NIS2 : à quoi faut-il s’attendre ?

NIS2 : à quoi faut-il s'attendre ?
NIS2 : à quoi faut-il s'attendre ?

Qu’est-ce que la NIS ?

La directive Network and Information System Security (NIS) vise, selon l’ANSSI, à « assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne ». Elle a été adoptée par les états membres en 2016.  Il s’agit du premier texte au niveau européen, regroupant un ensemble de directives à respecter au niveau de la cybersécurité des entreprises visées.

L’objectif de ce texte est de répondre à 4 enjeux majeurs en matière de cybersécurité : la gouvernance, la coopération, la cybersécurité des OSE et celle des FSN.

Qu’est-ce qui change avec la NIS2 ?

Le processus de la Commission Européenne prévoyait une révision du texte en 2021 au plus tard. Les pistes d’amélioration du texte visaient notamment à revoir le périmètre d’entreprises ciblées par les directives, mais également à homogénéiser le niveau de protection des sociétés, jugé trop hétérogène.

Une nouvelle version vient d’être révisée par une commission du Parlement Européen. Avant d’être adopté définitivement, le texte devra passer entre les mains des représentants du Parlement, du Conseil et de la Commission.

Premier point : l’élargissement des entreprises soumises aux directives

Jusqu’ici, les directives de la NIS s’appliquaient aux OSE des secteurs de l’énergie, du transport, de la santé, de l’eau potable, des finances, des infrastructures numériques et des fournisseurs de services numériques. Ces secteurs « essentiels » seront toujours concernés par les règles de la NIS2, mais seront également cibles les secteurs « importants » : les « services postaux, la gestion des déchets, les produits chimiques, le secteur alimentaire, la fabrication des dispositifs médicaux, l’électronique, les machines, les véhicules à moteur et les fournisseurs numériques », selon un article de l’Usine Digitale.

Selon leur taille et leur caractère stratégique, les secteurs seront considérés soit « essentiels », soit « importants », les premiers devant respecter des directives plus strictes en matière de cybersécurité. Concernant les secteurs du numérique, sont désormais considérés comme essentiels : les services Cloud, les fournisseurs de DNS, les services de confiance, etc. Le texte définitif n’ayant pas encore été adopté, certains points restent à éclaircir quant à la définition précise de ces acteurs, notamment les DNS providers.

Deuxième point : des mesures plus strictes pour les deux catégories d’entreprises concernées :

  • Renforcement des exigences de sécurité pour les entreprises ciblées (« essentielles » et « importantes ») : un minimum d’éléments de sécurité sera à respecter en fonction de la taille / du risque identifié dans l’entreprise. L’approche demandée par la NIS2 inclura également un système de gestion du risque.
  • Renforcement du système de sanctions : harmonisation des amendes au niveau des Etats membres. La grande nouveauté de la NIS2 sur ce sujet est l’engagement de la responsabilité des personnes physiques occupant des postes de direction/représentation, dans l’hypothèse d’incidents importants.
  • Déclaration obligatoire des incidents de sécurité (failles informatiques et incidents potentiels), sous un délai de 24h.
  • Autres mesures : autorités nationales soumises à des surveillances plus strictes, sécurisation des relations fournisseurs, etc.

Troisième point : renforcement du contrôle et de la coordination

Au niveau national, la NIS2 prévoit d’accorder un pouvoir plus important aux autorités de régulation. Leurs interventions pourront être plus nombreuses avec la possibilité de mener des «  audits réguliers et ciblés, des contrôles sur site et hors site, et formuler des demandes d’informations et d’accès à des documents ou à des preuves. », selon un article de CMS LAW.

L’objectif étant de maintenir la réponse aux enjeux de coordination et de contrôle identifiés par la version initiale, la NIS2 prévoit l’instauration d’un « bouclier cyber » : un centre de compétences et un centre de coordination qui épauleraient les entreprises dans leur politique de cybersécurité. D’un point de vue plus global, l’ambition de la NIS2 est la création d’une entité cyber au niveau Européen, avec un budget conséquent (plusieurs milliards d’euros).

Les déclarations sont à suivre attentivement de par leur caractère obligatoire à partir de la mise en œuvre de la NIS2. Pour le moment, la mise en application semble être prévue courant 2024.

Source de l’image : TheDigitalArtist via Pixabay