La Directive NIS 2 (ou directive UE 2022/2555) s’appuie sur les acquis de la Directive NIS 1 (« Network and Information Security ») et a pour objectif de mettre en place un niveau élevé de cybersécurité dans l’ensemble de l’Union.
Pour faire face à des menaces et à des acteurs toujours plus nombreux, la directive NIS 2 élargit ses objectifs et son champ d’application pour apporter davantage de protection, tant à l’échelon national qu’à l’échelon européen.
Nos convictions
Anticiper la Directive est possible ! Si la publication officielle des règles de sécurité détaillées est attendue pour octobre 2024, nous recommandons de démarrer dès aujourd’hui certains travaux préparatoires qui faciliteront plus tard la mise en conformité
Identification du périmètre de votre organisation concerné par la NIS 2
Formation et sensibilisation de votre Management aux enjeux de la NIS 2
Anticipation des besoins budgétaires et humaines
La transposition de NIS 2 va entraîner l'instauration d'une responsabilité des organes de direction ainsi qu'un renforcement des sanctions encourues. Les organisations doivent se préparer sans attendre à un changement comparable à l'entrée en vigueur du RGPD. Elles seront bientôt confrontées à de nouvelles obligations et à l'émergence de l'ANSSI comme régulateur pouvant mettre en œuvre des contrôles et prononcer des sanctions allant jusqu'à 2% du chiffre d’affaires annuel mondial
Identification des risques juridiques et des process déjà en place
Réflexion préliminaire sur les mesures de gestion des risques à implémenter(gap analysis)
Formation des organes de direction
Directive NIS 2
Face à une évolution de la menace (nouvelles cibles type PME et ETI, attaques via des tiers), de la constante transformation numérique des entreprises et des impacts dramatiques que peuvent avoir les ransomwares, l’Europe a décidé d’étendre le périmètre et les ambitions de la Directive NIS 1.
NIS 2 s’appliquera à 18 secteurs d’activité, comme par exemple : la fabrication de denrées alimentaires ou de produits chimiques, le traitement des eaux usées, etc.
Les mesures de sécurité exigées seront adaptées aux risques.
Dates à retenir
- Décembre 2022 : entrée en vigueur de la Directive NIS 2 au sein de l’UE
- Octobre 2024 : entrée en vigueur de NIS 2 en France
A noter : à cette date, certaines exigences seront d’application immédiate et d’autres seront soumises à un délai de mise en conformité.
Contexte & objectifs
La Directive NIS (Network and Information Security) est une législation de l'Union européenne. Une première version NIS 1 a été adoptée en 2016, mais de fortes divergences dans les exigences imposées aux entreprises d’un Etat membre à l’autre ont été constatées. La nouvelle version NIS 2 vise à supprimer ces divergences et à s’adapter au nouveau contexte de la menace en élargissant son champ d’action et en renforçant les exigences de sécurité.
Périmètre
La Directive NIS 2 couvre 18 secteurs d'activité (contre 7 pour NIS 1), avec une répartition des entreprises visées en 2 catégories selon des critères de nombre d’employés et de chiffre d’affaires : des Entités Essentielles (EE) et des Entités Importantes (EI). La directive NIS 2 continuera de s’appliquer aux secteurs déjà concernés par NIS 1.
Exigences de sécurité
Les exigences de NIS 2 dépendront des transpositions nationales, de la criticité de l’entreprise (EE ou EI) et concerneront par exemple les thématiques suivantes : gouvernance, mesures de gestion des risques cyber, cloisonnement du SI d’administration, obligation de signalement de tout incident, la sécurité des chaînes d'approvisionnement, etc.
Un même Groupe peut donc être soumis à plusieurs déclinaisons nationales en fonction de la localisation de ses filiales.
Sanctions
En cas de non-respect des mesures exigées, les sanctions prévues sont au maximum de :
- 10 M€ ou 2% du CA mondial pour les entités essentielles
- 7 M€ ou 1,4% du CA mondial pour les entités importantes(
Sanctions allant jusqu’à 2% du CA mondial de l’entreprise
10 000
Nombre estimé d'entreprises concernées en France
18
Secteurs d'activités concernés répartissant les entreprises en 2 types d'entités (EE & EI)
Sanctions allant jusqu’à
2%
du CA mondial de l’entreprise
24h
pour signaler un incident important aux autorités nationales
Les secteurs concernés
Les secteurs concernés par la Directive NIS 2 sont décrits dans 2 annexes :
- secteurs hautement critiques (annexe 1) : contiennent soit des entités essentielles (EE) soit des entités importantes (EI), selon des critères de chiffre d’affaires, de bilans financiers et de nombres d’employés
- autres secteurs critiques (annexe 2) : contiennent exclusivement des entités importantes (EI)
Les notions d’OES et FSN introduites par NIS 1 disparaissent et sont remplacées par deux nouvelles catégories : "essentielles" et "importantes".
La principale différence réside dans le fait qu'une interruption des services dans le groupe "essentiel" entrainerait de graves conséquences pour l'ensemble de la société de l’Etat membre concerné.
Les entités étrangères (hors UE) ayant des activités dans l’Union Européenne devront également se conformer à la Directive.
Les entités concernées ne sont plus désignées par décret comme la NIS 1, elles devront se faire connaitre auprès de l’ANSSI.
Si l’entreprise concernée opère dans plusieurs Etats membres, chaque entité devra se conformer à la transposition locale de la Directive.
Critères de classification
Les entités opérant dans les secteurs concernés sont catégorisées en tant qu’Entité Essentielle (EE) ou Entité Importante (EI) selon leur nombre d’employés, le chiffre d’affaires et bilan annuel.
Seront également considérées comme Entités Essentielles (EE) les entreprises suivantes :
- Prestataires de services de confiance qualifiés (au sens du règlement eIDAS) et les registres de noms de domaine de premier niveau, ainsi que les fournisseurs de services DNS, quelle que soit leur taille
- Fournisseurs de réseaux publics de communication électroniques publics ou de services de communications électroniques accessibles au public qui constituent des entreprises de taille moyenne
- Toute entité soumise à la Directive « Résilience des Entités Critiques » (REC) (sécurité physique)
- Toute entité désignée Opérateur de Service Essentiel (OSE) au titre de NIS 1
- Toute entité désignée par les autorités compétentes (l’ANSSI en France), suivant des critères spécifiques.
Concernant les entités financières, le règlement DORA (Digital Operational Resilience Act) a vocation à s’appliquer prioritairement à NIS 2.
Lorsque NIS 2 prévoit des obligations qui ne sont pas déjà prévues par DORA, ces règles devraient s’appliquer aux entités financières.
Exigences clés de la directive
NIS 2 impose une forte implication de la Direction dans la gouvernance de la cybersécurité :
- La Direction doit approuver les mesures de prise en charge des risques et doit superviser la mise en place de ces mesures.
- Les membres de la Direction doivent suivre régulièrement des formations afin d’acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis.
NIS 2 exige la mise en place de mesures techniques et organisationnelles proportionnées aux risques de cybersécurité. Ces mesures doivent prendre en compte à minima :
- L’analyse des risques et les politiques de sécurité des systèmes d’information ;
- La continuité des activités, la gestion des sauvegardes et celle des crises, la reprise des activités;
- La sécurité de la chaîne d’approvisionnement y compris la maîtrise des fournisseurs Cloud;
- La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
- Les pratiques de base en matière de cyber hygiène et la formation à la cybersécurité ;
- La sécurité des ressources humaines, le contrôle des accès et la conservation des actifs ;
- L’usage de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins ;
- L’évaluation de l’efficacité des mesures de pilotage des risques cyber.
NIS 2 instaure un cadre de notification des incidents de cybersécurité qui ont des effets significatifs sur les services qu’ils fournissent aux autorités compétentes ou aux CSIRT :
Une alerte précoce, sans retard, dans les 24h après avoir pris connaissance du fait.
Une notification d’incident, sans retard, dans les 72h après en avoir pris connaissance, fournissant une évaluation initiale de la circonstance, y compris de sa gravité et de son impact.
Un rapport intermédiaire à la demande du CSIRT ou de l’autorité compétente sur les mises à jour pertinentes de la situation.
Un rapport final au plus tard 1 mois après la notification d’incident. Le rapport final doit inclure :
- une description détaillée de l’accident ;
- le type de menace ou la cause profonde qui a probablement déclenché l’événement ;
- les mesures d’atténuation appliquées et en cours ;
- l’impact transfrontalier de l’incident.
NIS 2 accentue le besoin d’évaluer la sécurité de la chaîne d’approvisionnement, en particulier les aspects liés à la sécurité concernant les relations avec les fournisseurs ou les prestataires de services. L’objectif est d’identifier et de tenir compte des vulnérabilités, de la qualité globale des produits et des pratiques de cybersécurité propre à chaque fournisseur et prestataire de service.
Reporting des incidents cyber
Selon la Directive, un incident de cybersécurité est considéré significatif si :
- il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
- il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
Dans les 24 heures après avoir eu connaissance de l’incident significatif, une alerte initiale devra être envoyée, sans retard injustifié, au CSIRT ou à l’autorité compétente, avec une analyse préliminaire (gravité, impact, nature transfrontalière ou non, etc.).
Dans les 72 heures après avoir eu connaissance du fait significatif, une notification mettant à jour l’évaluation initiale précédemment fournie, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission si disponibles.
A la demande du CSIRT ou, selon le cas, de l’autorité compétente (ANSSI) un rapport intermédiaire, sur les mises à jour pertinentes de la situation, pourrait être fourni.
Au plus tard 1 mois après la notification de l’incident, un rapport final devra être transmis au CSIRT ou à l’autorité compétente. Il devra contenir :
- une description détaillée de l’accident, y compris de sa gravité et de son impact ;
- le type de menace ou la cause profonde qui a probablement déclenché l’incident ;
- les mesures d’atténuation appliquées et en cours ;
- le cas échéant, l’impact transfrontière de l’événement.
Régimes réglementaires : entités essentielles et importantes
Le tableau ci-dessous présente les principales différences entre les entités catégorisées par la Directive :
Focus sur le rôle des organes de direction
La Directive NIS 2 assigne un rôle essentiel aux dirigeants dans la mise en œuvre des exigences et obligations consacrées.
Notion d’organe de direction
Définition
Il faut entendre par organe de direction, toute personne physique :
- responsable d’une entité ;
- agissant en qualité de son représentant légal sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle.
Obligations
Obligations générales
- Obligation de formation pour les dirigeants ;
- Suivi de la formation des membres du personnel de l’entité aux fins d’acquisition de connaissances et de compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.
En matière de gestion des risques de cybersécurité
- Approbation des mesures techniques, opérationnelles et organisationnelles de gestion des risques en matière de cybersécurité prises au sein de l’entité. A cet égard, les organes de supervision devraient en application des articles 32 et 33 de la Directive, avoir le pouvoir de veiller au respect par l’entité des contraintes de la directive.
- Supervision de la mise en œuvre des mesures de pilotage des risques.
Responsabilité
En vertu de l’article 20 de la directive, les organes de direction doivent pouvoir être tenus responsables de la violation des dispositions relatives aux mesures de gestion des risques en matière de cybersécurité prises au sein de l’entité.
Stratégies de conformité à la directive NIS 2
Mise en place d'un programme de gestion des risques cyber
Renforcement des capacités de détection et de réponse aux incidents de cybersécurité
Comment anticiper les évolutions futures de la réglementation NIS
KPMG vous aide à relever les défis de la NIS 2 :
Identification des crown jewels :
A travers une analyse des risques, ils feront l’objet de mesures de cybersécurité.
Gestion des fournisseurs et sous-traitants :
Définir un cadre de gestions des risques des tiers, incluant la chaîne d’approvisionnement.
Adaptation à la complexité réglementaire :
Inventorier les contrôles de sécurité applicables selon le pays - Consolider les politiques et processus de sécurité déjà en place.
Évaluation du niveau de conformité et accompagnement :
Conduire une analyse des écarts à la Directive et définir une feuille de route - Piloter le programme de mise en conformité.
Reporting des incidents à l’ANSSI :
Définir des procédures de détection et de réponse à incidents, ainsi que les processus de reporting.
Accompagnement juridique:
Former et sensibiliser les dirigeants et les membres du personnel - Assister dans les interactions avec des autorités (reporting d'incidents, demandes d'informations, contentieux).
Intégration des exigences NIS dans les processus opérationnels et décisionnels existants
Collaboration avec les autorités compétentes en matière de cybersécurité
