Retour à la liste

Directive NIS 2

DM, IA et Cybersécurité

La Directive (UE) 2022/2555, également connue sous le nom de NIS 2, a été adoptée pour garantir un niveau élevé commun de cybersécurité à travers l'Union Européenne, visant ainsi à améliorer le fonctionnement du marché intérieur. Elle met en place un ensemble de mesures, y compris l'obligation pour les États membres d'adopter des stratégies nationales en matière de cybersécurité, de désigner des autorités compétentes, et de mettre en place des points de contact uniques et des centres de réponse aux incidents de sécurité informatique (CSIRTs - Computer Security Incident Response Team). Elle impose également des obligations de gestion des risques et de notification pour certaines entités et définit des règles pour le partage d'informations en matière de cybersécurité.

La directive s'applique aux entités fournissant des services ou exerçant des activités qui sont importantes d'un point de vue économique et couvre une large gamme d'entités publiques et privées opérant dans des secteurs spécifiques. Ces secteurs incluent l'énergie, les transports, la banque, les infrastructures du marché financier, la santé, l'approvisionnement en eau potable, et la gestion numérique des déchets.

La directive établit des exigences pour les États membres afin qu'ils assurent que les entités concernées prennent les mesures nécessaires pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d'information. Ces mesures doivent être appropriées et proportionnées, basées sur une évaluation des risques et doivent inclure des politiques de gestion des incidents et des analyses des risques.

Les CSIRT jouent un rôle crucial dans le cadre de cette directive, avec la faculté de surveiller les ressources des entités pour gérer les risques et réagir aux incidents. La coopération internationale est également encouragée pour renforcer la cybersécurité au-delà des frontières de l'UE.

En somme, la NIS 2 vise à consolider la posture de cybersécurité de l'UE en mettant en place un cadre plus robuste et harmonisé pour la protection des infrastructures critiques, assurant ainsi une réponse cohérente et efficace aux cybermenaces à travers l'Union.



Quelles sont les 10 différences entre la NIS 1 et la NIS 2 ?

10 points clés pour comparer les Directives NIS 1 (UE 2016/1148) et NIS 2 (UE 2022/2555) :

  • Champ d'application élargi : NIS 2 couvre plus d'entités que NIS 1, incluant un éventail plus large de secteurs et d'activités essentiels, ainsi que des "entités importantes" en plus des "entités essentielles".
  • Catégorisation des entités : NIS 2 introduit une distinction claire entre les "entités essentielles" et les "entités importantes", imposant des obligations différenciées de gestion des risques et de notification des incidents.
  • Exigences renforcées : NIS 2 renforce les exigences en matière de cybersécurité pour toutes les entités concernées, demandant des mesures techniques et organisationnelles plus strictes pour garantir la sécurité des réseaux et des systèmes d'information.
  • Notification des incidents : NIS 2 précise davantage les obligations de notification des incidents, en élargissant les critères de notification pour inclure une gamme plus large d'incidents ayant un impact significatif.
  • Coopération et partage d'informations : NIS 2 renforce les mécanismes de coopération entre les États membres et encourage le partage d'informations sur les menaces et les incidents de cybersécurité, visant à améliorer la réponse collective à ces menaces.
  • Cadres nationaux de cybersécurité : NIS 2 exige des États membres qu'ils mettent en place des cadres nationaux complets pour la cybersécurité, incluant des stratégies nationales, la désignation d'autorités compétentes et l'établissement de CSIRT.
  • Mesures de supervision et d'exécution : NIS 2 introduit des cadres plus détaillés pour la supervision et l'exécution des obligations en matière de cybersécurité, avec des pouvoirs accrus pour les autorités compétentes.
  • Sécurité de la chaîne d'approvisionnement : NIS 2 met l'accent sur la sécurité tout au long de la chaîne d'approvisionnement et oblige les entités à gérer les risques liés à leurs fournisseurs et prestataires de services.
  • Inclusion de nouveaux secteurs : NIS 2 élargit la liste des secteurs considérés comme essentiels, incluant des secteurs tels que les services postaux, la gestion des déchets et la fabrication de produits pharmaceutiques.
  • Sanctions : NIS 2 prévoit des sanctions administratives plus élevées pour non-conformité, avec des amendes pouvant atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total.

Ces points illustrent l'approche plus inclusive et renforcée adoptée par la Directive NIS 2 pour améliorer la résilience et la sécurité des réseaux et systèmes d'information à travers l'Union européenne.



Les dix points clés de la Directive (UE) 2022/2555, ou NIS 2, sont les suivants:

  • Objectif et champ d'application élargis: NIS 2 vise à établir un niveau élevé commun de cybersécurité au sein de l'UE, en étendant son champ d'application à un plus grand nombre de secteurs et d'entités, incluant les fournisseurs de services essentiels et importants.
  • Catégorisation des entités: Les entités sont classées en "entités essentielles" et "entités importantes", avec des obligations spécifiques en matière de cybersécurité pour chacune, pour assurer un niveau approprié de sécurité et de résilience.
  • Obligations de gestion des risques: Les entités couvertes par la directive doivent prendre des mesures techniques et organisationnelles appropriées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d'information.
  • Obligations de notification des incidents: Les entités doivent notifier sans délai aux autorités compétentes les incidents ayant un impact significatif sur la fourniture de leurs services.
  • Renforcement de la coopération nationale et transfrontalière: La directive encourage une coopération renforcée entre les États membres, notamment par le biais de points de contact uniques, de CSIRT (Computer Security Incident Response Teams) et d'un groupe de coopération.
  • Cadres nationaux de cybersécurité: Les États membres doivent adopter des stratégies nationales en matière de cybersécurité, désigner des autorités compétentes, et établir des CSIRT.
  • Supervision et exécution: Introduction de cadres pour la supervision et l'exécution des obligations de cybersécurité, avec des pouvoirs et des sanctions clairs pour les autorités compétentes.
  • Sécurité de la chaîne d'approvisionnement et relations fournisseurs: La directive souligne l'importance de la sécurité tout au long de la chaîne d'approvisionnement et impose aux entités d'adresser les risques liés à leurs fournisseurs et prestataires de service.
  • Inclusion de nouveaux secteurs: NIS 2 élargit la liste des secteurs considérés comme essentiels, incluant des secteurs tels que les services postaux, les déchets, la fabrication de produits pharmaceutiques, et les produits chimiques.
  • Gestion de crise et partage d'informations: La directive met en place des cadres pour la gestion des crises au niveau national et de l'UE, favorisant le partage d'informations sur les menaces et les vulnérabilités pour améliorer la préparation et la réponse aux incidents.

NIS 2 marque une étape significative vers l'harmonisation et le renforcement de la cybersécurité dans l'ensemble de l'UE, en reconnaissant l'importance de la sécurité numérique pour la résilience globale des sociétés et des économies européennes.

Quid de la navigation au sein du PDF de NIS 2 ?

Je ne sais pas pourquoi, mais il n'y a pas de signet par chapitre et par article dans la Directive NIS 2 initiale. Parce que j'ai besoin de naviguer au sein du document sans perdre de temps, j'ai édité la Directive en y ajoutant tous les signets... C'est cadeau, le lien est en bas de l'article... Sinon, vous pouvez utiliser la version consolidée du 27 décembre 2022 (qui apporte des corrections mineures de typo), mais elle n'est pas disponible en français.


Quelles sociétés sont ciblées par la directive NIS 2 ? Quels secteurs d'activité ? 

La Directive NIS 2 cible un éventail plus large d'entités et de secteurs que sa prédécesseure, en reconnaissant l'importance cruciale de la cybersécurité dans un spectre étendu d'activités économiques et sociétales. Voici une vue d'ensemble des principaux types de sociétés et secteurs d'activité visés par cette directive:


Entités Essentielles et Importantes

La directive différencie entre les entités essentielles et les entités importantes, en imposant des obligations spécifiques à chacune, en fonction de leur impact sur le marché intérieur, la santé publique, la sécurité ou la sûreté économiques de l'UE.


Secteurs Hautement Critiques (Annexe I)

Les secteurs jugés hautement critiques incluent, mais ne sont pas limités à :

  • Énergie (électricité, gaz, pétrole)
  • Transports (aérien, ferroviaire, routier, maritime)
  • Banque
  • Infrastructures du marché financier
  • Santé
  • Approvisionnement en eau potable et traitement des eaux usées
  • Infrastructure numérique (IXP, DNS, TLD registries)
  • Espaces publics (administration publique, espace)


Autres Secteurs Critiques (Annexe II)

Cette catégorie comprend des secteurs comme :

  • Postal et services de courrier
  • Gestion des déchets
  • Fabrication de produits chimiques
  • Fabrication de produits pharmaceutiques
  • Industrie médicale et de la santé
  • Production, transformation, et distribution d'aliments


Critères d'Inclusion

La Directive NIS 2 (Directive (UE) 2022/2555) précise les critères d'inclusion pour déterminer quelles entités sont couvertes par ses dispositions. Ces critères servent à identifier les entités essentielles et importantes qui doivent se conformer aux exigences de cybersécurité stipulées dans la directive. Voici un résumé des critères d'inclusion clés:

  • Taille de l'Entreprise: Contrairement à NIS 1, NIS 2 applique ses exigences non seulement aux opérateurs de services essentiels et aux fournisseurs de services numériques mais élargit également son champ d'application à d'autres types d'entités, en se basant sur leur taille et leur importance. En général, la directive vise les entreprises moyennes et grandes, telles que définies dans la recommandation 2003/361/CE de la Commission. Les micro et petites entreprises peuvent être exclues, sauf si elles fournissent certains types de services critiques spécifiquement identifiés.
  • Importance pour l'Économie et la Société: Les entités sont considérées comme essentielles ou importantes selon leur rôle dans l'économie et la société. Cela inclut leur importance dans la fourniture de services essentiels dans des secteurs tels que l'énergie, les transports, la santé, l'approvisionnement en eau potable, la gestion des eaux usées, la sécurité numérique, et d'autres secteurs critiques identifiés dans les annexes de la directive.
  • Impact Potentiel d'un Incident: Les entités peuvent être incluses si un incident affectant leurs réseaux et systèmes d'information pourrait avoir des effets significatifs sur la continuité des services essentiels, y compris des impacts sur la santé publique, la sécurité, ou l'économie.
  • Rôle dans la Chaîne d'Approvisionnement: La directive prend également en compte le rôle des entités dans la chaîne d'approvisionnement des services essentiels. Les entités qui sont des fournisseurs ou des prestataires de services critiques pour les opérateurs d'infrastructures essentielles peuvent être incluses en raison de leur impact potentiel sur la sécurité de la chaîne d'approvisionnement.
  • Secteurs et Types de Services Spécifiques: Les annexes de la directive détaillent les secteurs spécifiques et les types de services qui sont couverts. Cette approche permet d'identifier précisément les entités relevant de chaque secteur critique, y compris les nouveautés par rapport à NIS 1, comme certains services numériques, la fabrication de produits pharmaceutiques, et la production et distribution de nourriture.

Note : Selon la recommandation 2003/361/CE de la Commission, qui définit les PME, les critères de taille pour les entreprises sont les suivants :

  • Microentreprises : celles qui emploient moins de 10 personnes et dont le chiffre d'affaires annuel ou le total du bilan n'excède pas 2 millions d'euros.
  • Petites entreprises : celles qui emploient moins de 50 personnes et dont le chiffre d'affaires annuel ou le total du bilan n'excède pas 10 millions d'euros.
  • Moyennes entreprises : celles qui emploient moins de 250 personnes et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros ou dont le total du bilan annuel n'excède pas 43 millions d'euros.


La Directive NIS 2, cependant, va au-delà de ces définitions de taille pour considérer l'impact potentiel d'un incident de cybersécurité sur les services essentiels. Ainsi, même des entreprises qui pourraient normalement être classées comme des micro ou petites entreprises selon les critères ci-dessus pourraient être incluses dans le champ d'application de la NIS 2 si elles fournissent des services considérés comme essentiels ou importants pour le maintien de fonctions sociales ou économiques critiques.


Il est important de noter que les États membres de l'UE ont la possibilité d'identifier les entités essentielles et importantes au sein de leur juridiction, ce qui pourrait inclure une analyse plus nuancée de l'importance des services fournis, indépendamment de la taille de l'entreprise. La directive encourage également les États membres à considérer certaines petites entreprises comme relevant de son champ d'application si elles jouent un rôle crucial dans la chaîne d'approvisionnement ou pour la fourniture de services critiques.


En résumé, les critères d'inclusion de la NIS 2 visent à assurer que la directive couvre une gamme étendue d'entités qui jouent un rôle crucial dans le maintien des fonctions sociétales et économiques essentielles de l'UE, tout en tenant compte de leur taille, de leur importance stratégique, et de leur impact potentiel sur la sécurité des réseaux et des systèmes d'information au sein de l'Union.


Qu’est-il prévu pour la gestion des risques ?

La Directive NIS 2 préconise une approche proactive à trois grandes étapes pour la gestion des risques de cybersécurité, qui englobe la responsabilité des entités essentielles et importantes dans la sécurisation de leurs réseaux et systèmes d'information. Voici les étapes clés :

  • Identification et Analyse des Risques : Les entités doivent réaliser une analyse systémique des risques pour identifier tous les risques potentiels d'incidents. Cette analyse doit tenir compte du facteur humain et de la dépendance de l'entité vis-à-vis des réseaux et des systèmes d'information, permettant ainsi une compréhension globale de la sécurité de leurs infrastructures. Il s'agit d'une étape cruciale qui implique la reconnaissance et l'évaluation des vulnérabilités existantes et potentielles qui pourraient compromettre la sécurité des données et des services.
  • Application des Mesures de Gestion des Risques : Après l'identification des risques, les entités doivent appliquer des mesures de gestion des risques adaptées. Ces mesures doivent couvrir la prévention, la détection des incidents, la réaction face à ces incidents, la récupération après incidents, et l'atténuation de leurs effets. La gestion des risques en matière de cybersécurité doit également englober la sécurité des données et considérer la sécurité physique et de l'environnement des systèmes d'information, en suivant les normes européennes et internationales pertinentes, comme celles de la série ISO/CEI 27000.
  • Suivi et Amélioration Continue : Les entités doivent mettre en place des politiques et des procédures pour évaluer régulièrement l'efficacité de leurs mesures de gestion des risques en matière de cybersécurité. Cela inclut la mise en œuvre de pratiques de base en matière de cyberhygiène, la formation à la cybersécurité, l'utilisation de la cryptographie, la gestion des ressources humaines, des politiques de contrôle d'accès, et la gestion des actifs. L'adoption de solutions d'authentification à plusieurs facteurs et l'évaluation de l'utilisation des technologies avancées pour renforcer la cybersécurité font également partie de cette étape d'amélioration continue.

Ces trois étapes constituent une approche globale et proactive à la gestion des risques de cybersécurité, conformément aux exigences de la Directive NIS 2, et soulignent l'importance d'une culture de sécurité informatique robuste au sein des entités essentielles et importantes.


Qu’est-il prévu pour le signalement et la surveillance des incidents ?

La Directive (UE) 2022/2555 prévoit un cadre structuré pour le signalement et la surveillance des incidents de cybersécurité. Voici les éléments clés relatifs à ces dispositions :

Notification Volontaire d'Informations Pertinentes (Article 30)

  • Notifications Volontaires : Les États membres doivent s'assurer que les notifications peuvent être transmises de manière volontaire aux CSIRT ou aux autorités compétentes par les entités essentielles et importantes, ainsi que par d'autres entités, concernant les incidents, les cybermenaces, et les incidents évités.
  • Traitement des Notifications : Les notifications volontaires sont traitées conformément à la procédure énoncée à l'article 23, avec une priorité possible pour les notifications obligatoires sur les volontaires. Un signalement volontaire ne crée pas d'obligations supplémentaires pour l'entité notifiante au-delà de celles qu'elle aurait eu sans notifier.


Supervision et Exécution (Article 31)

  • Supervision Efficace : Les États membres sont responsables de veiller à une supervision efficace et à la prise de mesures nécessaires pour assurer le respect de la directive, avec la possibilité de fixer des priorités de supervision basées sur les risques.


CSIRT et leurs Tâches (Article 10)

  • Designation des CSIRT : Chaque État membre désigne ou met en place un ou plusieurs CSIRT, qui doivent se conformer à des exigences spécifiques pour couvrir efficacement les secteurs, les sous-secteurs, et les types d'entités spécifiés dans la directive.
  • Tâches des CSIRT : Incluent la surveillance et l'analyse des cybermenaces, des vulnérabilités, et des incidents au niveau national; l'activation de mécanismes d'alerte précoce; la réaction aux incidents; et l'assistance aux entités concernées pour surveiller leurs réseaux et systèmes d'information.


Coopération (Article 14)

  • Groupe de Coopération : Un groupe de coopération est établi pour faciliter la coopération stratégique et l'échange d'informations entre les États membres, renforçant ainsi la confiance et la sécurité au niveau de l'UE.

Ces dispositions montrent un engagement envers une approche proactive et collaborative à la cybersécurité au sein de l'UE, en encourageant le partage d'informations et la réactivité face aux cybermenaces tout en respectant la confidentialité et la sécurité des informations partagées.


Quelles sanctions sont prévues ?

La Directive NIS 2 précise la responsabilité juridique des dirigeants des entités essentielles et importantes en matière de cybersécurité. Les points clés concernant la responsabilité des membres de la direction et les sanctions possibles sont les suivants :


  • Responsabilité des dirigeants : Les États membres doivent s'assurer que toute personne physique responsable d'une entité essentielle, ou agissant en tant que représentant légal, a le pouvoir de veiller au respect de la directive par l'entité. Ces personnes peuvent être tenues responsables des manquements à leur devoir de respecter la directive.

  • Sanctions pour les entités : Les sanctions spécifiques pour non-respect incluent des amendes administratives significatives.
    • Pour les entités essentielles, les amendes peuvent atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé.
    • Pour les entités importantes, les amendes peuvent s'élever jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, selon le montant le plus élevé.

  • Sanctions spécifiques contre les dirigeants : Les États membres peuvent demander aux organismes compétents ou aux juridictions, conformément au droit national, d'interdire temporairement à toute personne physique exerçant des responsabilités dirigeantes au niveau de directeur général ou de représentant légal dans l'entité essentielle, d'exercer ces responsabilités dirigeantes. Ces sanctions sont appliquées jusqu'à ce que l'entité concernée remédie aux insuffisances ou se conforme aux exigences de l'autorité compétente. La mise en œuvre de telles suspensions ou interdictions est soumise à des garanties procédurales appropriées.

  • Principe de proportionnalité et de défense : Lors de l'imposition de sanctions, y compris des mesures contre les dirigeants, les autorités compétentes doivent respecter les droits de la défense et prendre en compte les circonstances propres à chaque cas, y compris la gravité de la violation, la durée, les violations antérieures, les dommages causés, et si la violation a été commise délibérément ou par négligence.

Ces éléments montrent clairement que la Directive NIS 2 met un accent particulier sur la responsabilité des entités et de leurs dirigeants pour garantir un niveau élevé de sécurité des réseaux et des systèmes d'information au sein de l'UE, avec des mécanismes de sanction pour encourager la conformité.


Comment se préparer à la Directive NIS 2 ?

La préparation à la Directive NIS 2 (Directive (UE) 2022/2555) est cruciale pour les entités essentielles et importantes afin de garantir leur conformité et renforcer la cybersécurité à travers l'Union européenne. Voici un plan en dix étapes pour se préparer efficacement à la NIS 2 :

  • Évaluation de l'applicabilité : Déterminez si la Directive NIS 2 s'applique à votre organisation en fonction de sa taille, de son secteur d'activité, et si elle est considérée comme une entité essentielle ou importante.
  • Compréhension des obligations : Familiarisez-vous avec les exigences de la Directive NIS 2, notamment en termes de gestion des risques et de notification des incidents.
  • Adoption d'un SMQ basé sur l'ISO 27001 : Implémentez un Système de Management de la Sécurité de l'Information (SMSI) conforme à l'ISO 27001, qui fournit un cadre pour la gestion de la sécurité des informations, incluant des aspects tels que l'évaluation des risques et la gestion des incidents.
  • Analyse des risques : Réalisez une analyse des risques pour identifier les vulnérabilités de votre organisation face aux cybermenaces, en ligne avec les exigences de la NIS 2 et les principes de l'ISO 27001.
  • Mise en œuvre des mesures de sécurité : Développez et mettez en œuvre des mesures techniques et organisationnelles appropriées pour gérer les risques identifiés, conformément à la Directive NIS 2 et aux meilleures pratiques de l'ISO 27001.
  • Formation et sensibilisation : Assurez la formation et la sensibilisation de votre personnel aux pratiques de sécurité des informations, en mettant l'accent sur les rôles et responsabilités liés à la NIS 2 et à l'ISO 27001.
  • Notification des incidents : Mettez en place des procédures pour la notification rapide des incidents de sécurité aux autorités compétentes, conformément aux exigences de la NIS 2.
  • Révision et amélioration continue : Intégrez des mécanismes de révision et d'amélioration continue de votre SMSI, pour rester conforme à la NIS 2 et à l'ISO 27001 sur le long terme.
  • Préparation aux audits : Préparez votre organisation aux audits de conformité, tant pour la NIS 2 que pour la certification ISO 27001, en effectuant des audits internes réguliers.
  • Partage d'informations et coopération : Engagez-vous dans le partage d'informations sur les menaces et les meilleures pratiques avec d'autres organisations et autorités compétentes, comme encouragé par la NIS 2, pour améliorer collectivement la cybersécurité au sein de l'UE.

Ces étapes constituent une approche structurée pour se préparer à la Directive NIS 2, en tirant parti des principes de l'ISO 27001 pour établir un cadre solide de gestion des risques et de sécurité des informations.


Conclusion

La directive vise à harmoniser les mesures de sécurité et les obligations de rapport des incidents à travers l'UE, améliorer la coopération entre les États membres, et augmenter la résilience globale des infrastructures critiques face aux cybermenaces. En résumé, la Directive NIS 2 applique une approche plus inclusive et détaillée pour couvrir un large éventail de secteurs et d'entités, reconnaissant la nature interconnectée de l'économie moderne et l'importance de la cybersécurité pour la société dans son ensemble.

Les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la Directive NIS 2 d'ici le 17 octobre 2024 et commencer à appliquer ces mesures à partir du 18 octobre 2024. Ce calendrier fixe une échéance claire pour que les États membres alignent leurs lois et réglementations nationales sur les exigences de la Directive NIS 2.


Directive NIS 2 avec signets