Enjeux et points clés de la Directive NIS 2 pour votre organisation
📔 Table des matières
Les députés européens ont voté le 10 novembre 2022 la directive NIS 2 vise à harmoniser et à renforcer la cybersécurité du marché européen. Cette directive entrera en vigueur au deuxième semestre 2024, découvrez ce qui va changer pour les entreprises européenne : périmètre d’application, classification, obligations et sanctions…
Qu’est-ce que la directive NIS 2 ?
Le risque de cybersécurité est au cœur des préoccupations des organes de gouvernance européens. En effet, le nombre de cyberattaques réussies contre des organisations publiques et privées en France a atteint 385.000 en 2022 pour un coût global de 2 milliards d’euros, selon une évaluation statistique du cabinet Asterès publiée en juin 2023. Ce total se répartit en 887 millions d’euros de coût direct (perte de productivité, hausse des coûts de production), 888 millions d’euros de rançons et 7 millions d’euros d’heures de travail perdues.
La déstabilisation d’un acteur économique à l’échelle du marché européen pourrait engendrer une désorganisation globale des populations et des États. C’est dans ce contexte que la directive NIS2 a vu le jour. Elle engage les entreprises à adopter des mesures proactives pour protéger leurs systèmes d’information et à contribuer à la stabilité de l’Union européenne.
cyberattaques réussies en France en 2022
Quand est-ce que la directive NIS 2 sera effective ?
La directive NIS 2 a été publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022. Elle prévoit un délai de 21 mois pour que chaque État membre de l’UE transpose en droit national les différentes exigences réglementaires. En France, la NIS 2 entrera donc en vigueur au plus tard au deuxième semestre 2024. Certaines exigences seront appliquées directement, tandis que d’autres devront respecter un délai de mise en conformité.
2nd semestre 2024
De la protection des biens et des personnes à la prévention des risques
Un périmètre d’application élargi :
Le secteur de la sécurité physique entre également dans le périmètre de la directive et devra se mettre en conformité. En effet, la NIS 2 demande aux acteurs des secteurs critiques de garantir que les solutions de sécurité physique (contrôle d’accès, détection intrusion, vidéosurveillance …) qu’ils utilisent ne mettrons pas en péril leur cybersécurité. Très concrètement, les professionnels de la sécurité devront mettre en place des mesures pour que leurs équipements soient suffisamment robustes et protégés.
De plus, afin de renforcer le niveau de cybersécurité et de résilience face à ce risque devenu prioritaire et considéré comme hautement important par tous les acteurs de la prévention des risques, la directive NIS 2 concerne désormais 18 secteurs d’activités et différents types d’entités, faisant passer le nombre d’entités régulées, d’environ 300 par la NIS 1 à près de 10 000 par la NIS 2, seulement en France.
Les notions d’ « entités essentielles » (EE) et d’« entités importantes » (EI) remplacent les anciennes catégories d’opérateurs de services essentiels (OSE) et de fournisseurs de services numériques (FSN). Les entités importantes (EI) auront droit à une version allégée de cette réglementation, les entités essentielles (EE) quant à elles devront s’y conformer pleinement.
Quelles sont les entreprises concernées par NIS 2 ? Voici la liste des secteurs concernés :
| Secteurs hautement critiques : | |
|---|---|
| Énergie | Transports |
| Secteur bancaire | Infrastructure des marchés financiers |
| Santé | Eau potable |
| Eaux usées | Infrastructure numérique |
| Gestion des services TIC | Administration publique |
| Espace |
| Autres secteurs critiques |
|---|
| Services postaux et d’expédition |
| Gestion des déchets |
| Fabrication, production et distribution de produits chimiques |
| Production, transformation et distribution des denrées alimentaires |
| Fabrication |
| Fournisseurs numériques |
| Recherche |
Mon entreprise est-elle une entité importante ou entité essentielle ?
La classification des entreprises en tant qu’entités importantes ou entités essentielles dépend de plusieurs facteurs.
Les Entités Essentielles sont les organisations dont la défaillance ou l’atteinte à la sécurité aurait un impact significatif sur les services essentiels fournis à la société.
Exemples d’entités essentielles : les fournisseurs d’électricité, les hôpitaux, les services de transport, etc.
Les entreprises fournissant des services critiques sans lesquels la société ne pourrait pas fonctionner normalement, sont considérées comme essentielles.
Les Entités Importantes sont les organisations qui ne sont pas essentielles, mais dont la défaillance pourrait encore causer des perturbations importantes.
Cela peut inclure des entreprises de taille moyenne, des prestataires de services en ligne et des infrastructures critiques. Les entreprises jouant un rôle clé dans un secteur spécifique ou fournissant des services essentiels à un groupe de personnes sont considérées comme importantes.
Les entités importantes sont les organisations qui ne sont pas essentielle, mais dont la défaillance pourrait encore causer des perturbations importantes. Cela peut inclure des entreprises de taille moyenne, des prestataires de services en ligne et des infrastructures critiques.
Obligations, mesures et sanctions
La non-application de la directive NIS 2 peut entraîner des conséquences significatives pour les entités concernées. Notamment des sanctions financières et juridiques pouvant être lourdes en conséquence :
- Les entités essentielles peuvent encourir des amendes allant jusqu’à 10 millions d’euros (ou 2 % de leur chiffre d’affaires mondial)
- Les entités importantes pourraient se voir infliger des amendes allant jusqu’à 7 millions d’euros (ou 1,4 % de leur chiffre d’affaires annuel).
- La NIS2 renforce la responsabilité des organes de direction en matière de gestion des risques liés à la cybersécurité. Ceux qui ne se conforment pas peuvent être tenus personnellement responsables en cas de négligence en matière de cybersécurité.
Une étude réalisée par Censuswide en octobre 2023 pour le compte de SailPoint a démontré que 55% des entreprises ne sont pas encore prêtes pour NIS2. Cette étude se base sur un panel de 1 500 décideurs informatiques en France, au Royaume-Uni et en Allemagne, au sein d’entreprises comptant 250 employés ou plus et réalisant un chiffre d’affaires de 10 millions d’euros ou plus.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI), en tant qu’autorité chargée de superviser la mise en œuvre future de la directive NIS2, prévoit de créer une “structure indépendante”. Cette entité sera responsable de prendre des décisions de sanctions. Le directeur général de l’ANSSI, Vincent Strubel, a annoncé cela lors du Forum InCyber qui s’est tenu le mercredi 27 mars 2024 à Lille. Il a également souligné que cette “formation collégiale” respectera les principes du contradictoire et de proportionnalité.
Comment se préparer à la directive NIS 2, quelques conseils :
- Déterminer si votre organisation est concernée par la NIS 2. La directive élargit le champ d’application pour inclure davantage de secteurs et d’entités publiques et privées.
- Identifier les unités impactées au sein de votre organisation.
- Évaluer vos mesures de sécurité existantes. Si nécessaire, apportez des modifications à vos politiques de sécurité pour vous conformer à la NIS 2.
- Planifiez la mise en œuvre des mesures de sécurité supplémentaires requises.
- Assurez-vous du soutien de la direction. La NIS 2 renforce la responsabilité des organes de direction en matière de gestion des risques liés à la cybersécurité.
- Intégrez la conformité légale dans vos processus de gouvernance.
- Impliquez des experts en sécurité pour vous guider dans la mise en conformité.
- Consultez également des experts juridiques ou utilisez des logiciels basés sur la conformité légale.
- Mettez en place une stratégie de conformité durable.
Quelles sont les actions que vous pouvez mettre en place rapidement ?
- Évaluer les risques : Identifiez les actifs critiques et évaluez les risques associés à votre infrastructure informatique.
- Etablir un plan de formation du personnel afin de sensibiliser vos employés aux bonnes pratiques de cybersécurité et organisez des formations régulières.
-
Mettre en place des outils de surveillance pour détecter rapidement toute activité suspecte et établir un plan de gestion de crise en cas d’incident de sécurité.
Comment Onet Sécurité peut vous accompagner dans l’application de cette norme ?
Onet sécurité vous accompagne dans la mise en place et la mise en conformité de vos sites en proposant des prestations d’audit de vos structures. Notre savoir-faire et nos prestations incluent :
- L’identification du périmètre via une analyse approfondie de votre situation. Nous cartographions les systèmes, les processus et les données concernés par la NIS 2 au sein de votre organisation.
- La formation et la sensibilisation de vos équipes. Nous sensibilisons vos dirigeants et collaborateurs aux enjeux de la NIS 2. Une compréhension solide est essentielle pour une mise en conformité efficace.
- La formation des organes de direction : nous préparons vos dirigeants à leurs nouvelles responsabilités.
- La prise en compte et la gestion de vos risques. Nous évaluons vos mesures de gestion des risques actuelles et identifions les écarts à combler. Nous anticipons vos besoins budgétaires et humains pour une mise en conformité réussie.
- L’accompagnement juridique. Nous analysons les risques juridiques liés à la NIS 2 et vous guidons dans les mesures à prendre.
Ces contenus peuvent vous intéresser
Vous avez un besoin,
une question ?
Nos experts Onet Sécurité sont à votre disposition pour répondre à toutes vos demandes d’informations ou de devis.