Qu’est-ce qui change avec la directive NIS2 ? 

La directive européenne NIS2, adoptée en janvier 2023, imposera à de nombreuses entreprises la nécessité d’améliorer leurs mesures de sécurité pour lutter contre les nouvelles formes de cyberattaques. Ambitieuse et visionnaire, NIS 2 a pour objectif d’établir un niveau de maturité cybernétique uniforme dans toute l’Union européenne. 

En quoi NIS2 est-elle une évolution de la directive précédente ?  

La directive NIS – Network and Information Security – s’inscrit dans un cadre réglementaire étendu visant à renforcer la sécurité numérique sur le marché européen, particulièrement dans les secteurs fortement tributaires des technologies de l’information et de la communication. En tant que descendance de la NIS 1, la nouvelle directive NIS 2 élargit son champ d’application, imposant ainsi ses principes à un plus grand nombre d’entités et de secteurs. 

De manière concrète, la directive NIS 2 continuera de s’appliquer aux domaines déjà touchés par la NIS 1 (comme les établissements de santé, les banques et les transports), tout en s’étendant à de nouveaux secteurs d’activité tels que les administrations publiques, les télécommunications, les plateformes de réseaux sociaux, les services postaux, et même le secteur spatial. 

Un autre changement majeur réside dans son extension aux entreprises privées. Ainsi, plusieurs milliers d’entreprises, allant des PME aux grandes entreprises du CAC40, devront se conformer aux directives de cette nouvelle régulation. 

Enfin, la directive NIS2 apporte une troisième innovation significative : l’intégration d’un mécanisme de proportionnalité, qui différencie deux catégories d’acteurs réglementés en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’Agence nationale de la sécurité des systèmes d’information (ANSSI*) s’appuiera sur cette notion pour établir des exigences spécifiques adaptées à chaque catégorie d’entités. 

Pourquoi NIS2 est-elle une étape importante dans la régulation de la cybersécurité ? 

Alors que la menace complexe, professionnelle et en constante évolution ne faiblit pas et que les systèmes d’information restent pour partie vulnérables, la mise en œuvre de la directive NIS 2 se présente comme une opportunité sans équivalent : elle permettra à des milliers d’entités d’améliorer leur niveau de protection. Cette initiative offre également la possibilité de mobiliser largement l’économie nationale ainsi que le secteur public. De plus, elle incite les États membres à intensifier leur coopération en matière de gestion de crise cybernétique, en établissant notamment un cadre officiel pour le réseau CyCLONe, qui réunit l’ANSSI et ses homologues européens. 

À lire aussi :  RATs : quand un email de phishing permet aux attaquants de prendre le contrôle de votre entreprise

Qui est concerné par la directive NIS2 ? 

Depuis le 26 mars dernier, le gouvernement a mis à disposition un simulateur pour vous aider à savoir si votre entité est assujettie à la directive NIS 2 et à quelle catégorie elle appartient.

Plus globalement, la directive NIS2 s’adresse aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés. Ces entreprises englobent diverses tailles, allant des PME aux grandes entreprises, et dans certains cas, des collectivités territoriales. 

Quels sont les secteurs d’activités impactés par NIS2 ?  

Initialement, la Directive NIS1 régissait 19 secteurs. Avec cette nouvelle version, ce sont désormais 35 secteurs qui entrent en jeu. 

Les 19 secteurs couverts par la NIS1 englobent : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’approvisionnement en eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et le secteur aérospatial. 

À cela, NIS2 étend son champ aux secteurs suivants : les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques. 

Quelle est la différence entre une entité essentielle et une entité importante ?  

Les entreprises classées comme essentielles ou importantes font partie des 35 secteurs visés et ont la responsabilité d’une infrastructure dont l’arrêt aurait des conséquences significatives sur l’économie et le fonctionnement du pays. En règle générale, les ETI et les grandes entreprises inscrites sur la liste des opérateurs de services essentiels (OSE) seront classées en tant qu’entités essentielles. 

Les entreprises concernées seront identifiées dès la publication du décret de transposition de cette directive au niveau national, au plus tard le 17 octobre 2024. Les critères de sélection incluent un effectif d’au moins 50 employés et un chiffre d’affaires supérieur à 1 million d’euros.

À lire aussi :  Cyberattaques : les collectivités dans le viseur des pirates

Pourquoi les sous-traitants sont-ils inclus dans cette directive ? 

En réponse aux phénomènes d’attaques visant la chaîne d’approvisionnement, également connues sous le nom d’attaques de type « supply chain », cette catégorie d’acteurs est désormais intégrée aux secteurs concernés par NIS 2. 

Les entreprises sous-traitantes peuvent avoir un accès aux données sensibles ou aux systèmes critiques, et si elles ne sont pas adéquatement protégées contre les cybermenaces, elles deviennent une cible pour les criminels informatiques. En incorporant les entreprises sous-traitantes dans les exigences de cybersécurité, les organisations qui les engagent peuvent s’assurer que leurs sous-traitants ont mis en place les mesures de sécurité appropriées pour protéger les données et les systèmes dont ils ont la charge. 

Cela permet de prévenir les risques de propagation de vulnérabilités dans la chaîne d’approvisionnement et d’éviter de causer des préjudices aux entreprises avec lesquelles elles collaborent. 

Il est bon de rappeler que les cyberattaques qui ont touché les entreprises Kaseya et SolarWinds ont engendré, par ricochet, des dizaines de milliers de victimes à travers le monde. 

Comment se préparer à l’application de NIS2 ? 

Quand la directive NIS2 sera-t-elle en vigueur ? 

Adoptée par le Parlement européen le 10 novembre 2022 et officiellement diffusée dans le Journal officiel de l’Union européenne le 27 décembre 2022. En accord avec le RGPD, cette directive donne aux États membres une période de 21 mois pour incorporer ces réglementations dans leurs législations nationales, avec une échéance estimée au 17 octobre 2024. Toutefois, tant que ce n’est pas fait par l’ANSSI, cette directive n’est pas opposable. 

Existe-t-il des aides pour accompagner les entreprises dans cette transition ? 

Avec une conjoncture économique incertaine et une dette en hausse suite à la pandémie de la COVID-19, cette nouvelle pression sur les investissements ne peut pas être facilement absorbée par les entreprises. Jusqu’à présent, aucun dispositif d’aide financière n’a été annoncé par les gouvernements, ce qui est compréhensible étant donné que, au moment de la rédaction de ces lignes, le texte est en cours de transposition au niveau national. En France, l’ANSSI dispose cependant d’un budget d’investissement de 136 millions d’euros depuis 2011, dans le cadre de la composante cybersécurité du fonds France Relance. À la fin de l’année 2021, 626 candidats avaient bénéficié d’une formation en cybersécurité, pour un montant total de 69 millions d’euros. 

À lire aussi :  Cybersécurité industrielle : dépasser les mythes

Comment se préparer à l’application de NIS2 ? 

L’obligation de se conformer aux exigences de la directive NIS 2 ne sera formellement en vigueur qu’à partir de 2024. En attendant que la directive soit transposée dans la législation française, les opérateurs de services essentiels (OSE) ainsi que les fournisseurs de services numériques doivent continuer de respecter les exigences énoncées dans la NIS1 et les autres réglementations relatives à la sécurité des systèmes d’information. 

De plus, les entités qui étaient déjà soumises à la NIS1 doivent persévérer dans leurs efforts de mise en conformité selon la première version de la directive. Les progrès accomplis jusqu’à présent ne seront bien sûr pas vains, puisque la nouvelle directive NIS2 s’appuie sur les fondements établis par son prédécesseur. Enfin, les entreprises susceptibles d’être concernées par la NIS 2 devraient entamer dès à présent une démarche proactive pour améliorer leur niveau de sécurité informatique. 

Face à une menace cybernétique persistante et à la vulnérabilité des systèmes d’information, la nouvelle directive NIS 2 offre aux organisations une occasion unique d’investir dans l’amélioration de leur sécurité. Les entreprises concernées ont tout intérêt à évaluer leur niveau de maturité en matière de cybersécurité sans délai. 

 

Vous faites partie des secteurs concernés et vous souhaitez être accompagnés dans la mise en conformité de votre sécurité informatique ? Mailinblack est LA solution qu’il vous faut.  

Grâce à la solution de sensibilisation en cybersécurité, Cyber Coach, et à l’audit des vulnérabilités de votre entreprise, Mailinblack vous permet d’élaborer une feuille de route pertinente en vue de leur mise en conformité avec la NIS2.  

Alors n’attendez plus pour faire une demande d’audit et découvrir au travers d’une démo les vulnérabilités de votre entreprise.  

Articles similaires