De NIS 1 à NIS 2 : cybersécurité & évolution du cadre législatif européen
La directive Network and Information Security, ou NIS, a marqué une avancée majeure dans le renforcement de la cybersécurité en Europe, en introduisant un cadre législatif commun pour les opérateurs de services essentiels et les fournisseurs de services numériques.
Toutefois, face à un macroenvironnement cybersécurité en pleine turbulence et aux limites observées dans sa mise en œuvre, l’Union européenne a jugé nécessaire de mettre à jour cette directive pour mieux répondre aux enjeux actuels. C’est ainsi qu’est née la NIS 2, qui apporte des améliorations significatives en termes de champ d’application, d’obligations et de coopération entre les États membres.
Découvrez dans cet article comment la NIS 2 vient renforcer la cybersécurité à l’échelle européenne ainsi que les implications pour les entreprises (nouvellement) concernées.
NIS 1 : le contexte d’une première mouture ambitieuse
Au début des années 2010, le paysage numérique en Europe et dans le monde a connu une croissance exponentielle, avec une dépendance accrue aux technologies de l’information et de la communication (TIC). Cette dépendance a également entraîné une augmentation des risques liés à la cybersécurité, notamment les cyberattaques, les vols de données et les atteintes à la vie privée. Les infrastructures critiques comme les réseaux électriques, les systèmes de transport et les services de santé sont devenues des cibles privilégiées pour les cybercriminels et les acteurs étatiques malveillants.
Dans ce contexte, l’Union européenne (UE) a reconnu la nécessité d’agir pour renforcer la sécurité des réseaux et des systèmes d’information et protéger les citoyens et les entreprises contre les cybermenaces. La stratégie de l’UE en matière de cybersécurité, lancée en 2013, a identifié la nécessité d’établir un cadre législatif pour améliorer la cybersécurité et favoriser la coopération entre les États membres.
La directive NIS 1 a été promulguée en réponse à ces préoccupations, dans le but d’harmoniser les législations nationales en matière de cybersécurité. Avant son adoption, les États membres de l’UE avaient des approches divergentes et incohérentes pour réglementer la cybersécurité, ce qui rendait difficiles la coopération transfrontalière et la réponse aux incidents de cybersécurité à l’échelle européenne.
NIS 1 : champ d’application, obligations et limites
La directive NIS 1, adoptée en juillet 2016 et entrée en vigueur en août 2016, a été le premier véritable effort législatif à l’échelle de l’Union européenne pour renforcer la cybersécurité au sein des États membres. L’objectif principal était d’améliorer la sécurité des réseaux et des systèmes d’information en établissant un cadre législatif commun.
Champ d’application
Le champ d’application de la directive NIS 1 couvrait deux catégories d’acteurs :
- Les opérateurs de services essentiels (OSE) : des entreprises et organisations qui jouent un rôle crucial dans le fonctionnement de l’économie et de la société, comme les acteurs des secteurs de l’énergie, des transports, de la santé, de l’eau et des services financiers ;
- Les fournisseurs de services numériques (FSN), parfois désignés par l’acronyme DSP, pour Digital Service Provider : il s’agit des moteurs de recherche, des plateformes de vente en ligne et des fournisseurs de services de Cloud Computing.
A noter : la directive ne concerne pas les DSP de moins de 50 personnes et dont le chiffre d’affaires annuel ou le total bilan est inférieur à 10 millions d’euros.
Obligations pour les acteurs concernés
La directive NIS 1 imposait aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN) plusieurs obligations pour garantir la sécurité de leurs réseaux et systèmes d’information :
- Mise en place de mesures de sécurité : les OSE et les FSN étaient tenus d’adopter des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. Ces mesures devaient être proportionnées au risque encouru et pouvaient inclure des actions de prévention, de détection, de réaction et de rétablissement en cas d’incident.
- Gestion des incidents de sécurité : les acteurs concernés devaient disposer de procédures pour gérer efficacement les incidents de sécurité, en identifiant et classant les incidents, en évaluant leur impact et en déployant des actions correctives pour rétablir la sécurité.
- Notification des incidents : les OSE et les FSN avaient l’obligation de signaler rapidement les incidents de sécurité ayant un impact significatif sur la continuité de leurs services aux autorités nationales compétentes (l’Autorité nationale de la sécurité des systèmes d’information, ANSSI, en France).
Les limites de NIS 1
- Champ d’application limité : la directive NIS 1 reposait sur la désignation par les États membres d’entités considérées comme essentielles et soumises aux obligations de la directive. Cette approche a conduit à une portée limitée et à des différences dans la mise en œuvre entre les États membres. De plus, certains secteurs importants, tels que les entreprises pharmaceutiques et les opérateurs de production, de stockage et de transport d’hydrogène, n’étaient pas couverts par la directive NIS 1 ;
- Obligations insuffisamment détaillées, notamment en matière de gestion des risques et de prévention des incidents. Il manquait des exigences spécifiques concernant, par exemple, la gestion des incidents, la continuité des activités, l’utilisation du chiffrement et de l’authentification sécurisée et la formation ;
- Exigences de notification des incidents : la directive NIS 1 exigeait la notification des incidents de sécurité ayant un impact significatif, mais elle ne fournissait pas de délais précis ou de contenu spécifique pour ces notifications ;
- Pouvoirs d’enquête et de sanction limités : les autorités compétentes disposaient de pouvoirs limités pour enquêter sur les manquements et imposer des sanctions en vertu de la directive NIS 1.
C’est donc pour combler ces lacunes que les Etats membres ont produit la deuxième mouture de cette directive.
NIS 2 : être à la hauteur des enjeux en matière de cybersécurité
Croissance exponentielle de la cybermenace, nouveaux enjeux de souveraineté post-Covid, guerre en Ukraine… le macroenvironnement de la cybersécurité n’a jamais été aussi turbulent. Il fallait donc (massivement) mettre à jour NIS 1 pour être à la hauteur des enjeux. La NIS 2, publiée au Journal officiel de l’Union européenne le 27 décembre 2022, apporte donc des améliorations structurelles à la première mouture.
Avant d’énumérer les changements apportés par NIS 2, arrêtons-nous un instant sur sa grande nouveauté, à savoir l’extension du champ d’application pour englober les entreprises du privé, de la PME au groupe du CAC40 qui cumulent les conditions suivantes :
- Opèrent dans les secteurs d’activité listés par la directive (voir plus bas) ;
- Effectif de plus de 250 salariés ;
- Chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros.
Le nombre de secteurs dits « essentiels » est par ailleurs passé de 7 à 11, élargissant ainsi le champ d’application de la NIS 2 aux secteurs suivants : l’énergie, les transports, les banques, les infrastructures de marché financier, les infrastructures numériques, l’eau potable, les eaux usées, l’alimentaire, la santé, l’administration publique et l’espace.
Voici une synthèse des autres modifications notables :
- Stratégies nationales de résilience : les États membres doivent établir des stratégies nationales de résilience pour chaque secteur essentiel ;
- Mise en place du CyCLONe (Cyber Crises Link Organisation Network), un réseau européen d’organisations de liaison en cas de crises de cybersécurité, dont le but principal est de soutenir la gestion coordonnée lors des crises et incidents majeurs en matière de cybersécurité dans l’Union ;
- Renforcement du rôle des autorités compétentes (l’ANSSI en France), et désignation de points de contact uniques (les CSIRT) pour assurer une coopération transfrontalière efficace avec les autorités des autres pays membres, la Commission européenne et l’ENISA ;
- Création d’un cadre national de gestion de crise en cybersécurité et production d’un rapport sur l’état de la cybersécurité dans l’Union tous les deux ans par l’ENISA ;
- Mise en place d’un système d’évaluation par les pairs pour les États membres souhaitant soumettre leurs politiques de cybersécurité à des fins d’examen collégial (sur une base volontaire) ;
- Les autorités compétentes pourront infliger des amendes ou en demander l’application ;
- Mise en place de politiques globales : les États membres doivent adopter des politiques globales pour la cybersécurité des chaînes d’approvisionnement des produits TIC, la gestion des vulnérabilités et le soutien au monde universitaire et de la recherche dans le domaine de la cybersécurité.
- Les États membres doivent promouvoir la cybersécurité active et la cyberhygiène des petites et moyennes entreprises.
- Obligations pour les décideurs : les organes de direction et les organismes concernés doivent approuver les mesures de gestion des risques cyber adoptées par les entités, et les décideurs doivent suivre une formation en cybersécurité.
Il est important de noter que la Directive NIS 2 est une « harmonisation minimale », et que les États membres peuvent adopter des dispositions assurant un niveau de cybersécurité plus élevé, à condition qu’elles soient compatibles avec les obligations prévues par le droit de l’Union.
Qui est concerné par la directive NIS 2 ?
La directive NIS2 étend et renforce le cadre établi par la directive NIS1, élargissant son champ d'application à un plus grand nombre d'entités. Les secteurs concernés incluent :
- Opérateurs de services essentiels (OSE) : Énergie : électricité, gaz, pétrole. Transport : aérien, ferroviaire, maritime, routier. Bancaire et infrastructures de marché financier. Santé : hôpitaux, laboratoires, établissements pharmaceutiques. Fourniture et distribution d'eau potable.
- Fournisseurs de services numériques (FSN) : Moteurs de recherche. Services cloud. Places de marché en ligne.
- Nouveaux secteurs et services : Fournisseurs de services de communication électronique. Fournisseurs de services de confiance. Gestion des déchets, administration publique, et espaces numériques critiques.
La directive NIS2 vise à inclure également des entités de taille moyenne, augmentant ainsi la résilience des infrastructures critiques et assurant une meilleure protection contre les cybermenaces. Les entreprises concernées doivent se conformer à des obligations renforcées en matière de cybersécurité et de gestion des risques, garantissant une meilleure préparation et réponse aux incidents de sécurité.
Quelle est la responsabilité des organes de direction ?
- Supervision et Gouvernance : Les organes de direction doivent superviser la mise en œuvre de mesures de cybersécurité adéquates. Ils sont tenus de s'assurer que l'entité dispose de ressources suffisantes pour gérer les risques de cybersécurité.
- Gestion des Risques : Les dirigeants doivent veiller à l'identification, l'évaluation et la gestion des risques liés à la cybersécurité. Ils doivent garantir que des plans de réponse aux incidents et de continuité des activités sont en place et régulièrement testés.
- Conformité et Réglementation : Les organes de direction doivent s'assurer que l'entité respecte les obligations légales et réglementaires en matière de cybersécurité. Ils sont responsables de la notification des incidents de sécurité aux autorités compétentes dans les délais prescrits.
- Formation et Sensibilisation : Il est de la responsabilité des dirigeants de promouvoir une culture de cybersécurité au sein de l'organisation. Ils doivent garantir que le personnel est régulièrement formé et sensibilisé aux bonnes pratiques de cybersécurité.
- Responsabilité Individuelle : Les dirigeants peuvent être tenus personnellement responsables en cas de non-conformité grave aux exigences de la directive NIS2. Ils doivent démontrer une diligence raisonnable dans l'exécution de leurs responsabilités en matière de cybersécurité.
En renforçant ces responsabilités, la directive NIS2 vise à intégrer la cybersécurité dans la stratégie globale des entreprises, assurant une meilleure préparation et une réponse plus efficace aux cybermenaces.
Assurez votre conformité NIS 2 avec Provigis
Provigis accompagne les entreprises nouvellement concernées par la directive NIS 2 dans :
- La prise en compte et la gestion de la sécurité des chaînes d’approvisionnement ;
- La mise en place de mesures d’une surveillance accrue en simplifiant l’audit des tiers ;
- La gestion du risque ;
- La rationalisation des obligations de reporting grâce à des KPIs avancés, des conseils avisés et un accompagnement personnalisé.
Ne laissez pas les nouvelles régulations vous prendre au dépourvu. Faites confiance à Provigis pour vous accompagner dans votre mise en conformité avec la directive NIS 2 et garantir la sécurité de votre entreprise et de vos partenaires.