Pour faire face à la recrudescence de cyberattaques, l’Union Européenne a développé un bouclier législatif dans le but d’aider les entreprises à augmenter leur maturité en matière de cybersécurité.
Si la directive Network and Information Security (NIS 1) initiée par le Parlement Européens et le Conseil de l’Union Européenne visait à renforcer la cybersécurité des entreprises à l’échelle du continent, l’augmentation et la sophistication des cyberattaques visant la chaîne de sous-traitance (appelé supply chain attack) obligent une nouvelle fois à réagir.
Augmentée, la directive NIS 2 se veut extrêmement ambitieuse, étendant ses objectifs et son champ d’application pour homogénéiser le niveau de protection des entreprises sur le sol Européen.
Cette expansion suscite de nombreuses questions quant à son impact sur les sociétés et leurs sous-traitants qui sont désormais concernés. Quelles sont les obligations liées à NIS-2 ? Quels sont les secteurs concernés ? Comment NIS 2 va impacter les sous-traitants ? Explication de nos experts .
Qu’est-ce que le NIS 2 ?
Annoncé en décembre 2020, ce nouveau texte de l’Union européenne s’inscrit dans la révision de la directive NIS de juillet 2016.
Initialement, le premier texte exigeait que les États membres identifient les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) afin qu’ils se soumettent à de nouvelles obligations de cybersécurité, notamment en ce qui concerne le signalement des incidents auprès des autorités compétentes.
Si elle fut le fondement d’une nouvelle dynamique, la mise en œuvre de cette directive a manqué d’homogénéité au sein des États membres, et entraîné des incohérences. Certaines entreprises étaient considérées comme des « services essentiels » dans certains pays, mais pas dans d’autres.
Par exemple, la France avec une population de 67 millions d’habitants n’identifiait que 127 OSE en 2019 tandis que la Finlande avec une population de 5,5 millions d’habitants en avait identifié 10 897.
À cela s’ajoutaient un faible niveau de maturité cyber, et l’absence de réaction commune en cas de crise.
C’est donc pour remédier à ces problèmes que la directive NIS 2 a vu le jour. Publié initialement le 27 décembre 2022 au Journal Officiel de l’Union européenne, NIS 2 prévoit un délai de 21 mois pour que chaque État membre transpose les différentes exigences réglementaires en droit national.
En ce qui concerne la France, le texte entrera en vigueur au plus tard en avril 2024. À noter que la date d’entrée en vigueur ne correspond pas nécessairement à la date d’application de l’ensemble des exigences réglementaires, certaines d’entre elles étant d’application immédiate tandis que d’autres seront soumises à des délais de mise en conformité.
La directive NIS 2 se veut donc beaucoup plus ambitieuse avec un cadre réglementaire qui va toucher beaucoup plus d’entreprises que l’ancienne application.
Quels sont les secteurs concernés ?
Au-delà de l’intégration des sous-traitants, cette nouvelle version élargit le nombre de secteurs en faisant une distinction entre secteur critique et hautement critique dont la liste est détaillée dans le Journal officiel de l’Union européenne.
Il y a 11 secteurs hautement critiques qui englobent les secteurs :
- Administration publique
- Énergie (électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène)
- Santé
- Transports (transports aériens, ferroviaires, par eau, routiers)
- Infrastructures des marchés financiers
- Secteur bancaire
- Eau potable
- Eaux usées
- Infrastructure numérique
- Gestion des services TIC
- Espace
Les secteurs critiques sont aux nombres de 9 et comprennent :
- Recherche
- Fabrication
- Gestion des déchets
- Fournisseurs numériques
- Production et distribution de produits chimiques
- Production
- Services postaux et d’expédition
- Production, transformation et distribution des denrées alimentaires
- Fabrication (dispositifs médicaux, produits informatiques, électroniques et optiques, de machines et équipements)
Une autre évolution majeure du texte concerne l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’acteur; les entités essentielles et les entités importantes.
Une organisation est considérée comme essentielle à partir du moment où une perturbation de l’activité de cette dernière pourrait engendrer un risque systémique de grande ampleur (coupure des télécommunications, coupure d’énergie, défaillance dans la production de médicaments, dans le traitement des eaux usées etc …).
En d’autres termes, les entités faisant partie des secteurs hautement critiques seront considérées comme essentielles avec la nouvelle réglementation. À noter que cette distinction pourra évoluer suivant les législations des pays qui pourront désigner certains opérateurs comme essentiels ou importants selon leurs critères retenus.
Indépendamment des ajustements de cette directive au niveau national, toutes les entreprises disposant d’au moins 50 salariés ou qui réalisent un chiffre d’affaires annuel (ou le total du bilan annuel) excédant 10 millions d’euros seront concernées par NIS 2.
Avec une définition beaucoup plus large ce sont plusieurs milliers d’entreprises de toutes tailles, des PME jusqu’au grand groupe qui seront amenées à se conformer aux règles de cette nouvelle directive.
Pourquoi les sous-traitants sont maintenant inclus dans cette législation ?
La directive NIS 2 introduit une nouvelle règle de sécurité concernant les entités essentielles et importantes. Elles doivent maintenant établir des contrats de cybersécurité avec leurs fournisseurs et partenaires.
Prenons un exemple concret : si votre PME est fournisseur d’un service pour une entreprise chargé du traitement des déchets, qui elle, est soumise à NIS-2, et que vous avez un accès direct au système d’information de cette entreprise, vous serez également soumis à ces mêmes exigences dans le but que vous ne deveniez pas pour les cybercriminels, une porte d’entrée sur le système d’information de votre client.
Quels impacts pour les sous-traitants ?
Ainsi les sous-traitants et prestataires de services qui ont un accès aux infrastructures (comme les ESN, qui sont souvent visés par les cyberattaques) doivent désormais respecter toutes les règles de cette directive, ce qui n’était pas le cas avec la directive NIS 1. Cette mesure vise à garantir que les failles de sécurité dans les infrastructures des prestataires ne compromettent pas la sécurité de leurs nombreux clients.
Obligation de mesure de cybersécurité
La directive NIS 2 énumère plusieurs mesures qui doivent être prises en compte par toutes les entités concernées.
Cela implique la mise en place de politiques axées sur l’analyse des risques cyber et la mise en place d’une politique de sécurité des systèmes d’information (PSSI).
Une gestion efficace des incidents sera aussi demandée, complétée par la mise en place d’un plan de continuité de l’activité (PCA) et d’un plan de reprise (PRA).
Au niveau organisationnel, les sous-traitants devront aussi s’assurer du contrôle d’accès, et de la gestion des actifs informatiques critiques (active directory, ldap …).
L’authentification à plusieurs facteurs est recommandée, tout comme l’usage d’outils de communication sécurisés en cas de crise.
Notifier les incidents
Autre changement important, les entreprises sont soumises à une obligation de déclaration des incidents de cybersécurité auprès des CSIRT (Computer Security Incident Response Team) régionaux qui passe à 24 heures après découverte de l’incident.
Suite à cela, l’entreprise devra soumettre une notification détaillée au maximum 72 heures après la connaissance de l’incident, puis soumettre un rapport final au CSIRT dans le mois suivant l’incident.
Quelle sanction en cas de manquement aux obligations ?
En cas de non-conformité ou de manquement aux exigences, l’ANSSI peut suspendre temporairement une certification ou une autorisation relative à l’entité.
Un mécanisme punitif est également prévu en fonction de la gravité des infractions. Les sanctions financières en cas de faute avérée peuvent alors atteindre jusqu’à 2 % du chiffre d’affaires pour les entités essentielles et 1,4 % pour les entités importantes.
À retenir
L’application de la directive NIS-2 va obliger les sous-traitants (PME et ETI) à se conformer aux exigences de cybersécurité. Ces obligations peuvent être complexes à mettre en œuvre et à maintenir opérationnellement sur le long terme.
Si vous souhaitez être accompagné dans cette démarche, les équipes Infiny link se tiennent à votre disposition pour établir un premier audit de conformité.