0972 311 312 
(prix appel local)

Cette image montre deux mains interagissant avec un smartphone sur un fond flou. Autour du téléphone, des mots-clés tels que

Directive européenne NIS2, la cybersécurité ne sera plus une option

Anthony Guillerm, Responsable Sécurité des Systèmes d'information - RSSI
Vacataire d’enseignement au CNAM Bretagne sur SEC105

 

En 2016, l’Union européenne adoptait la directive Network and Information Security (NIS1), marquant une étape essentielle dans la construction d’un cadre commun pour la cybersécurité. Cette directive visait à renforcer la résilience des infrastructures critiques, notamment dans les secteurs de l’énergie, des transports et de la santé.

Si la directive NIS1 a permis des avancées importantes, telles que la création de centres de réponse aux incidents (CSIRTs) et une meilleure coopération entre États membres, elle a également montré ses limites. En laissant chaque État libre de désigner les entités concernées, elle a conduit à une mise en œuvre hétérogène, créant des disparités dans la protection des infrastructures au sein de l’Union.

 

Une nécessaire révision du cadre législatif

Depuis 2016, la menace cyber a évolué. Les PME, les ETI et les collectivités territoriales sont de plus en plus ciblées et vulnérables. Les rançongiciels ont provoqué des conséquences graves et coûteuses, et les fournisseurs sont souvent utilisés comme levier pour atteindre les organisations visées. Pour répondre à ces défis, le Parlement européen a adopté la directive NIS2 en 2022.

En France, l’ Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) joue un rôle essentiel dans la rédaction du projet de loi sur la résilience des infrastructures critiques et la cybersécurité pour permettre la transposition de la directive en droit français. Cette étape a été retardée en raison de l’instabilité politique actuelle ; le texte définitif devrait être promulgué courant 2025.

 

Un champ d’application élargi

NIS2 élargit le périmètre des entités concernées. Elle s’adresse désormais à des secteurs aussi divers que les infrastructures numériques, les transports, les services postaux, les industries manufacturières, la gestion des déchets et de l’eau, ou encore les administrations publiques. Ces secteurs sont identifiés dans les annexes 1 et 2 de la directive.

Si la directive NIS1 laissait aux États membres le soin d’identifier les opérateurs critiques, NIS2 introduit des critères objectifs basés sur la taille et le chiffre d’affaires des organisations. Cette approche vise à rendre l’identification des entités concernées plus uniforme et prévisible. En France, l’ANSSI estime que le nombre d’entités régulées passerait d’une centaine à plus de 15 000.


Cette évolution s’accompagnera d’une attention accrue portée à la chaîne d’approvisionnement, maillon souvent négligé et pourtant source de cyberattaque. Il incombera aux entités régulées de s’assurer que leurs sous-traitants respectent les mêmes exigences de sécurité. Cette démarche vise à limiter les risques systémiques et à renforcer mécaniquement la résilience de l’ensemble du tissu économique y compris les acteurs non directement régulés.

Application de la directive NIS2

 

Des exigences renforcées pour une sécurité accrue

Les structures concernées devront adopter des mesures concrètes pour répondre aux nouvelles obligations, avec des exigences proportionnées à leur sensibilité. Les entités essentielles (EE), plus critiques, seront soumises à des standards plus exigeants que les entités importantes (EI). Cela inclut la mise en place de politiques robustes, de démarches d’analyse des risques, l’instauration de procédures de continuité d’activité et de gestion de crise ainsi qu’une stratégie de notification rapide des incidents.

La directive couvre également la formation des collaborateurs, la mise en œuvre de bonnes pratiques de cybersécurité et l’utilisation généralisée de technologies sécurisées, comme l’authentification multifacteurs et le chiffrement.

Contrairement à NIS1, qui ne concernait que les systèmes d’information régulés, NIS2 étend ses exigences à tous les systèmes pouvant impacter la sécurité des services en cas de compromission.


Pour avoir une idée des exigences qui s'appliqueront aux entités essentielles, il est d’ores et déjà possible de consulter le Règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024.

 

Une supervision accrue et des sanctions dissuasives

Pour garantir le respect de ces obligations, NIS2 confère aux autorités nationales comme l’ANSSI en France des pouvoirs élargis. Elles pourront effectuer des contrôles, exiger des mises en conformité immédiates et imposer des sanctions financières significatives. Les amendes pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles (EE). Les entités importantes (EI), moins critiques, s’exposeront à des amendes allant jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.

En cas de manquements graves, des sanctions à l’encontre des dirigeants sont également prévues, reflétant une volonté de responsabilisation accrue. Enfin, pour inciter à la transparence, certaines sanctions pourront être rendues publiques.

Cependant, l’ANSSI privilégie une approche collaborative, appelant à un « effort collectif » impliquant les associations professionnelles des secteurs concernés et les acteurs de la cybersécurité. L’objectif est de coconstruire des standards réalistes et adaptés aux capacités des organisations. Un délai de trois ans devrait être accordé avant d’exiger une conformité complète pour permettre la transition vers le nouveau cadre.

 

Une mutation culturelle portée par NIS2 dans l’esprit du RGPD

Au-delà des contraintes légales et techniques, la directive NIS2 annonce un changement profond de culture pour les organisations européennes et extra-européennes. Comme le Règlement Général sur la Protection des Données (RGPD) avant elle, on peut s’attendre à l'instauration d'une véritable culture de la cybersécurité dans la société.

Cette transformation doit passer par une prise de conscience collective. Bien que la transposition ne soit pas encore effective, n’hésitez pas à vous rendre sur monespacenis2.cyber.gouv.fr. Vous pourrez vérifier si votre entreprise sera soumise à NIS2 et suivre les travaux d’accompagnement proposés par l’ANSSI afin d’anticiper l’application de la directive dans votre structure.

Posté le 02/01/2025