La directive NIS (Network and Information Security) a été adoptée en juillet 2016 par le Parlement européen et le Conseil de l’Union européenne. Cette directive avait pour objectif d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité. Avec ce premier dispositif, ces grands acteurs ont été soumis à l’obligation de déclarer leurs incidents de sécurité à l’ANSSI, et de mettre en œuvre les mesures de sécurité nécessaires pour réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cyber.
Passage à la directive NIS2
La directive NIS2, votée le 10 novembre 2022, vise à harmoniser et à renforcer la cybersécurité du marché européen. Elle s’appuie sur les acquis de la directive NIS1 pour marquer un réel changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS2 élargit ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection.
Entreprises concernées
Avec la directive NIS1, seuls les acteurs majeurs de dix secteurs d’activité étaient concernés. La directive NIS2 élargit son périmètre, cela concerne un large éventail d’entreprises dans divers secteurs. Voici une liste détaillée des secteurs concernés :
· Santé : Les hôpitaux, les cliniques, les laboratoires médicaux et autres entités du secteur de la santé,
· Banque et services financiers : Cela comprend les banques, les sociétés de crédit, les sociétés d’assurance et autres institutions financières,
· Transport : Les compagnies aériennes, les sociétés de transport routier, les sociétés de transport maritime et les sociétés de logistique,
· Énergie : Les producteurs et distributeurs d’électricité, de gaz et de pétrole 1.
· Eau potable : Les fournisseurs d’eau potable,
· Télécommunications : Les fournisseurs de services de télécommunications et d’accès à Internet,
· Datacenters : Les entreprises qui exploitent des datacenters,
· Services des eaux usées et de gestion des déchets : Les entreprises qui gèrent les eaux usées et les déchets,
· Certaines entreprises industrielles : Cela comprend les laboratoires pharmaceutiques et certaines autres industries,
· Alimentation : Les entreprises du secteur alimentaire, y compris la grande distribution alimentaire,
· Services postaux : Les entreprises qui fournissent des services postaux,
· Secteur spatial : Les entreprises du secteur spatial,
· Administrations publiques : Les administrations publiques.
Il est important de noter que cette liste n’est pas exhaustive.
Obligations des entreprises
Les entreprises qui entrent dans la nouvelle nomenclature (entités essentielles ou importantes) devront se mettre en conformité avec la directive NIS2, en implémentant de nouvelles mesures techniques, organisationnelles et opérationnelles. Les organisations doivent signaler les incidents de cybersécurité aux autorités dans les 24 heures. Les nouvelles dispositions encadrent également la gestion et la divulgation des vulnérabilités, les tests de cybersécurité et l’utilisation efficace du chiffrement.
Voici quelques étapes clés pour se préparer à cette nouvelle réglementation :
· Analyse des risques cyber encourus et des politiques de sécurité en place : Les entreprises doivent évaluer les risques auxquels elles sont exposées et mettre en place des politiques de sécurité appropriées pour y faire face.
· Formation : Les entreprises doivent former leur personnel à la cybersécurité et aux nouvelles exigences de la directive NIS2.
· Mise en place de mesures techniques : Les entreprises doivent mettre en œuvre des mesures techniques pour protéger leurs systèmes d’information.
· Mise en place de mesures organisationnelles : Les entreprises doivent par ailleurs mettre en place des mesures organisationnelles, comme la nomination d’un représentant auprès de l’ANSSI.
· Préparation à la déclaration d’incidents : Les entreprises doivent se préparer à déclarer tout incident de sécurité à l’ANSSI dans les 24 heures suivant sa découverte.
Sanctions
En cas de non-respect des dispositions, les entités essentielles s’exposent à une amende de 10 millions d’euros, ou 2% du chiffre d’affaires mondial total. Les entités importantes s’exposent à une amende 7 millions d’euros, ou 1,4% du chiffre d’affaires mondial total, le montant le plus élevé étant retenu.
Comparaison entre la norme ISO 27001 – NIS2
Alors que la norme ISO 27001 est un cadre général qui peut être appliqué à tout type d’organisation, la directive NIS2 est spécifiquement destinée aux entités essentielles ou importantes dans l’Union européenne. De plus, la norme ISO 27001 est une démarche volontaire alors que la conformité à la directive NIS2 est une obligation pour les entités concernées.
En termes de mesures de sécurité, les deux cadres ont beaucoup en commun. Par exemple, ils exigent tous deux que les organisations évaluent les risques auxquels elles sont exposées et mettent en place des politiques de sécurité appropriées pour y faire face. La formation des salariés est aussi une exigence Cependant, la directive NIS2 va plus loin en exigeant que les organisations signalent les incidents de cybersécurité aux autorités dans les 24 heures.
En conclusion, bien que la norme ISO 27001 et la directive NIS2 aient des objectifs similaires, elles diffèrent par leur portée, leur applicabilité et certaines de leurs exigences spécifiques.
Conclusion
La directive NIS2 représente certaine d’un point vue réglementaire de nouvelle contrainte, mais également une opportunité qui va permettre à des milliers d’entités de mieux se protéger. Elle amène aussi les États membres à renforcer leur coopération en matière de gestion de crise cyber.
Écrire commentaire