De NIS 1 à NIS 2

De NIS 1 à NIS 2 : l’évolution (majeure) du cadre législatif européen en matière de cybersécurité

La directive Network and Information Security, ou NIS, a marqué une avancée majeure dans le renforcement de la cybersécurité en Europe, en introduisant un cadre législatif commun pour les opérateurs de services essentiels et les fournisseurs de services numériques.

Toutefois, face à un macroenvironnement cybersécurité en pleine turbulence et aux limites observées dans sa mise en œuvre, l’Union européenne a jugé nécessaire de mettre à jour cette directive pour mieux répondre aux enjeux actuels. C’est ainsi qu’est née la NIS 2, qui apporte des améliorations significatives en termes de champ d’application, d’obligations et de coopération entre les États membres.

Découvrez dans cet article comment la NIS 2 vient renforcer la cybersécurité à l’échelle européenne ainsi que les implications pour les entreprises (nouvellement) concernées.

NIS 1 : le contexte d’une première mouture ambitieuse

Au début des années 2010, le paysage numérique en Europe et dans le monde a connu une croissance exponentielle, avec une dépendance accrue aux technologies de l’information et de la communication (TIC). Cette dépendance a également entraîné une augmentation des risques liés à la cybersécurité, notamment les cyberattaques, les vols de données et les atteintes à la vie privée. Les infrastructures critiques comme les réseaux électriques, les systèmes de transport et les services de santé sont devenues des cibles privilégiées pour les cybercriminels et les acteurs étatiques malveillants.

Dans ce contexte, l’Union européenne (UE) a reconnu la nécessité d’agir pour renforcer la sécurité des réseaux et des systèmes d’information et protéger les citoyens et les entreprises contre les cybermenaces. La stratégie de l’UE en matière de cybersécurité, lancée en 2013, a identifié la nécessité d’établir un cadre législatif pour améliorer la cybersécurité et favoriser la coopération entre les États membres.

La directive NIS 1 a été promulguée en réponse à ces préoccupations, dans le but d’harmoniser les législations nationales en matière de cybersécurité. Avant son adoption, les États membres de l’UE avaient des approches divergentes et incohérentes pour réglementer la cybersécurité, ce qui rendait difficiles la coopération transfrontalière et la réponse aux incidents de cybersécurité à l’échelle européenne.

NIS 1 : champ d’application, obligations et limites

La directive NIS 1, adoptée en juillet 2016 et entrée en vigueur en août 2016, a été le premier véritable effort législatif à l’échelle de l’Union européenne pour renforcer la cybersécurité au sein des États membres. L’objectif principal était d’améliorer la sécurité des réseaux et des systèmes d’information en établissant un cadre législatif commun.

Champ d’application

Le champ d’application de la directive NIS 1 couvrait deux catégories d’acteurs :

  • Les opérateurs de services essentiels (OSE) : des entreprises et organisations qui jouent un rôle crucial dans le fonctionnement de l’économie et de la société, comme les acteurs des secteurs de l’énergie, des transports, de la santé, de l’eau et des services financiers ;
  • Les fournisseurs de services numériques (FSN), parfois désignés par l’acronyme DSP, pour Digital Service Provider : il s’agit des moteurs de recherche, des plateformes de vente en ligne et des fournisseurs de services de Cloud Computing.

A noter : la directive ne concerne pas les DSP de moins de 50 personnes et dont le chiffre d’affaires annuel ou le total bilan est inférieur à 10 millions d’euros.

Obligations pour les acteurs concernés

La directive NIS 1 imposait aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN) plusieurs obligations pour garantir la sécurité de leurs réseaux et systèmes d’information :

  1. Mise en place de mesures de sécurité : les OSE et les FSN étaient tenus d’adopter des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. Ces mesures devaient être proportionnées au risque encouru et pouvaient inclure des actions de prévention, de détection, de réaction et de rétablissement en cas d’incident.
  2. Gestion des incidents de sécurité : les acteurs concernés devaient disposer de procédures pour gérer efficacement les incidents de sécurité, en identifiant et classant les incidents, en évaluant leur impact et en déployant des actions correctives pour rétablir la sécurité.
  3. Notification des incidents : les OSE et les FSN avaient l’obligation de signaler rapidement les incidents de sécurité ayant un impact significatif sur la continuité de leurs services aux autorités nationales compétentes (l’Autorité nationale de la sécurité des systèmes d’information, ANSSI, en France).

Les limites de NIS 1

  1. Champ d’application limité : la directive NIS 1 reposait sur la désignation par les États membres d’entités considérées comme essentielles et soumises aux obligations de la directive. Cette approche a conduit à une portée limitée et à des différences dans la mise en œuvre entre les États membres. De plus, certains secteurs importants, tels que les entreprises pharmaceutiques et les opérateurs de production, de stockage et de transport d’hydrogène, n’étaient pas couverts par la directive NIS 1 ;
  2. Obligations insuffisamment détaillées, notamment en matière de gestion des risques et de prévention des incidents. Il manquait des exigences spécifiques concernant, par exemple, la gestion des incidents, la continuité des activités, l’utilisation du chiffrement et de l’authentification sécurisée et la formation ;
  3. Exigences de notification des incidents : la directive NIS 1 exigeait la notification des incidents de sécurité ayant un impact significatif, mais elle ne fournissait pas de délais précis ou de contenu spécifique pour ces notifications ;
  4. Pouvoirs d’enquête et de sanction limités : les autorités compétentes disposaient de pouvoirs limités pour enquêter sur les manquements et imposer des sanctions en vertu de la directive NIS 1.

C’est donc pour combler ces lacunes que les Etats membres ont produit la deuxième mouture de cette directive.

NIS 2 : être à la hauteur des enjeux en matière de cybersécurité

Croissance exponentielle de la cybermenace, nouveaux enjeux de souveraineté post-Covid, guerre en Ukraine… le macroenvironnement de la cybersécurité n’a jamais été aussi turbulent. Il fallait donc (massivement) mettre à jour NIS 1 pour être à la hauteur des enjeux. La NIS 2, publiée au Journal officiel de l’Union européenne le 27 décembre 2022, apporte donc des améliorations structurelles à la première mouture.

Avant d’énumérer les changements apportés par NIS 2, arrêtons-nous un instant sur sa grande nouveauté, à savoir l’extension du champ d’application pour englober les entreprises du privé, de la PME au groupe du CAC40 qui cumulent les conditions suivantes :

  • Opèrent dans les secteurs d’activité listés par la directive (voir plus bas) ;
  • Effectif de plus de 250 salariés ;
  • Chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros.

Le nombre de secteurs dits « essentiels » est par ailleurs passé de 7 à 11, élargissant ainsi le champ d’application de la NIS 2 aux secteurs suivants : l’énergie, les transports, les banques, les infrastructures de marché financier, les infrastructures numériques, l’eau potable, les eaux usées, l’alimentaire, la santé, l’administration publique et l’espace.

Voici une synthèse des autres modifications notables :

  1. Stratégies nationales de résilience : les États membres doivent établir des stratégies nationales de résilience pour chaque secteur essentiel ;
  2. Mise en place du CyCLONe (Cyber Crises Link Organisation Network), un réseau européen d’organisations de liaison en cas de crises de cybersécurité, dont le but principal est de soutenir la gestion coordonnée lors des crises et incidents majeurs en matière de cybersécurité dans l’Union ;
  3. Renforcement du rôle des autorités compétentes (l’ANSSI en France), et désignation de points de contact uniques (les CSIRT) pour assurer une coopération transfrontalière efficace avec les autorités des autres pays membres, la Commission européenne et l’ENISA ;
  4. Création d’un cadre national de gestion de crise en cybersécurité et production d’un rapport sur l’état de la cybersécurité dans l’Union tous les deux ans par l’ENISA ;
  5. Mise en place d’un système d’évaluation par les pairs pour les États membres souhaitant soumettre leurs politiques de cybersécurité à des fins d’examen collégial (sur une base volontaire) ;
  6. Les autorités compétentes pourront infliger des amendes ou en demander l’application ;
  7. Mise en place de politiques globales : les États membres doivent adopter des politiques globales pour la cybersécurité des chaînes d’approvisionnement des produits TIC, la gestion des vulnérabilités et le soutien au monde universitaire et de la recherche dans le domaine de la cybersécurité.
  8. Les États membres doivent promouvoir la cybersécurité active et la cyberhygiène des petites et moyennes entreprises.
  9. Obligations pour les décideurs : les organes de direction et les organismes concernés doivent approuver les mesures de gestion des risques cyber adoptées par les entités, et les décideurs doivent suivre une formation en cybersécurité.

Il est important de noter que la Directive NIS 2 est une « harmonisation minimale », et que les États membres peuvent adopter des dispositions assurant un niveau de cybersécurité plus élevé, à condition qu’elles soient compatibles avec les obligations prévues par le droit de l’Union.

Assurez votre conformité NIS 2 avec Cyber Threat COnsulting

Cyber Threat COnsulting accompagne les entreprises nouvellement concernées par la directive NIS 2 dans :

  • La prise en compte et la gestion de la sécurité des chaînes d’approvisionnement ;
  • La mise en place de mesures d’une surveillance accrue en simplifiant l’audit des tiers ;
  • La gestion du risque ;
  • La rationalisation des obligations de reporting grâce à des KPIs avancés, des conseils avisés et un accompagnement personnalisé.

Ne laissez pas les nouvelles régulations vous prendre au dépourvu. Faites confiance à Cyber Threat COnsulting pour vous accompagner dans votre mise en conformité avec la directive NIS 2 et garantir la sécurité de votre entreprise et de vos partenaires.

 

Partager :