La directive Network and Information Security (NIS) est une directive européenne sur la cybersécurité adoptée le 6 juillet 2016. Son objectif est d’assurer un niveau de sécurité élevé et commun pour les réseaux et systèmes d’information de l’Union européenne.

Une révision du texte était prévue au plus tard en 2021 afin de préciser le périmètre d’application du texte initial et de renforcer le niveau d’exigence en matière de cybersécurité au sein de l’UE. Présentée au Parlement Européen le 28 octobre 2021, le vote de cette nouvelle directive « NIS 2 » est attendue pour le second semestre 2022. Dès que la directive entrera en vigueur, les États membres de l’Union Européenne auront 21 mois pour transposer le texte au sein de leur corpus législatif.  Quelles seront les implications pratiques pour les entreprises ?

 

Directive NIS : un socle européen commun pour la cybersécurité  

Cette directive établit un cadre de coopération entre Etats membres de l’UE, notamment à travers l’échange d’information et de bonnes pratiques. Cela se matérialise avec la mise en place du réseau européen CSIRT (Computer Security Incident Response Team), centre de réponse aux incidents cyber.

Au sein de chaque Etat membre, elle a par ailleurs mis en place un cadre d’exigences en matière de sécurité pour :

  • les Opérateurs de Services Essentiels (OSE), opérateurs tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société et,
  •  les Fournisseurs de Services Numériques (FSN), personne morale qui fournit tout service de la société de l’information.

Les exigences applicables aux OSE et FSN couvrent la maîtrise des systèmes d’information (SI) et des risques liés aux SI, la mise en place d’une gouvernance de la sécurité ainsi que des dispositifs de protection et de réponse à incidents / résilience.

 

NIS 2 : un périmètre d’application élargi

Liste des opérateurs de services essentiels concernés

Concernant les OSE, les exigences de sécurité de la NIS 1 étaient applicables aux secteurs d’activité suivants :

  • Fourniture et distribution d’eau potable ;
  • Energie : Electricité, Pétrole, Gaz ;
  • Infrastructure numérique
  • Infrastructures de marchés bancaires et financiers
  • Santé : établissement de santé
  • Transport : aérien, ferroviaire, routier, voie d’eau.

La NIS 2 ajoute à cette liste, les secteurs suivants : les gestionnaires d’eaux usées et de déchets, les fabricants de « produits critiques » (ex : médicaux, électroniques, etc.), les services postaux et de messageries, les administrations publiques (en premier lieu les administrations centrales, à l’exception de la défense, la sécurité nationale, la sécurité publique, le légal et le système judiciaire).

Seul le secteur des Infrastructures de marchés bancaires et financiers est sorti du périmètre NIS, ce secteur étant couvert par le règlement européen DORA dont les interactions avec la directive NIS restent à préciser.

 

Liste des fournisseurs de services numériques concernés

Concernant les FSN, en plus des moteurs de recherche, des services de Cloud, des sites de e-commerce et des marchés en ligne ; la directive NIS 2 s’appliquera désormais aux fournisseurs de DNS et aux services de confiance.

Par ailleurs, la directive NIS 2 s’appliquera de manière plus large que précédemment. Si la première version de la directive ne s’appliquait qu’aux acteurs majeurs de l’économie. NIS 2 stipule que si les petites entreprises restent en dehors de la directive, celle-ci s’appliquera en revanche à l’ensemble des moyennes et grandes entreprises des secteurs concernés.

 

Des exigences de sécurité renforcées

La directive NIS 2 renforce également le niveau d’exigence de sécurité pour les acteurs concernées. 23 règles de sécurité sont fixées, catégorisées en 4 thématiques (Gouvernance, Protection, Défense & Résilience). Chaque règle doit répondre à des objectifs précis.

A noter que des exigences graduées sont instaurées dans le cadre de la nouvelle directive. En effet, selon leur taille et leur criticité, les acteurs concernées par la directive seront classés en « acteur essentiel » ou « acteur important » avec des exigences différenciées.

Les entreprises concernées par la Directive NIS 2 devront notamment :

  • Mettre en place une approche par les risques,
  • Définir un Single Point Of Contact (SPOC) auprès des agences nationales de sécurité des systèmes d’information (L’ANSSI en France) notamment en charge de notifier les incidents de sécurité. Les organisations devront en effet, à l’instar des notifications de violation de données pour le Règlement Général sur la Protection des Données (RGPD), signaler les incidents de cybersécurité aux autorités dans les 24 heures (et non 72 heures comme le mentionne la NIS 1) puis soumettre un rapport final sur l’incident dans un délai maximal d’un mois.

 

Renforcement des pouvoirs de contrôle et de sanction

La directive NIS 2 introduit enfin des pouvoirs de contrôle renforcés. Les autorités nationales pourront en effet contrôler à tout moment le respect des exigences NIS par les acteurs concernés, via des contrôles sur site et/ou hors site, ainsi que des demandes d’accès à des preuves.

En cas de non-respect du cadre défini, des sanctions financières pouvant aller jusqu’à 10 000 000 euros ou 2 % du chiffre d'affaires annuel mondial de l'exercice précédent pourront être appliquées (le montant le plus élevé devant être retenu). Enfin, la responsabilité des personnes physiques occupant des postes de représentation ou de direction pourra également être engagée.

 

Conclusion

La nouvelle directive NIS 2, à l’instar de ce que l’on a pu connaître sur le RGPD, montre clairement la volonté de l’Union européenne de renforcer ses exigences en matière de sécurité. Les acteurs économiques de toute taille, en premier lieu les acteurs concernés par la directive, doivent dès à présent démarrer une démarche de renforcement de leur sécurité en s’appuyant sur des référentiels de management de la sécurité. A ce titre, le référentiel ISO 27001 est une base essentielle pour la mise en conformité à la directive NIS. Nos experts ISO 27001 sont à votre disposition pour vous accompagner.