cancel

Directive NIS2 pour la Cybersécurité - Décryptage

NIS2 & Cybersécurité : tout comprendre à la nouvelle Directive

Publié le 25 mars 2024

La Directive NIS 2 (ou directive UE 2022/2555) s’appuie sur les acquis de la Directive NIS 1 (« Network and Information Security ») et a pour objectif de mettre en place un niveau élevé de cybersécurité dans l’ensemble de l’Union.

Pour faire face à des menaces et à des acteurs toujours plus nombreux, la directive NIS 2 élargit ses objectifs et son champ d’application pour apporter davantage de protection, tant à l’échelon national qu’à l’échelon européen. 

Nos convictions

« Anticiper la Directive est possible !
Si la publication officielle des règles de sécurité détaillées est attendue pour octobre 2024, nous recommandons de démarrer dès aujourd’hui certains travaux préparatoires qui faciliteront plus tard la mise en conformité »
 

Guillaume Rablat
Associate Partner, pôle Cybersécurité et Protection des données personnelles
KPMG en France

Identification du périmètre de votre organisation concerné par la NIS 2

Formation et sensibilisation de votre Management aux enjeux de la NIS 2

Anticipation des besoins budgétaires et humaines

« Anticiper la Directive est possible !
Si la publication officielle des règles de sécurité détaillées est attendue pour octobre 2024, nous recommandons de démarrer dès aujourd’hui certains travaux préparatoires qui faciliteront plus tard la mise en conformité »
 

Guillaume Rablat
Associate Partner, pôle Cybersécurité et Protection des données personnelles
KPMG en France

Identification des risques juridiques et des process déjà en place

 

 

Réflexion préliminaire sur les mesures de gestion des risques à implémenter(gap analysis)

Formation des organes de direction

 

 

Directive NIS 2

Face à une évolution de la menace (nouvelles cibles type PME et ETI, attaques via des tiers), de la constante transformation numérique des entreprises et des impacts dramatiques que peuvent avoir les ransomwares, l’Europe a décidé d’étendre le périmètre et les ambitions de la Directive NIS 1.

NIS 2 s’appliquera à 18 secteurs d’activité, comme par exemple : la fabrication de denrées alimentaires ou de produits chimiques, le traitement des eaux usées, etc.

Les mesures de sécurité exigées seront adaptées aux risques.

Dates à retenir

  • Décembre 2022 : entrée en vigueur de la Directive NIS 2 au sein de l’UE
  • Octobre 2024 : entrée en vigueur de NIS 2 en France

A noter : à cette date, certaines exigences seront d’application immédiate et d’autres seront soumises à un délai de mise en conformité.

Dates à retenir

  • Décembre 2022 : entrée en vigueur de la Directive NIS 2 au sein de l’UE
  • Octobre 2024 : entrée en vigueur de NIS 2 en France

A noter : à cette date, certaines exigences seront d’application immédiate et d’autres seront soumises à un délai de mise en conformité.

Contexte & objectifs

La Directive NIS (Network and Information Security) est une législation de l'Union européenne. Une première version NIS 1 a été adoptée en 2016, mais de fortes divergences dans les exigences imposées aux entreprises d’un Etat membre à l’autre ont été constatées. La nouvelle version NIS 2 vise à supprimer ces divergences et à s’adapter au nouveau contexte de la menace en élargissant son champ d’action et en renforçant les exigences de sécurité.

Périmètre

La Directive NIS 2 couvre 18 secteurs d'activité (contre 7 pour NIS 1), avec une répartition des entreprises visées en 2 catégories selon des critères de nombre d’employés et de chiffre d’affaires : des Entités Essentielles (EE) et des Entités Importantes (EI). La directive NIS 2 continuera de s’appliquer aux secteurs déjà concernés par NIS 1. 

Exigences de sécurité

Les exigences de NIS 2 dépendront des transpositions nationales, de la criticité de l’entreprise (EE ou EI) et concerneront par exemple les thématiques suivantes : gouvernance, mesures de gestion des risques cyber, cloisonnement du SI d’administration, obligation de signalement de tout incident, la sécurité des chaînes d'approvisionnement, etc.

Un même Groupe peut donc être soumis à plusieurs déclinaisons nationales en fonction de la localisation de ses filiales.

Sanctions

En cas de non-respect des mesures exigées, les sanctions prévues sont au maximum de :

  • 10 M€ ou 2% du CA mondial pour les entités essentielles
  • 7 M€ ou 1,4% du CA mondial pour les entités importantes(

 Sanctions allant jusqu’à 2% du CA mondial de l’entreprise

  1. 10 000 nombre estimé d'entreprises concernées en France
  2. 18 secteurs d'activités concernés répartissant les entreprises en 2 types d'entités (EE & EI)
  3. Sanctions allant jusqu’à 2% du CA mondial de l’entreprise
  4. 24h pour signaler un incident important aux autorités nationales

Les secteurs concernés

Les secteurs concernés par la Directive NIS 2 sont décrits dans 2 annexes :

  • secteurs hautement critiques (annexe 1) : contiennent soit des entités essentielles (EE) soit des entités importantes (EI), selon des critères de chiffre d’affaires, de bilans financiers et de nombres d’employés
  • autres secteurs critiques (annexe 2) : contiennent exclusivement des entités importantes (EI)

Les notions d’OES et FSN introduites par NIS 1 disparaissent et sont remplacées par deux nouvelles catégories : "essentielles" et "importantes".

La principale différence réside dans le fait qu'une interruption des services dans le groupe "essentiel" entrainerait de graves conséquences pour l'ensemble de la société de l’Etat membre concerné. 

Les entités étrangères (hors UE) ayant des activités dans l’Union Européenne devront également se conformer à la Directive.

Les entités concernées ne sont plus désignées par décret comme la NIS 1, elles devront se faire connaitre auprès de l’ANSSI.

Si l’entreprise concernée opère dans plusieurs Etats membres, chaque entité devra se conformer à la transposition locale de la Directive. 

Illustration

Critères de classification

Les entités opérant dans les secteurs concernés sont catégorisées en tant qu’Entité Essentielle (EE) ou Entité Importante (EI) selon leur nombre d’employés, le chiffre d’affaires et  bilan annuel. 

Illustration

 

Seront également considérées comme Entités Essentielles (EE) les entreprises suivantes :

  • Prestataires de services de confiance qualifiés (au sens du règlement eIDAS) et les registres de noms de domaine de premier niveau, ainsi que les fournisseurs de services DNS, quelle que soit leur taille
  • Fournisseurs de réseaux publics de communication électroniques publics ou de services de communications électroniques accessibles au public qui constituent des entreprises de taille moyenne
  • Toute entité soumise à la Directive « Résilience des Entités Critiques » (REC) (sécurité physique)
  • Toute entité désignée Opérateur de Service Essentiel (OSE) au titre de NIS 1
  • Toute entité désignée par les autorités compétentes (l’ANSSI en France), suivant des critères spécifiques.

Concernant les entités financières, le règlement DORA (Digital Operational Resilience Act) a vocation à s’appliquer prioritairement à NIS 2.
Lorsque NIS 2 prévoit des obligations qui ne sont pas déjà prévues par DORA, ces règles devraient s’appliquer aux entités financières.

NIS 2 impose une forte implication de la Direction dans la gouvernance de la cybersécurité :

  • La Direction doit approuver les mesures de prise en charge des risques et doit superviser la mise en place de ces mesures.
  • Les membres de la Direction doivent suivre régulièrement des formations afin d’acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis.

NIS 2 exige la mise en place de mesures techniques et organisationnelles proportionnées aux risques de cybersécurité. Ces mesures doivent prendre en compte à minima :

  • L’analyse des risques et les politiques de sécurité des systèmes d’information ; 
  • La continuité des activités, la gestion des sauvegardes et celle des crises, la reprise des activités; 
  • La sécurité de la chaîne d’approvisionnement y compris la maîtrise des fournisseurs Cloud;  
  • La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;  
  • Les pratiques de base en matière de cyber hygiène et la formation à la cybersécurité ;  
  • La sécurité des ressources humaines, le contrôle des accès et la conservation des actifs ; 
  • L’usage de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins ; 
  • L’évaluation de l’efficacité des mesures de pilotage des risques cyber. 

NIS 2 instaure un cadre de notification des incidents de cybersécurité qui ont des effets significatifs sur les services qu’ils fournissent aux autorités compétentes ou aux CSIRT : 

Une alerte précoce, sans retard, dans les 24h après avoir pris connaissance du fait. 

Une notification d’incident, sans retard, dans les 72h après en avoir pris connaissance, fournissant une évaluation initiale de la circonstance, y compris de sa gravité et de son impact.  

Un rapport intermédiaire à la demande du CSIRT ou de l’autorité compétente sur les mises à jour pertinentes de la situation. 

Un rapport final au plus tard 1 mois après la notification d’incident. Le rapport final doit inclure : 

  • une description détaillée de l’accident ;
  • le type de menace ou la cause profonde qui a probablement déclenché l’événement ;
  • les mesures d’atténuation appliquées et en cours ;
  • l’impact transfrontalier de l’incident. 

NIS 2 accentue le besoin d’évaluer la sécurité de la chaîne d’approvisionnement, en particulier les aspects liés à la sécurité concernant les relations avec les fournisseurs ou les prestataires de services. L’objectif est d’identifier et de tenir compte des vulnérabilités, de la qualité globale des produits et des pratiques de cybersécurité propre à chaque fournisseur et prestataire de service.

Reporting des incidents cyber

Selon la Directive, un incident de cybersécurité est considéré significatif si :

  • il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
  • il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Alerte Précoce

Dans les 24 heures après avoir eu connaissance de l’incident significatif, une alerte initiale devra être envoyée, sans retard injustifié, au CSIRT ou à l’autorité compétente, avec une analyse préliminaire (gravité, impact, nature transfrontalière ou non, etc.).

Notification de l’incident

    Dans les 72 heures après avoir eu connaissance du fait significatif, une notification mettant à jour l’évaluation initiale précédemment fournie, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission si disponibles.

    Rapport intermédiaire

        A la demande du CSIRT ou, selon le cas, de l’autorité compétente (ANSSI) un rapport intermédiaire, sur les mises à jour pertinentes de la situation, pourrait être fourni.

        Rapport final

              Au plus tard 1 mois après la notification de l’incident, un rapport final devra être transmis au CSIRT ou à l’autorité compétente. Il devra contenir :

              • une description détaillée de l’accident, y compris de sa gravité et de son impact ;
              • le type de menace ou la cause profonde qui a probablement déclenché l’incident ;
              • les mesures d’atténuation appliquées et en cours ;
              • le cas échéant, l’impact transfrontière de l’événement.

              Régimes réglementaires : entités essentielles et importantes

              Le tableau ci-dessous présente les principales différences entre les entités catégorisées par la Directive :

               

              Focus sur le rôle des organes de direction

              La Directive NIS 2 assigne un rôle essentiel aux dirigeants dans la mise en œuvre des exigences et obligations consacrées. 

              Notion d’organe de direction


              Définition

              Il faut entendre par organe de direction, toute personne physique :

              • responsable d’une entité ;
              • agissant en qualité de son représentant légal sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle.

              Obligations


              Obligations générales

              • Obligation de formation pour les dirigeants ;
              • Suivi de la formation des membres du personnel de l’entité aux fins d’acquisition de connaissances et de compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.

              En matière de gestion des risques de cybersécurité

                • Approbation des mesures techniques, opérationnelles et organisationnelles de gestion des risques en matière de cybersécurité prises au sein de l’entité. A cet égard, les organes de supervision devraient en application des articles 32 et 33 de la Directive, avoir le pouvoir de veiller au respect par l’entité des contraintes de la directive. 
                • Supervision de la mise en œuvre des mesures de pilotage des risques.

                Notion d’organe de direction


                Définition

                Il faut entendre par organe de direction, toute personne physique :

                • responsable d’une entité ;
                • agissant en qualité de son représentant légal sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle.

                Stratégies de conformité à la directive NIS 2

                Mise en place d'un programme de gestion des risques cyber
                Renforcement des capacités de détection et de réponse aux incidents de cybersécurité

                Comment anticiper les évolutions futures de la réglementation NIS

                KPMG vous aide à relever les défis de la NIS 2 :

                Identification des crown jewels :

                A travers une analyse des risques, ils feront l’objet de mesures de cybersécurité.

                 

                Gestion des fournisseurs et sous-traitants :

                Définir un cadre de gestions des risques des tiers, incluant la chaîne d’approvisionnement.

                 

                Reporting des incidents à l’ANSSI :

                Définir des procédures de détection et de réponse à incidents, ainsi que les processus de reporting.

                Évaluation du niveau de conformité et  accompagnement:

                Conduire une analyse des écarts à la Directive et définir une feuille de route - Piloter le programme de mise en conformité. 

                 

                 

                Adaptation à la complexité réglementaire :

                Inventorier les contrôles de sécurité applicables selon le pays - Consolider les politiques et processus de sécurité déjà en place.

                 

                 

                Accompagnement juridique:

                Former et sensibiliser les dirigeants et les membres du personnel - Assister dans les interactions avec des autorités (reporting d'incidents, demandes d'informations, contentieux).

                Intégration des exigences NIS dans les processus opérationnels et décisionnels existants

                Collaboration avec les autorités compétentes en matière de cybersécurité

                Auteur : 

                Guillaume Rablat

                Associate Partner, pôle Cybersécurité et Protection des données personnelles

                KPMG en France

                Cet article a également été rédigé par: 

                Patrick Amouzou, Partner, Co-Head of IP/IT, Avocat, KPMG Avocats

                Aller plus loin

                insights ETUDE

                La protection de la vie privée dans un monde d'IA

                Découvrez l'étude sur la protection de la vie privée face à l'IA, comment sécuriser vos données personnelles et instaurer la confiance envers l'IA.

                insights ETUDE

                Tendances de l’IT en 2023

                Découvrez l'étude de KPMG, en collaboration avec SILICON sur les Tendances de l’IT en 2023 : Comment les DSI font-ils face aux enjeux du numérique ?

                insights ETUDE

                Cybersécurité et confiance numérique : comment renforcer la fiabilité

                Découvrez comment renforcer la confiance au sein de votre entreprise grâce à la cybersécurité et la protection de la vie privée.


                 

                Restez informés des dernières actualités de KPMG en vous abonnant dès maintenant à nos communications personnalisées.