NIS2: la nouvelle directive européenne cybersécurité

Qu'est-ce que la Directive NIS ?

La directive NIS (Network and Information Systems) est le premier instrument législatif de l’Union européenne sur la cybersécurité. Elle a été adoptée en 2016, après près de trois ans de négociation et a posé des bases en termes d’harmonisation et de renforcement des capacités de cybersécurité.  

Elle a par exemple permis le renforcement de la cybersécurité d’opérateurs issus de secteurs clés, considérés comme essentiels (OSE ou Opérateur de Services Essentiels).

Elle a également établi le réseau des CSIRTs (Computer Security Incident Response Team), pour une coopération opérationnelle en cas de réponse à incidents et d’un partage accru d’informations entre États membres.

Pourquoi la directive NIS de 2016 a-t-elle été révisée ?

La directive NIS (Network and Information Systems) est le premier instrument législatif de l’Union européenne sur la cybersécurité. Elle a été adoptée en 2016, après près de trois ans de négociation et a posé des bases en termes d’harmonisation et de renforcement des capacités de cybersécurité.  

Elle a par exemple permis le renforcement de la cybersécurité d’opérateurs issus de secteurs clés, considérés comme essentiels (OSE ou Opérateur de Services Essentiels).

Elle a également établi le réseau des CSIRTs (Computer Security Incident Response Team), pour une coopération opérationnelle en cas de réponse à incidents et d’un partage accru d’informations entre États membres.

Quels sont les principaux apports de la Directive NIS2 ?

Définition et élargissement du champ d’application

NIS2 clarifie les secteurs et organisations concernés, en fonction de leur importance pour l’économie, leur taille, chiffre d’affaires etc. Aux secteurs qui étaient déjà concernés par la Directive NIS, viennent s’ajouter de nouveaux secteurs essentiels ou importants tels que la fabrication de certains produits critiques comme les produits pharmaceutiques dont les vaccins, l’espace, les administrations publiques, la chimie, le secteur alimentaire etc. NIS2 devrait étendre les obligations de sécurité à environ 10 fois plus d’organisations que la 1re version, soit 150 000 entreprises privées et publiques (selon La Tribune).

Coopération transfrontalière soutenue par EU-CyCLONe  

NIS2 établit officiellement EU-CyCLONe (European Cyber crises liaison organisation network) qui soutient la gestion coordonnée des incidents de cybersécurité à l’échelle de l’UE et veille à un meilleur partage d’information pour une capacité collective accrue à se préparer et réagir aux situations de crise à grande échelle.

Harmonisation des processus de notifications d’incidents et des régimes de sanction

NIS2 précise les rapports de notification attendues ainsi que leurs délais. La proposition envisage qu’en cas d’incident, les entités auront un délai de 24h pour émettre une première alerte auprès de l’autorité compétente (l’ANSSI pour la France), suivi d’un rapport final plus complet, au plus tard, dans le mois.
En cas de non-respect des nouvelles règles de NIS2, celle-ci établit une liste de sanctions, pouvant aller jusque 10 millions d'euros ou 2 % du chiffre d'affaires total des entités dans le monde (le maximum des deux étant retenu) pour les entités essentielles.

Qui est concerné par la Directive NIS2 ?

L’impact du NIS2 sur le Secteur Public

Ces dernières années, les cas de villes, départements ou conseils régionaux paralysés par des ransomwares ou autres types de cyberattaques se sont accumulés : la ville de Caen, le département de Seine-Maritime, la région Grand Est... Les impacts de ces cyberattaques sont divers : coupure d’accès aux lignes téléphoniques de la mairie, plus d’accès aux portails pour la gestion de la paie, de réservation de services, perturbation en période d’élections, vol de données sensibles...  

La nouvelle directive européenne NIS2 concerne désormais directement les administrations publiques centrales, de plus en plus visées par les cyberattaques.

A noter que le choix d’inclure ou non les administrations régionales et locales serait laissé à la discrétion des États membres, lors de la transposition du texte en droit national.

Ainsi, les collectivités publiques françaises concernées devront se conformer aux règles de sécurité énoncées par la Directive NIS2 (mettre en place une analyse de risques et des politiques de sécurité, disposer de politiques en matière d’utilisation de la cryptographie, réaliser des audits pour évaluer l’efficacité des mesures, notifier les incidents de sécurité à l’ANSSI avec des contraintes de délai...).

L’impact du NIS2 sur le Secteur de la Santé

Dans le domaine de la santé, des changements sont également apportés avec la Directive NIS2, même si, sous NIS, une centaine d’hôpitaux avaient déjà été désignés comme OSE. NIS 2 couvre plus largement le secteur de la santé, notamment en incluant les fabricants de dispositifs médicaux et de produits pharmaceutiques.  

En plus d’agrandir la liste des secteurs concernés, comme vu précédemment, le texte introduit également une surveillance plus stricte des entités essentielles et importantes, comme une sécurisation des chaînes d’approvisionnement et des relations avec les fournisseurs, en réponse à la multiplication des attaques par rebond, visant l’ensemble de la chaine de valeur des opérateurs (sous-traitants, fournisseurs, partenaires).

L’impact du NIS2 sur les entreprises

NIS2 établit que les entités de taille moyenne et de grande taille (>50 employés et avec au moins 10 millions de chiffre d’affaire annuel), dans les secteurs couverts par le cadre NIS2, sont tenues de respecter les règles de sécurité avancées dans la proposition, et supprime la possibilité pour les États membres d'adapter les exigences dans certains cas (qui a conduit à une fragmentation dans la mise en œuvre de NIS1). Les entités importantes seront probablement majoritairement des PME d’au moins 50 salariés.

En revanche, les micro et petites entreprises sont exclues des obligations, sauf si elles sont considérées comme à haut risque avec une importance spéciale, par les États Membres.

Toutes les nouvelles entités concernées devront prendre en compte les exigences de la Directive NIS2 et la responsabilité de la direction en matière de gestion du risque pourra être engagée en cas de faute.

La plateforme Vectra vous aide à répondre aux exigences de la directive NIS.

Comment les entreprises doivent-elles s'organiser ?

NIS2 étant une directive et non un règlement, pour être appliquée, elle doit être préalablement transcrite dans le droit de chaque État de l’UE dans un délai de 21 mois après son adoption par le Conseil Européen. NIS2 ne devra donc probablement pas être appliqué avant mi ou fin 2024.  

Ce délai permet aux organisations concernées d’identifier les changements à apporter pour être en conformité avec NIS2, de lancer les premiers chantiers, de préparer les investissements non négligeables à venir et de faire appel aux spécialistes de la cybersécurité si besoin.

Bien que la Directive NIS2 n’ait pas encore été transposée à l’échelle nationale, et que son contenu peut à ce moment être sujet à des modifications, voici quelques bonnes pratiques qui pourront aider à la mise en œuvre de ses lignes directrices.

1. Déterminez si vous êtes concernés par NIS2

Déterminez si vous êtes concernés par NIS2 et si oui, si vous êtes une entité essentielle ou importante (les entités essentielles auront un régime de surveillance et de sanction plus strict que les entités importantes).

2. Veillez à ce que la direction et les cadres supérieurs soient :

  • Formés régulièrement sur la notion d’évaluation et de gestion des risques
  • Au fait des exigences de NIS2
  • Ainsi qu’informés sur les sanctions et amendes prévues en cas de non-respect (pouvant directement impacter les organes de direction et engager leur responsabilité). Les dirigeants doivent être informés pour prendre les décisions adéquates en termes de mise en place de politiques et de budget débloqué.  

3. Planifiez le budget nécessaire

Planifiez le budget nécessaire pour pouvoir définir, appliquer et superviser les mises en œuvre des mesures de sécurité

4. Prévoyez un plan d'action

Prévoyez un plan d’action sur les 7 mesures indiquées par le NIS2 (décrits à l’article 18 de la Directive) :

  • l'analyse des risques et les politiques de sécurité des systèmes d'information
  • la gestion des incidents (prévention et détection des incidents, réaction aux incidents et rétablissement après un incident)
  • la continuité des activités et la gestion des crises
  • la sécurité de la chaîne d'approvisionnement, dont la sécurité concernant les relations avec les fournisseurs ou prestataires de services directs
  • la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, dont le traitement et la divulgation des vulnérabilités
  • des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité (ex : tests et audit)
  • une politique en matière d'utilisation de la cryptographie et du cryptage

Même si la mise en application de NIS2 n’est pas immédiate, il est important de s’y préparer au mieux et de commencer à travailler dès maintenant sur la mise en conformité.

Quel est le coût associé au NIS2 pour les entreprises ?

La Directive NIS2 vise à améliorer le niveau de sécurité à l’échelle européenne. Pour ce faire, elle demande un effort d’investissement conséquent pour les entités concernées et soulève des questions budgétaires.  

Tandis que NIS2 ne précise pas les moyens financiers et humains à allouer par les entités (car dépendent grandement de l’état initial de la SSI dans l’entité), Guillaume Poupard, alors directeur général de l’ANSSI, avait indiqué à la Tribune qu’il était souhaitable que le budget cybersécurité représente au moins 10% du budget IT.

D’après l’évaluation d’impact réalisée par la Commission Européenne sur le NIS2 (cf. Impact assessment part 1, pages 72 et 73), les dépenses en matière de sécurité informatique augmenteraient, dans les 3 à 4 années suivant la mise en œuvre du NIS2, de :

  • environ 12% pour les secteurs déjà couverts par la directive NIS  
  • environ 22% pour les nouveaux secteurs ajoutés dans NIS2

A noter que ces valeurs ne prennent pas uniquement en compte les dépenses pour la mise en conformité à NIS2 mais le budget global de sécurité, avec des hausses déjà estimées de base par le Gartner.  

Fort heureusement, les entreprises et organisations auront du temps pour se préparer avant une entrée en vigueur de NIS 2 qui ne serait pas avant mi ou fin 2024, et qui leur permet d’identifier en amont les tâches à effectuer, de préparer le budget nécessaire et faire appel aux spécialistes et consultants adéquats si besoin.

Existe-t-il des aides financières supportant la directive NIS2 ?

Une partie des coûts associés au NIS peuvent être supportés par différentes aides financières, au niveau national ou européen.

  • France Relance par exemple, dont le pilotage a été confié à l’ANSSI, permet d’aider financièrement les services publics (dont les établissements de santé) et les collectivités territoriales pour le renforcement leur SSI, avec un fonds de 136 millions d’euros
  • Digital Europe programme, qui apporte un soutien sur de multiples domaines, permet notamment de participer au financement de projets autour de la cybersécurité, avec 1,65 milliards d’euros de financement pour la cybersécurité et la confiance, entre 2021 et 2027. Le financement couvre par exemple les actions d’évaluation et certifications, d’implémentation des mesures de sécurité de NIS, mise en place de SOCs...  

Répondez aux exigences du NIS2 grâce à Vectra

L’un des axes principaux de NIS2 est la détection et la réponse aux incidents. Cette mesure est essentielle, et en complément des méthodes de prévention qui ont pu être mises en place par les entités. Alors que les organisations sont confrontées à des cybermenaces inconnues toujours plus nombreuses et sophistiquées, capables de contourner les moyens défensifs, sur une surface d’attaque élargie incluant le Cloud, NIS2 rappelle l’importance de se donner les moyens de les identifier au plus tôt.  

C’est l’objectif de Vectra AI que de donner aux entités les moyens d’être alertées avec le bon niveau de priorité sur les progressions d’attaque au sein d’un réseau, en se reposant sur les comportements types d’attaquant tout au long de la kill chain. Grâce à la technologie Attack Signal Intelligence de Vectra, qui extrait les signaux pertinents tout en réduisant le bruit des alertes, les analystes de sécurité peuvent se concentrer sur la réponse aux menaces critiques et atténuer le risque pour l’entreprise en lui donnant une meilleure visibilité sur son environnement. Le résultat est que les équipes sécurité sont plus efficaces dans l’identification des menaces réelles et que le temps moyen de détection est optimisé.

Testez la plateforme Vectra

Rien de plus simple que de tester la plateforme pour comprendre ses bénéfices pour votre entreprise.