la voie à des attaques plus automatisées et adaptatives ;
• La généralisation du télétravail, accélérée par la pandémie de COVID-19, a exposé de nombreuses organisations à de nouveaux risques, notamment via des ordinateurs ou des WiFi non sécurisés.

De NIS 1 à NIS 2 : quels changements ?

La directive NIS 2 étend considérablement son champ d'application par rapport à NIS 1. Le nombre de secteurs dits « essentiels » passe de 7 à 11, et les entités concernées vont désormais de la PME à la multinationale, en plus du secteur public.

Une dizaine d’autres changements majeurs ont été décidés par le législateur.

#1 Les stratégies nationales de résilience

Chaque État membre est désormais tenu de formuler une stratégie de résilience sur la cybersécurité qui englobe l’ensemble des secteurs qualifiés d’ « essentiels » par la directive.

Cet engagement se traduit par une analyse détaillée des risques spécifiques à chaque secteur, la mise en place de plans de réponse adaptés et des mesures pour améliorer la capacité de résilience face aux cybermenaces.

#2 La mise en place du CyCLONe

Le Cyber Crises Liaison Organisation Network (CyCLONe) est un réseau nouvellement formé qui sert de plateforme pour une gestion coordonnée des crises de cybersécurité à grande échelle. CyCLONe facilite l'échange rapide d'informations et la prise de décision collaborative lors des incidents majeurs de cybersécurité pour augmenter l'efficacité des réponses transnationales.

#3 Le renforcement du rôle des autorités compétentes

La directive renforce le rôle des autorités nationales compétentes (l’Anssi en France) en exigeant qu'elles supervisent la mise en œuvre des mesures de cybersécurité, qu’elles évaluent les risques et qu’elles coordonnent avec l'Agence de l’Union européenne pour la cybersécurité (ENISA).

Elles doivent également disposer d’équipes chargées des réponses aux incidents informatiques (CSIRTs) et de points de contact dédiés pour améliorer la coopération à travers l'UE.

#4 La création d'un cadre national de gestion de crise

Les États membres doivent établir des cadres nationaux pour la gestion des crises cybernétiques, avec notamment des protocoles clairs pour la mobilisation des ressources en cas d'urgence. L'ENISA est chargée de produire un rapport biennal qui évalue l'état de préparation de chaque État membre.

#5 Le système d'évaluation par les pairs

La directive lance un système d'évaluation par les pairs pour encourager un échange d'évaluations critiques entre États membres sur leurs politiques et pratiques de cybersécurité. Cette revue aide à identifier les meilleures pratiques et à renforcer la coopération régionale en matière de cybersécurité.

#6 Le pouvoir de sanction des autorités compétentes

Les autorités nationales ont désormais le pouvoir explicite de sanctionner les entités qui ne respectent pas les normes de cybersécurité établies, avec des amendes significatives prévues pour les infractions graves (jusqu’à 2 % du chiffre d’affaires, en attendant la transcription de la directive dans le droit français).

#7 L’intégration des TIC et de la recherche

Les politiques de cybersécurité doivent désormais couvrir la sécurité des chaînes d'approvisionnement des technologies d’information et de communication (TIC), gérer les vulnérabilités et soutenir le secteur académique ainsi que la recherche en matière de cybersécurité.

#8 La promotion de la cybersécurité pour les PME

Une attention particulière est donnée aux PME, avec une obligation pour les États membres à promouvoir activement la cybersécurité et la cyberhygiène auprès des petites structures qui constituent le plus souvent plus de 95 % du tissu des entreprises et qui sont la cible privilégiée des attaques par rebond.

#9 Les obligations pour les décideurs

Les directives exigent que les dirigeants des entités régulées approuvent et mettent en œuvre les politiques de gestion des risques cybernétiques. Les dirigeants doivent également suivre des formations en cybersécurité pour s'assurer que le top management comprend et gère activement les risques cybernétiques.

Je suis concerné par NIS 2 : comment préparer la mise en conformité de mon entreprise ?

1. Évaluation du périmètre d'application

Examinez votre secteur d'activité dans un premier temps. NIS 2 couvre 18 secteurs répartis entre des secteurs « essentiels » et « importants », comme nous l’avons vu. Vérifiez si votre activité principale correspond à l'un de ces secteurs.

Évaluez ensuite la taille de votre organisation. NIS 2 s'applique aux moyennes et grandes entreprises. Vérifiez vos effectifs (le seuil est de 50 employés) et vos données financières (chiffre d'affaires annuel ou bilan total).

Identifiez les entités légales de votre groupe potentiellement concernées. NIS 2 peut s'appliquer à plusieurs entités d'un même groupe si elles remplissent individuellement les critères.

Documentez soigneusement cette évaluation, car elle servira de base pour justifier votre statut auprès de l’Anssi et guidera l'ensemble de votre démarche de conformité.

Si vous concluez que NIS 2 s'applique à votre organisation, déterminez si vous êtes classé comme Entité Essentielle (EE) ou Entité Importante (EI), car les obligations diffèrent selon cette classification.

2. Nomination d'un responsable de projet NIS 2

Désignez un responsable de projet dédié à la mise en conformité NIS 2. Choisissez (ou recrutez) un profil qui justifie d’une compréhension approfondie des enjeux de cybersécurité. Il devra également :

• Avoir une expérience en gestion de projets complexes ;
• Posséder des compétences en cybersécurité ou travailler en étroite collaboration avec le RSSI ;
• Être capable de communiquer avec la direction et les différents services en faisant preuve de beaucoup de pédagogie.

Ses principales missions seront de coordonner toutes les étapes de la mise en conformité, de servir de point de contact principal pour les questions liées à NIS 2, d’assurer la liaison avec l'ANSSI si nécessaire, de suivre l'avancement du projet et de reporter régulièrement à la direction.

3. Réalisation d'un audit initial de cybersécurité

Effectuez un audit complet de votre politique actuelle de cybersécurité actuelle sur le périmètre suivant :

• L'inventaire et la cartographie de vos systèmes d'information critiques ;
• L'évaluation de vos politiques et procédures de sécurité existantes ;
• L'analyse de vos mesures techniques de protection ;
• L'examen de vos processus de gestion des incidents et de continuité d'activité ;
• L'évaluation de la sécurité de votre chaîne d'approvisionnement.

Utilisez l'ISO 27001 pour structurer cet audit. Impliquez vos équipes internes (IT, sécurité, métiers) et envisagez de faire appel à un prestataire externe spécialisé pour un regard objectif et expert. Documentez là encore les résultats de l'audit, car le rapport servira de base pour l'analyse des écarts et l'élaboration de votre plan d'action de mise en conformité NIS 2.

4. Analyse des écarts réglementaires

Sur la base de l'audit, comparez votre situation actuelle aux exigences de la directive NIS 2. Cette analyse doit être méthodique et exhaustive :

• Examinez chaque article de la directive applicable à votre statut (EE ou EI) ;
• Pour chaque exigence, évaluez votre niveau de conformité actuel ;
• Identifiez précisément les écarts entre vos pratiques et les obligations de la directive.

Classez ces écarts par ordre de priorité. Utilisez une matrice de risques pour évaluer la criticité de l'écart en termes d'impact potentiel sur la sécurité et l'effort nécessaire pour le combler (temps, ressources, complexité).

Estimez le temps et les ressources nécessaires pour chaque point d'amélioration identifié. Soyez réaliste dans vos estimations en tenant compte des contraintes opérationnelles de votre organisation. Là encore, vous allez devoir documenter soigneusement cette analyse des écarts pour justifier vos choix de mise en conformité auprès de la direction et, potentiellement, auprès de l'ANSSI.

5. Évaluation des ressources nécessaires

Cette étape vise à quantifier précisément les moyens requis pour la mise en conformité NIS 2.

Commencez par les ressources humaines. Identifiez les compétences nécessaires au sein de l'équipe projet, évaluez les besoins en formation du personnel existant et déterminez si des recrutements sont nécessaires (experts en cybersécurité, juristes spécialisés).

Pour les ressources techniques, listez les outils et technologies à acquérir ou à mettre à niveau (SIEM, EDR, solutions de chiffrement, etc.), évaluez les besoins en infrastructure (serveurs, réseau, cloud sécurisé) puis identifiez les logiciels nécessaires pour la gestion de la conformité.

Pour les ressources financières, chiffrez les coûts des investissements technologiques, estimez le budget pour les éventuels recrutements ou formations et évaluez les coûts de conseil externe ou d'audit. Prévoyez également un budget pour les imprévus (généralement 10 à 15% du budget total).

Comment Provigis vous accompagne dans votre mise en conformité NIS 2 ?

Ne laissez pas l’entrée en vigueur imminente de la directive NIS 2 vous prendre au dépourvu. En tant que Tiers de Collecte Probatoire (TCP), Provigis vous propose une plateforme digitale 100 % conforme au RGPD pour vous accompagner dans votre mise en conformité.

Concrètement, notre solution vous permet de :

• Collecter et authentifier les documents de conformité de vos tiers fournisseurs, prestataires et sous-traitants pour sécuriser votre chaîne d’approvisionnement ;
• Créer et administrer des questionnaires personnalisés pour évaluer la maturité de vos partenaires sur plusieurs thématiques ;
• Suivre votre conformité en temps réel grâce à des outils de suivi métier et des tableaux de bord ;
• Configurer des workflows sur la base de votre cartographie des risques pour simplifier la gestion de votre conformité ;
• Disposer de l’ensemble des documents probants pour démontrer votre conformité lors des contrôles et des audits.

Notre expertise en matière de collecte et de gestion de documents de conformité s'adapte parfaitement aux exigences de NIS 2. Demandez votre démo.