La directive NIS 2 : obligation de résilience

LA DIRECTIVE NIS 2 : QU'EST-CE QUE C'EST ?

NIS 2 est une directive européenne qui a pour objectif d’accroitre la maturité cyber des entités concernées en instaurant des mesures de cybersécurité plus strictes. Ces mesures concerneront notamment la détection et réponse à incident, la gestion des risques mais également la sensibilisation et la formation à la sécurité de l’information. Synonyme de cyber résilience, NIS 2 renforcera la capacité d'une organisation à prévenir, à résister et à se remettre des incidents de cybersécurité.

Chaque pays de l’Union Européenne devra transcrire dans sa propre législation la directive. C’est-à-dire que par exemple la France déterminera quels secteurs d’activité seront concernés, quelles seront les mesures obligatoires à mettre en place ainsi que les sanctions en cas de non-respect aux mesures. La directive entrera en vigueur en France le 17 octobre 2024. Toutes les entités concernées devront donc se conformer à la loi d’ici cette date et respecter les 10 mesures en matière de protection et de sécurité des systèmes d’information.

LA DIRECTIVE NIS 2 : QUI EST CONCERNÉ ?

D’après une estimation (source : Imperva) environ 160 000 organisations seront concernées. Le secteur du privé regroupant les PME, ETI et groupes du CAC40 mais également le secteur du public regroupant les administrations publiques ainsi que les collectivités territoriales devront se conformer à la loi. Cependant il est encore trop tôt pour savoir comment les collectivités seront intégrées.

NIS 2 concernera 18 secteurs critiques séparés en 2 niveaux de criticité. Pour l’instant 11 secteurs ont été défini comme hautement critiques :

• Energie
• Transport
• Santé
• Espace
• Eau potable
• Eaux usées
• Administration publique
• Infrastructure numérique
• Banques
• Infrastructures des marchés financiers
• Gestion des services TIC (interentreprises)

7 secteurs ont été défini comme critiques :

• Services postaux et d’expédition
• Gestion des déchets
• Fournisseurs numériques
• Produits chimiques
• Données alimentaires
• Recherche
• Fabrication

Même si la directive NIS 2 entrera en vigueur en octobre 2024, les Etats membres auront jusqu’au 17 avril 2025 pour établir une liste des entités essentielles et importantes. Ils réexamineront cette liste et, le cas échéant, la mettront à jour régulièrement et au moins tous les deux ans par la suite.

Si votre entité ne fait pas partie de ces secteurs, mais qu’elle fait partie de la chaine d’approvisionnement (fournisseurs et prestataires) d’une entité concernée alors il y a de fortes chances pour que votre entité soit également concernée. Cette mesure a pour objectif d’éviter les attaques par rebond qui représentait 24% des cyberattaques en 2022 (Source : le monde informatique janvier 2023). Un pourcentage important qui démontre que les entreprises sont attaquées via leurs prestataires qui souvent n'ont pas le même niveau de sécurité que leurs clients.

LA DIRECTIVE NIS 2 : QUELLE DIFFÉRENCE ENTRE LES ENTITÉS ESSENTIELLES ET LES ENTITÉS IMPORTANTES ?

Les entités seront séparées en 2 catégories : les entités essentielles (EE) et les entités importantes (EI). Elles seront définies en fonction de la taille de l’entreprise (nombre d’employés, chiffre d’affaires et bilan annuel) et en fonction de la criticité du secteur d’activité définit plus haut.

Par exemple, une entité définit comme moyenne, en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, avec un secteur considéré comme hautement critique sera considérée comme une entité essentielle.

Attention, en vertu de l’article 2, paragraphe 2 de la directive 2022/2555, certaines entités sont automatiquement considérées comme des entités essentielles indépendamment de leur taille si

• les services sont fournis par :
  • des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public;
  • des prestataires de services de confiance;
  • des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine;
• l’entité est, dans un État membre, le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques;
• une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique;
• une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière;
• l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants dans l’État membre

LA DIRECTIVE NIS 2 : QUELLES MESURES ?

Les entités concernées par la directive NIS 2 devront mettre en place 10 mesures obligatoires concernant la détection et réponse aux incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.

• Les politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information
• La gestion des incidents (avec obligation de notification)
• La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises
• La sécurité de la chaîne d’approvisionnement (prestataires et fournisseurs)
• La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information y compris le traitement et la divulgation des vulnérabilités
• Des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité (audit)
• Les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité
• Les politiques et procédures liées à la cryptographie et, le cas échéant, du chiffrement
• La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
• Sécurité des communications (authentification à plusieurs facteurs ou authentification continue)

LA DIRECTIVE NIS 2 : LE TRIPLE REPORTING

En cas d’incident de sécurité important, la directive NIS 2 met en place un triple reporting.

L’entité concernée aura l’obligation de notifier le CSIRT (centre de réponse aux incidents de sécurité informatique) ou à leur autorité compétente dans les 24h après avoir eu connaissance de l’incident important. Dans cette alerte précoce, l’entité devra indiquer si elle suspecte que l’incident ait été causé par des actes illicites ou malveillants ou s’il pourrait y avoir un impact transfrontière.

Suite à l’alerte précoce, l’entité devra, dans les 72 heures après avoir eu connaissance de l’incident important, faire une notification d’incident mettant à jour l’alerte précoce et fournissant une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles.

Au plus tard un mois après la présentation de la notification d’incident, l’entité devra fournir un rapport final comprenant :

• une description détaillée de l’incident, y compris de sa gravité et de son impact
• le type de menace ou la cause profonde qui a probablement déclenché l’incident
• les mesures d’atténuation appliquées et en cours
• l’impact transfrontière de l’incident

Un rapport intermédiaire peut également être demandé par l’autorité compétente, sur les mises à jour pertinentes de la situation.

En cas d’incident en cours au moment de la présentation du rapport final, l’entité concernée devra fournir un rapport d’avancement.

Pour information, un incident est considéré comme important si :

• il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée;
• il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

LA DIRECTIVE NIS 2 : QUELLES SANCTIONS ?

Les sanctions ne seront pas les mêmes pour les EE et les EI.

Les sanctions pour une EE en cas de non-respect des mesures pourront :

• Suspendre les certifications
• Interdire temporairement l’exercice de fonction de direction
• Aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (le montant le plus élevé sera retenu)

Une EI en cas de non-respect des mesures obligatoires pourront avoir une amende pouvant aller jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial (le montant le plus élevé sera retenu).

Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard le 17 janvier 2025, des règles et mesures adoptées à cet égard, ainsi que, sans retard, de toute modification qui y serait apportée ultérieurement.

LA DIRECTIVE NIS 2 : 5 POINTS À RETENIR 

Voici 5 points essentiels qu’il faut retenir de la directive NIS 2

• Ne pas attendre la date de la transcription car dès le lendemain les entités concernées pourront être sanctionnées. Il faut donc faire preuve de proactivité en capitalisant sur les précédentes règlementations (NIS, RGPD, Loi de programmation militaire, ISO 27001, NIST Cyber Security Framework, DORA) et aller plus loin que la simple conformité.
• La directive s'appuie sur des règles d'hygiène pour définir un socle minimal mais cela ne suffit pas à être conforme : une gouvernance cyber approfondie doit être opérationnelle.
• NIS 2 couvre l'ensemble des SI et pas seulement les systèmes essentiels (NIS 1)
• L'implication du RSSI ne suffit pas pour réussir : l'ensemble de l'entreprise va probablement devoir engager une démarche collective pour modifier son organisation.
• NIS 2 oblige annuellement à démontrer les moyens mis en œuvre. Les mesures de conformité doivent s'appuyer sur les données objectives et s'automatiser.

LA DIRECTIVE NIS 2 : LA CYBER ASSURANCE UN ALLIÉ DE TAILLE

Comme évoqué précédemment, dans le cadre de la directive NIS 2, les entités concernées devront annuellement démontrer les moyens mis en œuvre pour répondre aux 10 mesures obligatoires.

Souscrire à un contrat de cyber assurance pourra notamment répondre à 3 des 10 mesures obligatoires et pourra simplifier la justification annuelle auprès de l’autorité compétente.

En cas de cyberattaque, lorsqu’une entité est assurée face aux risques cyber, elle bénéficie d’une équipe d’experts en cybersécurité, disponible 24/7, qui aidera à identifier et stopper la cyberattaque, ce qui répond à la mesure gestion des incidents.

Chez CYBER COVER, nous commençons toujours par une phase d'audit qui permet de déterminer l’exposition face aux risques cyber. En tant qu’assuré CYBER COVER vous bénéficiez également d’un espace prévention (disponible en janvier 2024) comprenant un scan journalier de surface de l’exposition web et analyse du Dark web avec une identification des cybermenaces. Cet audit avec la remise du rapport détaillé répond aux procédures à mettre en place pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité.

Dans le volet prévention, CYBER COVER propose des campagnes de simulation de phishing, de la sensibilisation avec une plateforme e-learning et des fausses campagnes de phishing et des exercices de gestion de crise cyber. Ces éléments répondent à la formation à la cybersécurité.

Vous pouvez vous appuyer sur votre courtier en assurance ou faire appel à un spécialiste de la cyber assurance, CYBER COVER, afin de trouver le bon contrat d’assurance cyber.   

Sources : 

Shift Avocats

Directive (UE) 2022/2555 du Parlement européen et du Conseil

CYBERUN #32 – NIS 2