Article réservé aux abonnés Archimag.com

Les entreprises et administrations françaises au cœur de la Directive NIS 2

Le

  • cybersecurite-directive-nis-2-europe.jpg

    directive-nis-2-cybersecurite-union-europenne
    Les entités assujetties à NIS 2 seront multipliées par dix, puisque onze nouveaux secteurs (publics et privés) entrent directement dans son périmètre. (Rawpixel/Freepik)
    • À l’heure du développement exponentiel des technologies de l’information, les cybermenaces frappent de manière progressive et sans distinction, compromettant la sécurité des utilisateurs. Les systèmes d’information sont devenus une cible pour les pirates informatiques en raison de la dépendance des sociétés à leur égard. Pour y faire face, le Parlement européen a voté en 2022 la directive NIS 2. Voici ces apports théoriques majeurs et les changements concrets qu’entraîne sa mise en œuvre.

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    En 2022, 45 % des entreprises françaises ont déclaré avoir été victimes de cyberattaques, soit près d’une entreprise sur deux. Face à ce constat, la France crée un arsenal législatif pour tenter d’atténuer ces risques, tant sur le terrain de la prévention que de leur remédiation (Cyber-Assurances, CyberScore, etc.).

    En parallèle, une stratégie de lutte contre les cybermenaces est mise en place, notamment via l’Agence nationale de la Sécurité des Systèmes d’Information (Anssi) et les brigades spécialisées de la police et de la gendarmerie.

    Au niveau de l’Union européenne, a été adoptée en 2016 la directive sur la sécurité des réseaux et des systèmes d’information (SRI), mieux connue sous son acronyme anglais NIS (Network and Information Security), avec pour objectif de créer des obligations pour les entreprises, ainsi qu’une coopération européenne en matière de cybersécurité.

    Son réexamen, prévu dans la directive NIS 1 et effectué à la lumière de l’évolution des cybermenaces, a abouti à deux constats : d’une part, son champ d’application est trop restreint, puisqu’elle s’applique à seulement 15 000 opérateurs européens, et, d’autre part, des lacunes, inhérentes à ses divergences d’application dans les différents États membres, subsistent tant sur la mise en œuvre des obligations que sur leur supervision et leur exécution.

    C’est dans ce cadre qu’a été votée le 10 novembre 2022 par le Parlement européen la directive NIS 2, publiée au Journal officiel de l’Union européenne le 27 décembre 2022.

    Les apports théoriques majeurs de NIS 2

    Extension du champ d’application

    NIS 1 laissait les États responsables de la désignation des entités dites « opérateurs essentiels » soumises à ses obligations renforçant la sécurité des systèmes d’information. Désormais, les entités assujetties à NIS 2 seront multipliées par dix, puisque onze nouveaux secteurs (publics et privés) entrent directement dans son périmètre.

    Ils s’étendent aux administrations publiques, aux services postaux, à la gestion des déchets, aux services des eaux usées, aux transports, aux secteurs bancaire et de la santé ou encore aux infrastructures des marchés financiers et numériques.

    Dans certains cas (entité ayant un impact sur la sécurité/santé publique par exemple), les entreprises seront visées sans critères de taille. Dans d’autres (telles que les entités du secteur des transports), des seuils s’appliqueront.

    Mécanisme de proportionnalité : entités essentielles et importantes

    NIS 2 inclut un mécanisme de proportionnalité avec l’intégration d’une classification entre les entités essentielles et importantes. Les premières sont limitativement listées par la directive selon leurs activités et des plafonds définis (par exemple les fournisseurs de réseaux publics de communications électroniques), tandis que les autres entités appartiennent à la seconde catégorie (telle qu’une petite entreprise travaillant dans le secteur des transports).

    Cette nouvelle distinction permettra d’ajuster les obligations et sanctions applicables. L’Anssi affirme par ailleurs qu’elle « compte s’appuyer sur cette notion pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories ».

    Renforcement des sanctions

    La directive prévoit un mécanisme de sanctions similaire à celui du RGPD. Les sanctions s’appliqueront à l’ensemble des entités assujetties et varieront selon leur qualification d’essentielles ou d’importantes quant à leurs mesures de supervision, exécution et les amendes prononcées.

    Des inspections et audits pourront être organisés par un organisme indépendant ou l’autorité compétente dans chaque État membre. Les amendes seront déterminées selon une somme forfaitaire ou un pourcentage du chiffre d’affaires, plafonnés par la directive selon la nature de l’entité.

    La France a jusqu’alors fait varier ces amendes de 75 000 à 125 000 euros, au regard de la nature du manquement (défaut de déclaration d’incident, non-conformité aux règles de sécurité et obstruction des opérations de contrôle).

    Quels changements concrets pour les entreprises et les administrations ?

    Si la directive NIS 2 ne constitue pas une véritable révolution dans son contenu, mais s’inscrit plutôt dans la continuité de NIS 1, l’extension de son champ d’application est en pratique impactante pour les nombreuses entreprises et administrations maintenant soumises à ses obligations.

    Identification et enregistrement

    Les États membres devront établir une liste, au plus tard le 17 avril 2025, identifiant les entités essentielles et importantes ainsi que celles fournissant des services d’enregistrement de noms de domaine. Comme pour NIS 1, on peut s’attendre à ce que cette liste soit établie après l’envoi d’une lettre aux entités désignées.

    Pour ce faire, les entités visées devront communiquer aux autorités compétentes leurs nom, adresse et coordonnées actualisées, dont les adresses électroniques, numéros de téléphone, etc. Enfin, les États membres seront également libres de mettre en place un mécanisme permettant aux entités de s’enregistrer elles-mêmes.

    Gouvernance et sensibilisation

    Les organes de direction des entités essentielles et importantes devront approuver les mesures de gestion des risques en matière de cybersécurité, superviser leur mise en œuvre et pourront être à ce titre tenus responsables en cas de manquement à ces obligations.

    En pratique, celles-ci s’analysent en une étude des risques et vulnérabilités des systèmes d’information, ainsi qu’une gestion des incidents appropriée. La directive prévoit encore que les membres des organes de direction suivent une formation et encourage les entités à offrir régulièrement une telle sensibilisation aux membres de leur personnel.

    Gestion des risques

    Les entités visées par la directive devront prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques menaçant la sécurité de leurs réseaux et systèmes d’information.

    Ces mesures seront proportionnées au degré d’exposition de l’entité aux risques, à sa taille, à la probabilité de la survenance d’incidents et leur gravité au regard de leurs conséquences sociétales et économiques.

    Notification des incidents

    Les entités concernées devront, sans retard injustifié, dans les 24 et 72 heures, notifier au centre de réponse aux incidents de sécurité informatique désigné par chaque État membre tout incident ayant un impact important sur leur fourniture de services.

    La directive définit un incident comme important lorsque « (a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée, (b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables ».

    Conclusion : NIS 2, de la théorie à la pratique

    Toutes les obligations seront mises en œuvre via la transposition de la directive qui devra être réalisée avant le 17 octobre 2024 et contiendra des dispositions d’application directe ou avec un délai de mise en conformité.

    Les États membres seront tenus d’adopter une stratégie nationale en matière de cybersécurité déterminant les objectifs stratégiques, les ressources nécessaires et les mesures politiques et réglementaires appropriées.

    Yves Verhoeven, sous-directeur stratégie de l’Anssi, invite néanmoins les futures entités concernées à se préparer dès aujourd’hui et celles d’ores et déjà visées par NIS 1 à ne pas relâcher leurs efforts, dès lors que les nouvelles exigences s’inscriront dans son prolongement naturel.

    Les bonnes pratiques pour se préparer à l’entrée en vigueur de NIS 2

    Niveau de sécurité minimal :

    • antivirus/clés de chiffrement (+ mise à jour) ;
    • mots de passe hautement sécurisés et renouvellement régulier de ceux-ci ;
    • charte informatique ;
    • mesures physiques de sécurité (ex. : badges, clés, etc.) ;
    • sauvegardes, gestion de l’accès au réseau.

    Niveau de sécurité intermédiaire :

    • formation des organes de direction ;
    • contrôle du niveau de sécurité des prestataires ;
    • réalisation d’audits.

    Niveau de sécurité important :

    • se conformer aux recommandations de l’Anssi pour la protection des systèmes d’information essentiels (réduction de la surface d’attaque, maîtrise des systèmes d’informations essentiels, gestion des supports amovibles, cloisonnement physique ou logistique) ;
    • obtenir une certification (ex. : Iso 27001).

    Mathilde Carle
    [Avocate aux Barreaux de Paris et New York, Cabinet Kramer Levin]

    Justine Pallo
    [Élève-avocate]

    Sur le même sujet: 
    La sécurité : maillon essentiel de la digital workplace
    Cybersécurité : bientôt une loi sur la cyber-solidarité pour l’Europe
    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    bibliotheques-enjeux-2023
    Acteurs majeurs de la culture, de l’éducation et de la recherche, les bibliothèques font face à des enjeux spécifiques et protéiformes, en interne et pour leurs publics (mutation des usages numériques, inclusion, open access, conduite du changement, écoresponsabilité, etc.). En première ligne, des professionnels aux compétences et aux outils en constante évolution, tour à tour gestionnaires de collections, conservateurs, médiateurs, formateurs ou pilotes, qui doivent faire preuve de créativité et d’innovation pour rester attractifs et répondre aux besoins de leurs usagers. Découvrez dans ce dossier à quels enjeux les bibliothèques municipales, départementales, universitaires et spécialisées doivent-elles faire face en 2023.
    Acheter ce numéro  ou  Abonnez-vous
    0 Commentaire
    cybersécurité
    Union européenne
    Anssi
    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.
    Lire la suite...