Cybersécurité et NIS 2 : quelles obligations pour les entreprises ?

NIS, un peu de contexte

La directive « Network and Information System » (NIS) ou « Sécurité des Réseaux et des systèmes d’Information » (SRI) est une directive européenne adoptée en 2016.
L’ambition : instaurer un haut niveau de sécurité des S.I harmonisé à tous les pays européens.
La NIS s’applique uniquement à des entreprises critiques, ayant été identifiées comme des Opérateurs de Services Essentiels (OSE) ou des Fournisseurs de service numérique (FSN). Cela concerne environ 500 entreprises en France.
Sur la base de la NIS, la NIS 2, va plus loin en incluant dans son périmètre encore plus d’entreprises et des secteurs d’activités encore plus variés.

Aller plus loin avec la NIS 2

La seconde itération de la directive NIS a été publiée au Journal Officiel de l’Union européenne en décembre 2022 : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555

La NIS 2 est une étape de plus en faveur de la cyberdéfense :

• Élargissement du champ d’application des obligations de sécurisation à toute la chaîne d’approvisionnement ;
• Définition plus précise des mesures à adopter, proches des normes internationales ISO 27K ;
• On ne parle plus d’Opérateurs mais d’Entités de Services Essentiels, incluant les Fournisseurs de Service Numérique.

Vincent Strubel, Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) explique les objectifs de cette nouvelle mesure :

« Les exigences prévues par la directive européenne invitent de nombreuses entités à construire une solide feuille de route pour déployer et renforcer leurs moyens de cyberdéfense, avec pour objectifs un fonctionnement structurel plus sûr, davantage de confiance vis-à-vis de leurs parties prenantes et une meilleure compétitivité pour les entreprises. »

Qui est concerné par la directive NIS 2 ?

Alors que la NIS concernait moins de 500 entités, la NIS 2 étend les obligations de sécurisation à plusieurs milliers d’entreprises.
En France, la nouvelle directive va s’appliquer à quasiment tous les secteurs (et sous-secteurs) d’activités et à des centaines de types d’entités différentes comme les administrations de toute taille et les entreprises privées de 50 salariés et plus.
Secteurs d’activités

* nouveaux secteurs concernés par la NIS 2


Classification des entités

Quelles obligations et mesures mettre en place ?

La directive NIS 2 aborde de nombreux thèmes liés à la cybersécurité : historisation des données, audit de sécurité, protection des terminaux, gestion de crise, notification d’incident, etc.
L’ENISA, agence de l’Union Européenne qui aide les États membres à se mettre en conformité avec diverses directives, met en corrélation plusieurs éléments de la NIS 2 avec des mesures de la norme ISO 27001 ou encore de la NIST pour aider les entreprises à s’y retrouver. Les mesures proposées sont listées ici : https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new/minimum-security-measures-for-operators-of-essentials-services
Si l’on devait regrouper les différentes mesures sous 4 grandes catégories, on pourrait résumer le tout de cette manière :

Le partage d’informations

Les entreprises sont tenues de fournir un certain nombre d’informations à l’autorité nationale désignée et de les mettre à jour si elles évoluent (point de contact, CSIRT, DSI…). Un point d’orgue est aussi mis sur la coopération entre les entités et les états membres, et entre les entités elles-mêmes.

Les connexions des prestataires et sous-traitants

Les entités essentielles et importantes doivent définir un contrat de cybersécurité avec tous leurs fournisseurs et prestataires. Concrètement, une entreprise qui a accès aux infrastructures de clients concernés par la NIS 2, sera de facto soumise à la nouvelle directive. Cette nouvelle mesure a pour but de limiter les portes d’entrées vulnérables vers le système d’information des clients finaux.

La gestion des risques cyber

La NIS 2 exige des entreprises concernées qu’elles mettent en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux, de leurs systèmes d’information et les risques liés aux interconnexions avec les prestataires et partenaires externes.

La déclaration d’incidents

En cas d’incident de sécurité détecté, un signalement devra être impérativement fait à l’autorité nationale désignée et l’entreprise devra fournir des rapports sur l’évolution de la situation.

Les contrôles et sanctions prévues par la NIS 2

Comme pour d’autres réglementations et lois en vigueur, l’ANSSI fera des contrôles aléatoires auprès de tout type d’entreprises. La NIS 2 n’exige pas d’implémenter des solutions et procédures de sécurité sur l’ensemble du SI, mais de pouvoir démontrer que des mesures sont mises en place pour protéger les informations sensibles.
En cas de contrôle, il faudra montrer patte blanche et si un incident est identifié, il faudra prouver que des garde-fous ont été instaurés.
Si des sanctions doivent être appliquées, les montants des amendes sont sensiblement similaires à un manquement au RGPD :

• Pour les entités essentielles : jusqu’à 2% du chiffre d’affaires annuel mondial (ou 10 M d’euros) ;
• Pour les entités importantes : jusqu’à 1,4% du CA annuel mondial (ou 7 M d’euros).

En cas d’incident

Au niveau du droit français, rien de nouveau dans le délai de signalement d’un incident. Comme c’est déjà le cas actuellement, la CNIL doit recevoir une notification complète 72h au plus tard après l’incident, avec toutes les informations trouvées et une évaluation de la gravité de l’incident.
Vous devrez également notifier votre CSIRT local 24 heures après la découverte. Selon le degré de criticité et vos ressources, il est possible que vous soyez accompagné par une équipe CSIRT ou directement par l’ANSSI dans la résolution de l’incident et dans une investigation post-mortem.

Préparez-vous dès aujourd’hui à la NIS 2.

La transposition dans le droit français devrait arriver prochainement. Ne vous attendez pas à avoir un contrôle dès le début 2025, mais vous devez dès à présent mener certaines actions en interne pour vous préparer :

• Impliquer la direction et le top management ;
• Pour les entités importantes : jusqu’à 1,4% du CA annuel mondial (ou 7 M d’euros) ;
• Évaluer le niveau de sécurité actuel de votre S.I ;
• Formaliser les procédures internes ;
• Définir les priorités pour établir une feuille de route.

Chez SNS SECURITY, nous pouvons vous accompagner.

Sur toutes les actions citées plus haut, SNS SECURITY peut vous accompagner grâce à son équipe GRC.
Audit de sécurité, accompagnement NIS 2, création d’une PSSI, etc. Nos experts sont à votre écoute pour définir vos objectifs et suivre votre projet de bout en bout. Pour chaque projet de gouvernance, vous disposez d’un chef de projet dédié, d’experts qui s’adaptent à votre environnement et de livrables techniques et managériales avec des conseils actionnables pour corriger vos éventuelles faiblesses.
Pour la directive NIS 2 ou toute autre réglementation ou norme, notre équipe définit avec vous, une feuille de route sous forme d’un plan d’actions à 6,12 et 18 mois.

Contactez-nous dès à présent pour discuter de votre projet de mise en conformité.