NIS2 : Comprendre la Directive Européenne

Contexte de la directive : de NIS1 à NIS2

La directive européenne NIS2 (Network and Information Security ou SRI2 pour Sécurité des Réseaux et des Informations, en français), publiée en décembre 2022 vise à renforcer la cybersécurité dans l’ensemble de l’Union Européenne.

NIS2 succède à NIS1 en étendant son champ d’application et en mettant en avant des mesures plus strictes face à des acteurs toujours plus malveillants et performants.  NIS1 s’appliquait principalement aux opérateurs de services essentiels (OSE) et certains fournisseurs de services numériques (FSN). Aujourd’hui, les systèmes d’information et les infrastructures demeurent trop vulnérables. NIS2 inclut davantage de secteurs (publics et privés) et d’entités, répondant aux enjeux transfrontaliers et intersectoriels des cyber menaces.

Découvrez dans cet article :

• Les exigences de NIS2 ;
• Les acteurs concernés ;
• Le calendrier de mise en œuvre ;
• Comment se préparer à ces nouvelles exigences.

Les principales exigences de la directive NIS2

Cette directive vise à augmenter la résilience face aux menaces cybers et exige un bon niveau de sécurité des systèmes d’information. La sensibilisation des acteurs sur les risques cyber et sur les risques liés à l’utilisation du numérique est un axe majeur de NIS2. Nous retrouvons également une obligation d’information en cas d’incident à l’image d’autres textes.

Identification et évaluation des risques

Chaque organisme devra établir une approche basée sur les risques. Après identification et appréciation des risques, les organes de direction devront en prendre acte. Il faudra mettre en œuvre diverses mesures de gestion de risque :

• PSSI;
• Audits de contrôle;
• Gestion des incidents et résilience;
• Scan de vulnérabilités;
• Gestion renforcée des accès, MFA;
• Chiffrement des données
• Sauvegarde et plan de continuité /  reprise d’activité (PCA/PRA)…

Formation obligatoire

Avec NIS2, les dirigeants devront avoir la connaissance nécessaire et devront être formés. Des mesures en matière de gestion de risque seront également à mettre en œuvre.

• Cyber hygiène : Cela nous rappelle les 42 mesures de l’hygiène de l’ANSSI
• Formation des collaborateurs
• Gestion des correctifs de sécurité…

Obligation d’information

L’obligation d’information en cas d’incident important concerne l’ensemble des organismes.

• Dès suspicion d’incident, une alerte doit être déclenchée auprès de l’autorité de contrôle sous 24h;
• Une notification détaillée doit suivre dans les 72 heures, en pleine transparence;
• Enfin, un rapport final, ou bien de situation, devra également être établi au plus tard 1 mois après la notification initiale.

Comment agir ? Mesures concrètes associées à NIS2

Mettre en place des mesures sera essentiel mais il sera d’autant plus important de pouvoir les contrôler dans le temps. L’enjeu est également d’obtenir des défenses en profondeur et périmétrique comme le Firewall, l’EDR, l’XDR et même le SOC. Parmi les mesures à envisager :

• PSSI
• Sensibilisation et formation des employés
• Cyber hygiène de base
• Gestion des Incidents et résilience
• Chiffrement des données
• Surveillance continue, gestion des menaces et correctifs
• Contrôle d’accès IAM/PAM/MFA

3 niveaux Acteurs concernés par NIS2

Quand on évoque la réglementation NIS2, trois types d’acteurs sont concernés :

• Niveau européen : Instances et groupements de l’Union Européenne qui sont acteurs dans la mise en œuvre et l’exécution de NIS2;
• Niveau national : l’autorité de contrôle désignée (l’ANSSI en France) jouera, a priori, le rôle de coordinateur national des CSIRT, mais également le point de contact unique et l’agence nationale de sécurité;
• Niveau opérationnel : entités essentielles (EE) et importantes (EI), se substituant aux OSE et FSN visés par NIS1.

Les entreprises et organisations font partie du niveau opérationnel et sont divisées selon : leur type d’activité, leur taille et leur chiffre d’affaires.

Pour savoir si votre entité est concernée, réalisez le test de l’ANSSI :

Répartition par secteurs Entités essentielles et importantes

Les entités essentielles concernent les secteurs suivants, avec quelques nouveautés par rapport à NIS1 :

• Énergie (où s’ajoutent hydrogène, et réseaux de chaleur et de froid)
• Transport
• Secteur bancaire
• Infrastructure des marchés financiers
• Santé (où sont ajoutés les fabricants pharmaceutiques)
• Eau potable
• Infrastructure numérique

Et les nouveaux secteurs que sont :

• Eaux usées
• Espace
• Administration publique
• Gestion des services TIC interentreprises.

La principale nouveauté concernant le périmètre se trouve du côté des entités importantes, qui n’étaient, jusque-là, pas concernées par NIS1 :

• Services postaux et d’expédition
• Gestion des déchets
• Produits chimiques
• Denrées alimentaires
• Fabrication d’équipements de différentes natures et catégories
• Fournisseurs numériques
• Recherche

Les entités qui appartiennent à ces secteurs devront se conformer aux exigences de NIS2, leurs sous-traitants et fournisseurs critiques également. Le facteur géographique compte également. Toutes les entités qui exercent leur activité au sein de l’Union Européenne, ou qui fournissent des services et produits dans l’Union européenne, seront concernées.

NIS2 vise près de 10 000 structures là où NIS1 n’en impliquait que 300. Pour faciliter les démarches, l’État mettra en œuvre des moyens pour que les entités viennent s’auto-déclarer facilement en ligne. A noter qu’il est également possible de se voir déclaré par l’autorité de contrôle comme inclus dans le périmètre quand bien même les critères indiqués ci-dessus ne sont pas satisfaits.

Calendrier de mise en œuvre

La directive NIS2 a été publiée le 27 décembre 2022. Les États membres bénéficiaient d’un délai de 21 mois pour la transposer en droit national. La date d’échéance de cette transposition est le 17 octobre 2024. Pour cela, un texte doit passer devant le Parlement.

La date d’application peut varier. Certaines exigences auront une application directe et d’autres auront un délai de conformité (estimé à environ 20 mois). L’ANSSI a d’ores et déjà indiqué une mise en œuvre en différentes étapes.

ACESI vous accompagne dans la mise en conformité NIS2

Aujourd’hui, nous proposons un pré-diagnostic de conformité pour aider les entités concernées à se situer par rapport aux 73 points d’exigence de NIS2, pouvant inclure les mesures d’hygiène recommandées par l’ANSSI.

Nous réalisons dans le Pré-Diag un rapport d’audit et délivrons un plan d’actions de mise en conformité.

La retranscription nationale française n’est pas encore définie. Il s’agit donc d’un plan d’actions indicatif qui suit les grandes lignes évoquées par NIS2. Pour se préparer à NIS2, appliquer l’ensemble des mesures concrètes évoquées précédemment est, à date, la meilleure option.

Vers ISO/IEC 27001 Accompagnement personnalisé

Nos consultants certifiés ISO27001 peuvent d’ores et déjà réaliser des audits, définir les risques et mettre en place un système de pilotage de ces derniers, correspond à l’un des objectifs de la norme ISO

Nous guidons les entités vers les objectifs de fond attendus par la directive NIS2, autour des thématiques suivantes :

• Règles élémentaires de Cyber hygiène
• DIAG RGE, accompagnement/audit ISO27001 / HDS
• PSSI / RSSI externe / AMOA RSSI
• Formation & Sensibilisation (CyberEduc)
• Offres techniques

Notre métier conseil