NIS 2 : Qu’est-ce que c’est ? Présentation de la Directive (1/4)

03 octobre 2024 / Mickaël

Par : Mickaël

Membre des équipes de Blue, Mickaël met en avant son expertise autour de la gouvernance et de la stratégie de cybersécurité. En tant que RSSI, il intervient sur des thématiques telles que la gestion des risques, la conformité, la sécurité organisationnelle et les bonnes pratiques permettant de renforcer la protection des systèmes d’information.

NIS 2, vous en avez sûrement déjà entendu parler. Mais à quoi correspond NIS 2 ? Que faut-il savoir dans la directive européenne NIS 2 ? Qu'implique cette directive ? Autant de questions que nombreux dirigeants d'entreprises et professionnels de l'informatique se posent. Découvrez dès maintenant ce qu'il faut savoir sur NIS 2 pour préparer votre entreprise.

Cet article est le premier d'une série proposée par Blue, portant sur NIS 2 et visant à informer chaque entité sur cette directive européenne.

SOMMAIRE :

NIS 2 : Témoignage de notre expert en cybersécurité

Témoignage

Mickaël MARTIN

Responsable Sécurité des Systèmes d'Information chez Blue

Entre NIS 1 & NIS 2, quels sont les changements importants ?

La principale différence entre la directive NIS 1 et NIS 2 réside dans l'élargissement significatif du champ d'application. Alors que NIS 1 ciblait uniquement un nombre limité de secteurs présentés comme critiques, NIS 2 inclut désormais de nouvelles entités essentielles et importantes.

Par exemple, sous NIS 1, seules des entreprises comme les opérateurs d'infrastructures critiques (énergie, transport, santé, etc.) étaient concernées. Désormais, avec NIS 2, des secteurs comme les fournisseurs de services cloud, les data centers, ou même les entreprises de l’alimentation et du traitement des eaux sont également soumis à des obligations de cybersécurité renforcées.

Autre évolution à bien prendre en compte, la directive NIS 2 impose des mesures de sécurité plus strictes. Là où NIS 1 demandait simplement de notifier les incidents majeurs, NIS 2 introduit des règles de gestion des risques plus avancées, incluant des contrôles sur les chaînes d’approvisionnement. Imaginez, une entreprise exerçant dans le traitement de l’eau qui sous-traite tout ou une partie de son SI rend applicable la directive NIS 2 au sous-traitant. Sous NIS 2, non seulement l'entreprise doit renforcer sa propre cybersécurité, mais elle doit aussi s'assurer que ses sous-traitants respectent des normes élevées de sécurité.

Pourquoi l’Europe décide-t-elle d’imposer cette directive ?

Le but principal est clair : mieux répondre à l’intensification des cybermenaces. Les attaques sont devenues plus sophistiquées, plus fréquentes et ciblent des infrastructures critiques pouvant avoir des impacts potentiellement dévastateurs. Un exemple marquant est l'attaque par ransomware contre le service de santé en Irlande en 2021, qui a paralysé des hôpitaux pendant plusieurs semaines. Un autre exemple est le piratage d’une usine de traitement de l’eau dans l’état de Floride en 2021. Les répercussions de ces attaques ne se limitent plus à une seule entreprise, elles menacent directement la sécurité et la santé publique.

L’Union Européenne souhaite donc harmoniser les niveaux de sécurité au sein de ses États membres, et développer un socle de sécurité commun. En introduisant NIS 2, elle s’assure que tous les pays adoptent des normes communes, favorisant ainsi une réponse collective et plus efficace aux menaces. Aujourd’hui, l’Europe veut mettre en place une défense collective et particulièrement face à des acteurs malveillants souvent internationaux. C’est un excellent point pour notre cyberprotection entre états membres.

Pourquoi les entreprises doivent-elles prendre avec importance, cette directive ?

Avant tout, les entreprises doivent voir la directive NIS 2 non pas comme une simple obligation légale et contraignante, mais comme une opportunité de renforcer leur résilience face aux cyberattaques.

Une entreprise qui se conforme à NIS 2 réduit significativement ses risques d’être paralysée par un ransomware, par exemple. Si on prend l’exemple d’une PME dans le secteur industriel : si elle néglige ses mesures de cybersécurité, une attaque pourrait bloquer ses machines de production pendant des jours, voire des semaines, ce qui entraînerait des pertes financières considérables, des ruptures de chaîne de production et une perte de confiance de ses clients. Autrement dit, ces attaques peuvent sérieusement impacter des entreprises.

Il faut aussi savoir que se conformer à NIS 2, c’est aussi protéger la réputation de son entreprise. Les clients et partenaires accordent de plus en plus d’importance à la sécurité des données. Une entreprise qui montre qu’elle respecte les normes de cybersécurité les plus récentes et les plus rigoureuses (comme celles de NIS 2) se démarque clairement.

Informez-vous sur la directive NIS 2

Posez vos questions à nos experts en cybersécurité

CONTACTER LES EXPERTS BLUE

NIS 2 : Présentation de la Directive Européenne

Avant NIS 2, qu’était la directive NIS 1 ?

Depuis de nombreuses années, le constat est clair. L'accélération de la transformation numérique des sociétés européennes a amplifié l'exposition du marché européen à des cybermenaces inédites. On sait aujourd’hui qu’un très grand nombre de cyberattaques cible les entreprises et administrations européennes, qui doivent faire face à une menace grandissante. D’autant plus que ces entités nationales et européennes sont de plus en plus interconnectées, développant de potentielles failles organisationnelles. Un partenaire touché peut en compromettre un autre dès lors qu’ils sont liés.

Pour contrer les cybermenaces, il était impératif de garantir un niveau de sécurité suffisant pour l'ensemble des pays membres de l'Union européenne.

C’est dans ce contexte que le Parlement européen et le Conseil de l’Union européenne ont adopté, en juillet 2016, la directive « Sécurité des réseaux et de l'information » (Network and Information Security - NIS), aussi écrite NIS 1.

Cette directive européenne, transposée en droit national en 2018, visait à renforcer la cybersécurité des opérateurs essentiels de dix secteurs stratégiques. Au total, ces secteurs stratégiques représentaient plusieurs centaines d’entités en France.

Grâce à ce cadre règlementaire initial, ces acteurs majeurs ont été tenus de signaler leurs incidents de sécurité à l’ANSSI. Ensuite, ces acteurs ont dû déployer les mesures de protection nécessaires pour minimiser les risques cyber affectant leurs systèmes critiques, en application de NIS 1.

Aujourd’hui, que va changer la directive NIS 2 ?

La directive NIS 2 marque une étape décisive dans l'évolution de la cybersécurité en Europe. NIS 2, s'appuie sur les acquis de NIS 1 pour initier un véritable changement de cap, aussi bien à l'échelle nationale qu'européenne.

Face à la sophistication croissante des cybermenaces orchestrées par des acteurs malveillants toujours mieux équipés et mieux organisés, pour l’Europe et chacun de ses pays membres, il était impératif de prendre cette directive avec le plus grand sérieux.

La directive européenne NIS 2 ne se contente pas d'élargir son champ d'application. Cette dernière impose des exigences de sécurité renforcées pour un nombre accru d'entités, y compris celles qui étaient jusqu'à présent moins protégées. Elle impose des obligations de sécurité organisationnelles et techniques aux différentes entités. Ces objectifs de sécurité à atteindre seront différents entre une entité essentielle et importante.

Sachez que cette extension règlementaire n'a pas réellement d'équivalent en matière de cybersécurité. La directive NIS 2 doit être perçue comme une priorité absolue pour toute organisation soucieuse de se prémunir contre les risques numériques et ses cyberattaques (DDoS, phishing, hameçonnage ciblé, ransomware, attaque DNS...).

Quand est l’entrée en vigueur NIS 2 ?

La directive NIS 2 a été officiellement publiée le 27 décembre 2022 au Journal Officiel de l’Union Européenne. Cette publication a fixé un délai de 21 mois pour que chaque État membre transpose les exigences règlementaires dans son droit national. En France, cela signifie que NIS 2 devra être transposée et mise en œuvre d’ici octobre 2024. L’Union Européenne annonce d’ailleurs la date du 17 octobre 2024 comme échéance de transposition nationale pour les états membres.

Cependant, il faut prendre en compte que la date de mise en vigueur ne correspond pas nécessairement à l’application immédiate de toutes les obligations règlementaires pour les entités concernées : entités importantes et entités essentielles.

Certaines de ces exigences seront applicables immédiatement, tandis que d’autres disposeront d’un délai supplémentaire pour permettre une mise en conformité progressive.

Pour respecter cette échéance européenne d'octobre 2024, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) prévoit deux étapes clés :

Première étape en 2023 : Phase de préparation du projet de loi, en vue de sa présentation au Parlement et d’une adoption prévue courant 2024.
Deuxième étape en 2024 : Phase de finalisation des décrets et arrêtés, avec consultations et validation interministérielle, pour publication des textes règlementaires dans les mois suivant la promulgation de la loi.

L’ANSSI insiste sur la planification pour assurer une transition fluide et une conformité rigoureuse avec la directive NIS 2.

Sachez qu'à date de cet article, encore aucune transposition n’a été publiée par l’ANSSI, ni même publiée au Journal Officiel.

Pourquoi la directive est-elle stratégique ?

Comme cité précédemment, la sophistication et l’intensification des cybermenaces font réagir les Etats chargés d’imposer des règles numériques à l’échelle nationale. Les failles persistantes dans les systèmes d'information et les risques qu’induisent les pertes de données présentent la directive NIS II comme une réponse incontournable.

La directive européenne vise à renforcer la sécurité de milliers d'entités, offrant ainsi une opportunité inédite pour renforcer les défenses numériques à l'échelle nationale des pays membres de l’UE.

Cette directive est également un levier essentiel pour fédérer les acteurs économiques et les institutions publiques autour de la cybersécurité. NIS 2 pousse les États membres à consolider leur coordination en matière de gestion des crises cyber, notamment en institutionnalisant le réseau CyCLONe, qui réunit l'ANSSI et ses partenaires européens pour une réponse collective et harmonisée.

L’ANSSI et son soutien à tous types d’entités

Dans une démarche de collaboration étroite, l’ANSSI travaille main dans la main avec les entreprises pour élaborer un cadre national de cybersécurité. Depuis l’automne 2023, l'agence organise des échanges réguliers avec les fédérations professionnelles, les associations d’élus locaux et les ministères concernés. Un des objectifs est d’intégrer les retours des futurs organismes soumis aux régulations de NIS 2. Ces discussions se poursuivront tout au long du processus de transposition de la directive.

Simultanément, l’ANSSI développe des outils innovants, notamment le portail numérique « MonEspaceNIS2 », destiné à informer les potentielles entités concernées. Ce portail sera enrichi progressivement pour répondre aux besoins spécifiques des entreprises. Forte de son expertise en conseil, sensibilisation et assistance opérationnelle, l’ANSSI continue de renforcer les capacités de protection des systèmes d’information en France.

L’ANSSI et le constat sur les attaques :

Une fois de plus, l’ANSSI est au cœur des échanges sur les enjeux de la cybersécurité en France. Son rôle est amplifié grâce à ses propres analyses, dont « Panorama de la cybermenace 2023 ». Au sein de l’analyse, l’ANSSI constate que plus de 60 % des incidents de cybersécurité signalés concernent principalement les petites entreprises, les très petites entreprises, ainsi que les collectivités locales.

En parallèle, l'ANSSI observe une évolution notable des menaces : les attaquants ciblent de plus en plus les réseaux de sous-traitance pour atteindre leurs objectifs en s'attaquant indirectement aux clients finaux.

Face à ce constat chiffré et à la vulnérabilité de certains acteurs, il est impératif de renforcer la sécurité numérique au sein des organisations qui manquent de ressources spécialisées. L’objectif est de veiller à fournir aux entités vulnérables, les outils nécessaires pour mettre en œuvre des protections fondamentales contre les cyberattaques. Ce besoin urgent est au cœur des exigences du règlement NIS 2, conçu pour améliorer la résilience des systèmes critiques.

Pourquoi les entités ciblées par la directive doivent-elles être conformes ?

Être conforme à NIS 2, oui, mais à quel point ? Et pour limiter quels risques ?

Plus les entreprises seront protégées, plus elles risquent d’éviter une perte de données. Et dans la majorité des cas, les pertes de données peuvent réellement paralyser le fonctionnement d’une entreprise.

La conformité avec NIS II permet à toutes les entités visées d’améliorer leur niveau de cybersécurité. La protection est essentielle contre les cyberattaques, en constante augmentation depuis des années, comme vu dans le rapport de l’ANSSI.

Garantir une stratégie solide de cybersécurité avec NIS 2, c’est garantir la sécurité des données de son entreprise et celles de ses clients.

Dans le cadre de notre analyse approfondie de la directive NIS 2, nous vous proposons de comprendre les implications pour différents acteurs, et pour cela, vous pouvez lire l'article intitulé NIS 2 : Qui est concerné ? qui élucide les groupes spécifiquement impactés par cette réglementation.

NIS 2 : Comment en savoir plus ?

Le sujet NIS 2 vous intéresse ? Vous voulez notamment en connaitre davantage pour votre entreprise ? Vous souhaitez connaitre les processus de mise en conformité ? Vous voulez connaitre les NIS2 entreprises concernées ?

Les équipes du pôle cybersécurité de Blue s'intéressent de très près à NIS 2 et accompagnent de nombreuses entreprises sur le sujet. Analyse de l’existant, mise en conformité, recommandations techniques... Profitez de l’expertise de nos équipes pour rentrer en conformité avec NIS 2.