Directive NIS2 : comment préparer votre mise en conformité ?
Le texte de la directive révisée Network Internet Security, dite NIS2 a été adopté (577 voix pour, 6 voix contre et 31 abstentions) au Parlement européen en plénière ce 10 novembre 2022.
A partir de sa publication dans les prochains jours, les états membres auront 21 mois pour la transposer dans leur droit national. Les organisations concernées peuvent commencer à se préparer dès à présent.
Quel est l’objectif de cette révision?
Suite à l’augmentation d’intrusions dans les systèmes d’information de secteurs sensibles entre 2020 et 2021 et l’interdépendance croissante de ces derniers, la révision de la directive NIS appliquée depuis 2019 est motivée par :
- l’homogénéisation du niveau de sécurité des entreprises et des administrations au sein de l’Union européenne
- la coordination rapide entre les états membres pour répondre à grande échelle en cas d'incidents significatifs ou de cyber menaces via 3 types d’acteurs (les centres de réponse aux incidents de sécurité informatique, la nouvelle institution EU-CyCLONe et le Groupe de Coopération NIS)
Le détail de mesures techniques et organisationnelles ainsi que l’extension de la directive à de nouveaux acteurs privés et publics tend ainsi à prévenir plus efficacement les attaques par rebond ou de la supply chain.
Les sanctions sont dissuasives : en cas de non respect de ce texte, une organisation contrevenante est exposée au paiement d’une amende pouvant s’élever jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires annuel mondial. La responsabilité des personnes qui occupent des postes de représentation ou de direction peut également être engagée.
Quelles sont les entités concernées ?
La directive NIS2 conserve le périmètre de sa version précédente en s’adressant aux entités anciennement répertoriées comme des Opérateurs de Services Essentiels (OSE) qui, selon l’Anssi, « fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société » :
- les banques,
- les marchés financiers,
- l’énergie,
- la santé,
- les transports,
- les réseaux de télécommunications...
A ces acteurs, s’ajoutent de nouveaux secteurs ainsi que leurs prestataires et sous-traitants (par exemple les ESN, entreprises de services numériques), avec une distinction faite entre entités essentielles (EE) et entité importantes (EI) :
- le secteur de l'eau (EE)
- les infrastructures numériques : fournisseurs d'accès à internet, de DNS, de datacenters etc. (EE)
- les administrations publiques (EE)
- le secteur de l'Espace (EE)
- la recherche (EE)
- les grands distributeurs alimentaires (EI)
- la gestion des déchets (EI)
- les services postaux (EI)
- la fabrication de certains produits sensibles (chimiques, médicaux etc.) (EI)
- les fournisseurs de services numériques (marketplace en ligne, moteurs de recherche, plateformes de services de réseaux sociaux...) (EI)
Hormis certains exceptions, seules les moyennes et grandes entreprises devront se mettre en conformité vis-à-vis de la NIS2. Les états membres restent néanmoins libres d’inclure les petites entreprises de certains secteurs et certaines collectivités territoriales. Au plus tard 6 mois après le délai de transposition, ils devront donc établir une liste des entités essentielles et importantes et la mettre à jour au moins tous les deux ans.
En revanche certains domaines restent exclus de cette directive :
- la défense nationale
- la sécurité nationale et publique
- le pouvoir judiciaire
- les parlements
- les forces de l’ordre
- les banques centrales
Quelles sont les nouvelles obligations de conformité?
Gestion des incidents : notification et reporting
La directive NIS 2 a renforcé les obligations liées à la déclaration des incidents pouvant occasionner des dommages opérationnels ou financiers importants. Les organisations concernées ont désormais 24 heures pour prévenir les autorités compétentes à compter du moment où l’incident a été identifié et devront fournir un rapport dans un délai d’un mois suite à la première notification. De plus, les organisations ont désormais l’obligation de disposer d’une équipe chargée de la gestion des incidents et de définir un Single Point Of Contact (SPOC) auprès des agences nationales de sécurité des systèmes d’information (L’ANSSI en France).
A noter
La Commission pourra adopter des actes délégués qui préciseront le type d’informations à soumettre en cas d’incident ayant une incidence significative sur la fourniture des services des entités essentielles et importantes ainsi que les paramètres à prendre en compte pour déterminer le caractère significatif d’un incident (article 20 de la directive). Elle pourra aussi adopter des actes d’exécution précisant la procédure d’une notification en cas d’incident ainsi que les informations pertinentes à communiquer.
Gestion des risques
NIS2 décrit sept mesures clés que toutes les entités essentielles et importantes doivent mettre en place pour gérer les risques :
- Analyse des risques et politiques de sécurité des systèmes d'information
- Traitement des incidents (prévention, détection et réponse aux incidents)
- Continuité d'activité et gestion de crise
- Sécurité de la chaîne d'approvisionnement
- Sécurité dans la mise en place, le développement et la maintenance des réseaux et des systèmes d'information, y compris la gestion et la divulgation des vulnérabilités
- Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité
- Utilisation de la cryptographie et du cryptage
A noter
La Commission pourra prendre, par la suite des actes délégués afin de compléter ces mesures afin de tenir compte des nouvelles cyber menaces, des évolutions technologiques ou des spécificités sectorielles (article 18 de la directive).
Contrôle et audit
Les entités essentielles seront soumises à des audits réguliers et à des contrôles aléatoires. Les entités importantes peuvent faire l'objet d'une inspection « ex-post » par les autorités compétentes, après la survenue d'un événement indésirable. La directive NIS2 laisse également la possibilité d'imposer des schémas de certification aux entités essentielles et aux entités importantes que Agence européenne pour la cyber sécurité
(ENISA) pourrait élaborer ou adopter (article 21 de la directive).
A noter
Des actes délégués pourront préciser les catégories d’entités essentielles et importantes tenues d’obtenir un certificat dans le cadre de schémas européens de cyber sécurité.
Comment WithSecure peut vous aider dans votre mise en conformité?
Notre offre de solutions techniques et de conseil permet d'accompagner les RSSI dans leur mise en conformité autour de la gouvernance, la détection, la réponse ainsi que la sécurisation et le contrôle des actifs et des périmètres :
- Mettre en place une stratégie de sécurité en hiérarchisant vos investissements
- Vous accompagner dans la mise en place de procédure et processus
- Réduire votre surface d’attaque par l’analyse de vos vulnérabilités sur votre réseau, vos ressources et la chaîne d’approvisionnement
- Procéder à des tests d’intrusion et simuler des attaques afin de tester la robustesse de votre défense
- Détecter les menaces en cours ou passées et répondre