La directive NIS – NIS 2 sur la cybersécurité

Sep 16, 2022
5/5 - (24 votes)

La cybersécurité est un sujet qui préoccupe particulièrement les pays européens. Pour cause, le nombre d’attaques informatiques contre les entreprises, les collectivités locales et les hôpitaux ne cesse d’augmenter chaque année. Dans l’optique de lutter contre ce phénomène, l’Union européenne (UE) a légiféré pour instaurer un environnement digital fiable et sécurisé sur son territoire. Cette institution a notamment adopté la directive NIS (Network and Information Security) le 6 juillet 2016. La version révisée de ce texte de loi (NIS 2) est quant à elle en cours d’adoption par le Parlement européen. ONE GDPR livre tous les détails importants à connaître sur la directive NIS et NIS 2, un texte réglementaire européen dédié à la cybersécurité.

Qu’est-ce que la directive NIS ?

La directive Network and Information Security (NIS) est une directive européenne qui porte sur la sécurité des réseaux et des systèmes d’information. Son objectif principal est de garantir un niveau de sécurité optimal et commun pour tous les réseaux et systèmes d’information de l’UE. Concrètement, le texte ambitionne de créer une Europe forte et capable de réagir en cas de cyberattaque ou de cybermenace.

Pour y parvenir, la directive NIS s’appuie sur deux leviers importants :

  • les capacités nationales des pays membres de l’UE en matière de cybersécurité ;
  • l’instauration d’un cadre de coopération européen sur les aspects politiques et opérationnels de la cybersécurité.

À l’instar de tous les actes de l’UE, la directive NIS a été transposée dans le droit interne de chaque pays membre. Cela signifie que cette réglementation s’applique de manière effective dans tous les États de l’Union européenne.

Qui est concerné par la directive NIS ?

La directive NIS s’applique à deux acteurs principaux. Ceux-ci sont ainsi obligés de prendre les mesures nécessaires pour se conformer à cette norme.

Les opérateurs de services essentiels

Tous les Opérateurs de Services Essentiels (OES) implantés dans les pays de l’Union européenne sont concernés par la directive NIS. En réalité, un OES est une entreprise publique ou privée qui possède un rôle important dans la société et l’économie. Cette dernière peut exercer une ou plusieurs activités dans les domaines suivants :

  • les banques ;
  • les marchés financiers ;
  • le secteur de l’eau ;
  • l’énergie ;
  • la santé ;

Les OES peuvent également exercer dans le domaine de l’infrastructure numérique. Concrètement, il s’agit entre autres des entreprises qui fournissent des prestations relatives aux systèmes des noms de domaine.

Les fournisseurs de service numérique

La directive NIS s’impose également aux fournisseurs de service numérique (DSP) qui proposent des services à des personnes qui résident dans l’Union européenne. Les DSP sont des entreprises spécialisées dans la fourniture des services numériques. On peut citer notamment les moteurs de recherche, les fournisseurs de services informatiques Cloud et les sites d’e-commerce comme Amazon, Expedia ou eBay.

La directive ne concerne cependant que les DSP qui sont considérés comme de moyennes ou grandes entreprises. Les petites entreprises et les microentreprises ne sont ainsi pas obligées de se conformer à cette norme.

Les enjeux majeurs de la directive européenne NIS

La directive NIS sur la cybersécurité a plusieurs enjeux dans l’espace européen. Quoi qu’il en soit, cette réglementation cherche principalement à harmoniser le cadre juridique européen sur la cybersécurité.

Renforcer les capacités nationales en matière de cybersécurité

Le renforcement des capacités nationales de cybersécurité est l’un des grands enjeux de la directive européenne NIS. De ce fait, le texte impose aux pays membres de l’UE de mettre en place des autorités nationales chargées des questions de cybersécurité. De même, les États doivent aussi constituer des organismes nationaux de réponse aux incidents informatiques. Chaque pays de l’UE est également tenu de définir des stratégies efficaces pour lutter contre les cyberattaques et les cybermenaces.

Les centres de réponse aux urgences de sécurité informatiques (CSIRT) et les centres de réponse aux urgences informatiques (CERT) revêtent une importance particulière. En effet, ils sont chargés d’alerter, de suivre et d’analyser les incidents informatiques à l’échelle nationale.

Renforcer la coopération entre les pays sur la cybersécurité

La directive NIS a instauré un cadre de coopération volontaire entre les pays membres de l’Union européenne. Cela se manifeste par la création d’un groupe de coopération qui s’intéresse aux aspects politiques de la cybersécurité. La norme a aussi institué un réseau européen des CSIRT des pays membres de l’UE.

Cet organe est composé comme suit :

  • les représentants de chaque État de l’Union européenne,
  • les représentants de la Commission européenne,
  • les représentants de l’Agence européenne de la sécurité des réseaux et de l’information (ENISA)…

Le renforcement de la coopération entre les pays européens vise à faciliter les échanges de données techniques sur les risques et les vulnérabilités en matière de sécurité informatique.

Optimiser le niveau de sécurité des entreprises

La directive NIS incite chaque pays de l’Union à améliorer considérablement la cybersécurité des OES et des fournisseurs de services numériques établis sur son territoire.

Pour cela, les États doivent imposer le respect de certaines règles de cybersécurité aux entreprises. Ces dernières sont tenues par ailleurs de prévenir les autorités compétentes lorsqu’elles détectent des incidents qui impactent la continuité de leurs prestations.

Non-conformité à la NIS : les sanctions encourues

Les OES et les DSP qui ne se conformeraient pas à la directive européenne NIS risquent plusieurs pénalités financières. En ce qui concerne les opérateurs de services essentiels, les amendes prévues sont plus conséquentes que celles réservées aux DSP. Concrètement, les OES qui enfreignent les obligations mises à leur charge par la directive encourent une amende de 100 000 euros.

Cette amende passe à 75 000 euros lorsque ces entreprises omettent de déclarer des incidents de sécurité qu’elles ont repérés. Si un OES se rend coupable d’obstruction lors des opérations de contrôle réalisées par l’ANSSI, il risque une amende de 125 000 euros.

Quant aux fournisseurs de services numériques (DSP), ils risquent 75 000 euros d’amende pour non-conformité avec les obligations édictées par la directive. La non-déclaration des incidents de sécurité les expose au paiement d’une amende de 25 000 euros. Au même titre que les OES, les DSP responsables d’obstruction aux opérations de contrôle de l’ANISSI doivent s’acquitter d’une pénalité financière de 125 000 euros. Pour éviter ces sanctions financières, chaque organisme peut faire appel aux Experts de ONE GDPR. Spécialisée notamment en cybersécurité, notre équipe saura répondre aux demandes de ses clients en proposant notamment une boîte à outils. Elle les accompagne ensuite pour les conseiller et leur donner entière satisfaction.

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2 est une nouvelle directive européenne prévue pour être adoptée d’ici la fin de l’année. Ce texte va remplacer la directive NIS en vigueur depuis 2016. Il vise à corriger les lacunes de cette réglementation pour renforcer la cybersécurité au sein de l’Union Européenne. Cet instrument juridique européen se révèle ambitieux et équilibré pour répondre à l’état de la menace actuelle en matière de cybersécurité.

L’adoption de cette directive est en très bonne voie puisque le projet a été validé par le Comité des représentants permanents (Coprer). Dans les prochains mois, le texte devrait donc être définitivement adopté par le Parlement de l’Union européenne. Dès qu’il sera adopté par le Parlement et le Conseil de l’UE, les pays membres devront le transposer dans leur droit interne endéans les 2 ans maximum.

La nouvelle directive intègre plusieurs innovations par rapport à la directive NIS. Parmi celles-ci, nous pouvons indiquer l’élargissement des domaines d’activité et des organisations soumises aux obligations de cybersécurité. De même, la directive NIS 2 comporte des exigences de sécurité plus contraignantes et strictes.

Quelles sont les obligations de la directive NIS 2 ?

Les entreprises privées, les administrations publiques et les États ont plusieurs obligations conformément à la directive NIS 2.

Les obligations de gestion des risques

La nouvelle directive européenne sur la cybersécurité vient renforcer les obligations déjà existantes et en intègre de nouvelles. Dans un premier temps, les obligations édictées portent sur la gestion des risques. En réalité, le texte complète l’ancienne réglementation en définissant une liste précise d’exigences qui impose des mesures qui touchent à divers aspects :

  • les analyses de risques ;
  • les politiques de sécurité des systèmes d’information (SI) ;
  • les procédures de gestion des incidents ;
  • les mesures de maintien de l’activité lors des périodes de crise ;
  • l’usage d’outils cryptographiques de chiffrement des données…

Conformément aux nouvelles règles établies par la directive NIS 2, la fiabilité et l’efficacité des différentes procédures seront soumises à un contrôle périodique. Ce contrôle sera effectué grâce à des audits. La nouvelle réglementation impose aussi une obligation de gestion des risques associés à l’ensemble des organismes tiers appartenant à la « supply chain » des acteurs concernés par la directive.

Les obligations de reporting

La directive NIS 2 a également renforcé les obligations liées à la déclaration des éventuels incidents pouvant occasionner des dommages opérationnels ou financiers conséquents. Concrètement, les organisations soumises à la directive NIS ont désormais 24 heures pour signaler les incidents de cybersécurité aux autorités compétentes.

Le texte comporte aussi des dispositions spécifiques sur les modalités de notification des incidents. Celles-ci concernent notamment le calendrier ainsi que le contenu des rapports. De plus, les entreprises et les collectivités territoriales ont désormais l’obligation de disposer d’une équipe chargée de la gestion des incidents.

Le devoir de divulgation de vulnérabilités

La nouvelle directive européenne sur la cybersécurité appuie le processus « vulnerability disclosure » qui était déjà d’actualité avec la directive NIS. Ce mécanisme occupe une place importante dans la lutte contre la cybercriminalité et les cyberattaques. Il consiste dans le fait que les experts en sécurité informatique et les hackers éthiques sont encouragés à signaler les failles qu’ils découvrent sur les systèmes d’information.

Cela favorise une prise en charge rapide et efficace de ces vulnérabilités par les fournisseurs de services numériques. Pour faciliter cette opération, la directive prévoit de créer une base de données qui répertorie toutes les vulnérabilités connues. L’administration de cette base de données des failles informatiques sera assurée par l’Agence de l’Union européenne pour la cybersécurité (ENISA).

La directive NIS 2 élargit aussi les prérogatives de contrôle dont disposent les autorités de chaque pays de l’UE. Ce texte préconise ainsi un contrôle ex ante pour les opérateurs essentiels et un contrôle ex post pour les opérateurs importants. Il intègre d’autre part des mécanismes de surveillance plus exigeants à l’égard des autorités nationales. Les exigences d’application de la directive NIS 2 sont plus strictes et visent principalement l’harmonisation des régimes de sanctions dans tous les États membres de l’Union européenne.

Le champ d’application de la directive NIS 2

La directive NIS 2 précise et étend le champ d’application des obligations de sécurité informatique qu’elle comporte. Les secteurs ou acteurs concernés par les mesures strictes ont tout d’abord fortement augmenté par rapport à la première directive. Le nouveau texte conserve les domaines déjà ciblés par la directive NIS en y ajoutant d’autres secteurs comme :

  • l’administration publique ;
  • l’espace ;
  • la gestion des déchets et des eaux usées ;
  • la fourniture d’eau potable ;
  • les services postaux ;
  • la recherche…

La directive indique que l’ensemble des organisations de moyenne et de grande taille évoluant dans ces domaines stratégiques se verront imposer des obligations de cybersécurité. Elle laisse néanmoins la possibilité aux pays membres de choisir des entités de petite taille à intégrer à la directive. Chaque pays est ainsi autorisé à appliquer le texte à ses administrations régionales. La nouvelle directive exclut cependant certains secteurs ou organismes de son domaine d’application. Ces derniers sont entre autres la défense nationale, la sécurité nationale et publique, le pouvoir judiciaire, les parlements, les banques centrales, l’application de la loi…

L’une des spécificités du nouveau texte sur la cybersécurité est qu’il classe les organisations concernées en deux différentes catégories. On distingue ainsi les opérateurs essentiels et les opérateurs importants. De façon concrète, les opérateurs essentiels sont soumis à des obligations beaucoup plus strictes et complètes que les opérateurs importants. Cela se justifie par le fait que les risques de sécurité encourus par ces différents acteurs ne sont pas identiques.

À titre illustratif, dans le domaine des infrastructures numériques, les opérateurs DNS et les fournisseurs de solutions Cloud seront uniquement considérés comme des opérateurs importants. Quant aux moteurs de recherche (Google, Bing…) et les réseaux sociaux (Facebook, Instagram, LinkedIn…), ils seront classés dans la catégorie des opérateurs importants.

Comment se préparer à la directive NIS 2 ?

D’ici quelques semaines ou mois, la nouvelle directive NIS 2 sera votée en plénière et adoptée de manière définitive. Elle entrera en vigueur dans la législation nationale de chaque pays membre de l’UE après une durée de 21 mois. Passé ce délai, les organisations qui ne sont pas en conformité avec le texte vont recevoir des amendes importantes.

La mise en conformité avec la directive NIS 2 consiste à adopter les mesures opérationnelles et techniques adaptées pour gérer les risques auxquelles les systèmes d’information sont exposés. Cela concerne aussi bien les opérateurs essentiels que les opérateurs importants. Pour préparer au mieux cette échéance, les organisations ont besoin de conseils, de formations et de certains outils nécessaires au respect de la directive.

Quoi qu’il en soit, ONE GDPR propose ses services à toutes les entreprises désireuses de se conformer à la directive NIS 2. Son expertise aide à réaliser toutes les démarches nécessaires pour respecter les dispositions de ce texte de loi.

Désigner un correspondant auprès de l’ANSSI

La première démarche consiste à choisir le représentant de l’entreprise ou de la collectivité locale auprès de l’ANSSI. Cela permet ensuite de déterminer les systèmes d’information de l’organisation. C’est en fonction de la nature de ceux-ci que les règles de sécurité seront mises en œuvre.

Surveiller et évaluer les réseaux ou les systèmes d’information

La mise en conformité avec la directive NIS 2 nécessite la surveillance et l’évaluation des réseaux ou des systèmes d’information. Les entreprises spécialisées utilisent le plus souvent deux méthodes pour y arriver : le scan actif et la surveillance passive. Ces dernières offrent la possibilité de détecter les failles de sécurité de façon continue.

Procéder au reporting des incidents

Les organisations doivent produire des rapports de conformité à remettre aux autorités nationales compétentes. Pour simplifier cette tâche, les spécialistes du déploiement de la directive NIS 2 utilisent les modèles de rapport et de dashboard. Ils sont utiles pour créer des rapports personnalisés pour chaque obligation de conformité.

Mise en conformité de la directive NIS 2 : l’importance d’un expert en cybersécurité

La mise en conformité des opérateurs essentiels et des opérateurs importants est loin d’être une tâche facile. C’est pour cela qu’il est recommandé de confier ce projet à un professionnel comme ONE GDPR. Il dispose en effet d’une excellente expertise technique ainsi qu’une expérience avérée dans le domaine des normes de système de gestion internationale.

La majorité des prestataires présents sur le marché ont déjà en effet géré des centaines de projets de mise en conformité à la directive NIS à travers l’Europe. Les entreprises spécialisées sont donc en mesure de piloter ce projet de A à Z avec une grande réussite.

En général, elles possèdent des équipes pluridisciplinaires. Ces dernières se chargent notamment de :

  • élaborer une stratégie de mise en conformité en prenant en considération le budget, le parrainage et le plan de développement global ;
  • réaliser des tests d’intrusion rigoureux et fiables ;
  • mettre en œuvre une expertise exécutive et monter un plan de mitigation du risque efficace…

En définitive, un spécialiste est en mesure d’aider les entreprises à comprendre et à matérialiser la directive NIS 2. Si cet accompagnement aide à échapper aux sanctions prévues par l’Union européenne, cela permet également d’instaurer une relation durable entre l’organisation et ses différents partenaires. Chaque organisation concernée par cette directive ferait donc mieux de déléguer son projet de mise en conformité à un expert en cybersécurité habitué à ce genre de missions.

Les sanctions du non-respect de la NIS 2

La directive NIS a harmonisé et renforcé les sanctions prévues en cas de violation des obligations de cybersécurité par les organisations auxquelles elle s’applique. Quoi qu’il en soit, le non-respect de ce texte de loi expose les entreprises ou collectivités au paiement d’une amende. Celle-ci peut atteindre la somme de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’organisation.

Les entreprises qui violent fréquemment les obligations de cybersécurité ne sont toutefois pas à l’abri d’autres sanctions. En effet, la responsabilité des personnes qui y occupent des postes de représentation ou de direction peut être engagée.

La directive NIS 2 met également certaines obligations en matière de surveillance et d’exécution à la charge des pays membres. Par conséquent, il n’est pas à exclure que les États qui enfreignent ces règles soient poursuivis et sanctionnés par les instances européennes.

Directive NIS et RGPD : deux réalités identiques ?

Certaines personnes font la confusion entre directive NIS et RGPD. Or, ces deux normes européennes sur la cybersécurité désignent des réalités distinctes. En effet, le RGPD (Règlement Général sur la Protection des Données) est un instrument juridique européen dont l’objectif est d’optimiser la protection des données personnelles des citoyens européens. Il est entré en vigueur le 28 mai 2018.

Le RGPD est axé sur la transparence de la collecte des données et leur usage. Il responsabilise tous les acteurs publics ou privés qui collectent ou traitent des données à caractère personnel. Cette réglementation est venue suppléer la directive de 1995 qui a montré certaines faiblesses. L’autorité chargée de sa bonne application en France est la CNIL (Commission Nationale de l’Informatique et des Libertés).

Le RGPD s’applique aux organismes publics ou privés qui collectent ou traitent des données personnelles pour leur compte ou non. Les deux conditions requises sont que ces organisations soient implantées dans les pays de l’UE et que leur activité cible de manière directe les personnes qui vivent dans l’UE.

Concrètement, une entreprise établie en France et qui exporte ses produits vers l’Algérie par exemple et pour sa clientèle moyen-orientale est soumise au RGPD. De plus, une société chinoise qui dispose d’une plateforme e-commerce en français et qui livre des produits en France est tenue au respect du RGPD. Cette législation s’applique également aux sous-traitants qui réalisent des traitements de données à caractère personnel pour le compte d’autres entreprises.

En définitive, la directive NIS et le RGPD divergent sur plusieurs aspects. Si le premier texte de loi est une directive, le second est un règlement. La directive NIS régit ensuite les problématiques de cyberattaques ou cybermenaces tandis que le RGPD s’applique essentiellement à la collecte et aux traitements des données personnelles. Pour mieux appréhender ces deux termes, il est possible de solliciter une entreprise comme ONE GDPR. Elle aidera chaque organisation à mieux comprendre la directive NIS sur la cybersécurité et le RGPD.