La directive NIS 2 est toujours au centre de nombreuses discussions, d’études et de préoccupations de RSSI et DSI. Tout le monde en parle… mais à quelques jours de son entrée en vigueur, où en est-on vraiment ?
L'Europe a décidé de faire évoluer la Directive NIS (Network and Information Security) pour élever le niveau de sécurité des organisations européennes et établir un niveau de maturité homogène au sein des pays de l’UE.
La nouvelle Directive NIS 2 est donc une extension de NIS en vigueur depuis 2016 et qui concernait environ 300 entités dont les activités étaient considérées comme essentielles pour la Nation. NIS 2 va donc étendre ce périmètre à des milliers d’organisations (privées et publiques) qui vont elles aussi devoir faire évoluer leur cybersécurité pour répondre à un nombre important de nouvelles exigences.
Une problématique majeure se pose alors : pendant que les organisations doivent se préparer "rapidement", la discussion autour de NIS 2 est omniprésente, mais les détails concrets des nouvelles mesures exigées restent flous.
Il y a tout de même une nouveauté que nous connaissons déjà… et elle change la donne à elle seule : NIS 2 va instaurer des « sanctions » et frapper au porte-monnaie les organisations dont le niveau de cybersécurité ne sera pas conforme !
Voici un point sur ce que nous savons concrètement et ce sur quoi nous pouvons déjà nous avancer.
Qui est concerné ?
Avec NIS 2, nous ne parlons plus d'Opérateurs de Services Essentiels (OSE) mais d'Entités Importantes (EI) et d'Entités Essentielles (EE). Alors que NIS concernait environ 300 OSE, NIS 2 va s’adresser à plus de 10 000 EI et EE en France, mais aussi – et c’est nouveau – à leurs prestataires, ayant un accès à leurs infrastructures. De quoi faire exploser le nombre d’entreprises soumises à NIS 2.
Les EI et EE sont des organisations de plus de 50 salariés réalisant plus de 10 millions d’euros de chiffre d’affaires et sont issues des 18 secteurs identifiés par NIS, répartis en 2 catégories : secteurs hautement critiques ou secteurs critiques, parmi lesquels l’énergie, les transports, la santé et le pharmaceutique, le spatial, les banques et institutions financières ou encore les administrations publiques.
Pour savoir si vous êtes concernées par NIS 2, vous pouvez consulter l’espace NIS 2 mis en place par l’Etat : Mon Espace NIS2 – Pour bien débuter (cyber.gouv.fr)
Le saviez-vous ?
La France a inspiré la 1ère version de NIS avec sa Loi de Programmation Militaire (qui imposait des exigences de cybersécurité à des organismes dont les activités étaient et sont encore identifiées comme vitales pour la Nation – autrement appelés OIV), mais l’adoption et la transposition de NIS 1 ont été libre pour chaque pays et la France a limité le nombre d’entités concernées par rapport à d'autres pays européens. A titre de comparaison, NIS 1 concernait plus de 10 000 « OSE » en Finlande, 1250 au Portugal, près de 600 Italie, contre 300 pour la France. Ces pays ont donc pris de l’avance quant à l'adoption de NIS 2.
Les échéances ?
Nous entendons souvent parler de la date du 17 octobre 2024 pour l’entrée en vigueur de NIS 2 mais cette date est la date limite pour la transposition du texte dans la loi nationale. Chaque pays aura ensuite jusqu’au 17 janvier 2025 pour informer la Commission européenne des règles et mesures adoptées, puis jusqu’au 17 avril 2025 pour déposer la liste des EI et EE concernées. La vraie mise en conformité n’est donc pas attendue avant un peu moins d’un an, voire même un peu plus si on en croit les éléments distillés par le DG de l’ANSSI, Monsieur Vincent Strubel lors du FIC à Lille.
Les sanctions ? Quel référent Étatique ?
NIS 2 va frapper fort, et a prévu des sanctions dissuasives : c’est fait exprès ! En cas de violation des articles 21 (les mesures de gestion des risques cyber) et 23 (obligation d’information), les EI pourront se voir infliger une amende de 7 millions d’euros ou 1,4% de leur chiffre d’affaires mondial, et les EE de 10 millions d’euros ou 2% de leur CA mondial.
En revanche, tant que nous n’avons pas la transposition de la Directive en droit français, nous ne savons toujours pas quelle sera l’autorité française compétente pour sanctionner. Très vraisemblablement, cela devrait être l’ANSSI ou un nouvel organisme qui lui sera affilié.
Notons que l'objectif de NIS 2 est d’élever le niveau de cybersécurité des organisations et donc de les aider à faire face aux attaques. Le but premier n’est donc pas de sanctionner les entreprises déjà victimes d’une cyberattaque. Il y a d'ailleurs fort à parier que l’ANSSI, ou son organisme référent, sanctionnera en premier lieu les entreprises qui ne joueraient pas le jeu et auraient tenté de dissimuler une cyberattaque en choisissant de ne pas alerter.
Comment s’y préparer ?
Le conseil que nous pouvons adresser aux EI et EE est en premier lieu de se doter en des capacités de détection pour pouvoir alerter, et de mettre en place les règles de base d’hygiène cyber.
En attendant les mesures concrètes, les entreprises peuvent s’inspirer de la version initiale de NIS ou, mieux encore, en atteignant la conformité ISO 27001
Si nous ne connaissons pas encore les mesures NIS 2, nous savons quand même par où commencer pour anticiper les futures exigences ! Cela va de soi mais se mettre en conformité avec NIS 1 serait déjà un grand pas. Rappelons que NIS se compose de 4 chapitres (Gouvernance, Protection, Défense, Résilience) et 23 règles de sécurité détaillées dans l’arrêté du 14 septembre 2018.
Avec NIS 2, l’UE souhaite faire évoluer la protection des données européennes face aux menaces grandissantes sur plusieurs grands axes :
>> La gestion des risques (article 21)
>> Les obligations de déclaration et de partage d’informations (article 23)
>> La capacité de réponse aux incidents
>> La sécurité de la supply chain
>> Le chiffrement des données
Sur cette base, nous pouvons clairement imaginer le contour de NIS 2 et recommander aux entreprises la mise en place d’actions précises à savoir la réalisation d’une analyse de risque (audit), la mise en place d’une charte, et de 7 axes de cybersécurité :
>> Plan de gestion des incidents
>> Plan de continuité des activités avec gestion des sauvegardes
>> Plan de reprise d’activité
>> Plan de gestion de crise
>> Politiques et Procédures pour évaluer l’efficacité des mesures
>> Plan de formation cyber hygiène et cybersécurité
>> Politiques de contrôles d’accès et de gestion des actifs
Et pour les organismes déjà bien avancés et qui veulent aller encore plus loin, nous ne pouvons que leur recommander de se pencher sur la certification ISO 27001, qui est la référence en matière de gestion de la sécurité des données informatiques/ de l’information dans le monde.
Le monde de la cyber est tellement virulent que nous n’avons pas d’autre choix que de passer à l’étape supérieure. C’est l’objectif de NIS 2. Le point n’est pas tant de contraindre, mais d’inciter les organisations à se protéger face à une menace qu’elles ne comprennent pas forcément ni ne maitrisent par nature.
En revanche, ce qui est sûr, c’est que se mettre en conformité va demander du travail et des investissements financiers… C’est là l’un des enjeux clés de la préparation à NIS 2, faire accepter aux dirigeants que l’investissement est nécessaire.
Mais pour cela un argument devrait les convaincre : cela coûtera toujours moins cher qu’une crise cyber ou les conséquences d’une cyberattaque…
Vous souhaitez en savoir plus sur ce sujet ?
Nos experts et nos équipes commerciales sont à votre service. Laissez vos coordonnées et nous vous contacterons rapidement.