Le 17 octobre 2024, un grand nombre d’organisations devra se soumettre à la réglementation issue de la deuxième version de la Directive européenne NIS (Network and Information Systems Security). En plus d’élargir d’ouvrir son périmètre d’application, NIS 2 renforce les obligations de cybersécurité tenant compte notamment des problématiques nouvelles liées à la supply chain.
Silence on transpose ! Depuis plusieurs mois, ça planche dur du côté de l’Agence national de sécurité des systèmes d’information (Anssi) entourée du Cesin, du Cigref, du Clusif et de tout volontaire désireux d’apporter son aide quant aux différents ajustements à faire pour parvenir à transposer la deuxième version de la directive NIS 2 (Network and Information Security). « La Directive européenne, publiée le 27 décembre 2022, devra être transposée par les États membres, en droit interne, au plus tard le 17 octobre 2024, rappelle Garance Mathias, avocate au Barreau de Paris. Son objectif ? Harmoniser et renforcer la cybersécurité dans l’UE. Toutes les organisations concernées par cette directive doivent donc se préparer en identifiant les nouvelles obligations qui leur seront applicables et définir le plan d’actions adéquat. »
Les prestataires informatique et l’administration publique parmi les nouveaux concernés
NIS 2 s’étend pour englober un éventail d’au moins 18 secteurs d’activité parmi lesquels, on compte désormais l’administration publique ainsi qu’une grande part des acteurs impliqués dans une chaîne d’approvisionnement (supply chain). La liste des secteurs hautement critiques est énoncée dans l’Annexe 1 de la Directive. Elle inclut des domaines tels que l’énergie, les transports, les institutions bancaires, les infrastructures des marchés financiers, la santé, la gestion de l’eau potable et des eaux usées, les infrastructures numériques, la prestation de services numériques et l’administration publique. Les secteurs moins critiques, mais toutefois stratégiques, figurent dans l’Annexe 2 et comprennent les services postaux et d’expédition, la gestion des déchets, la fabrication (industrie manufacturière), ainsi que la production et la distribution de produits chimiques et d’aliments.
« Des sanctions pouvant aller jusqu’à 2 % du chiffre d’affaires mondial pour les Entités Essentielles et 1,4 % du chiffre d’affaires mondial pour les Entités Importantes. »
Une attribution selon le type de structure et sa taille
Chaque secteur et sous-secteur établira des types d’organisation de manière distincte et variée. Dans certaines circonstances, ces délimitations seront précises et reposent principalement sur les règles spécifiques déjà en vigueur pour ces domaines, tels que l’énergie, les télécommunications ou la santé. Dans d’autres cas, il y aura une corrélation avec la classification européenne des activités (NACE), qui sera adaptée au niveau national sous le nom de NAF. En outre, des définitions spécifiques seront formulées indépendamment des règlementations existantes et de la classification NACE. Un autre critère crucial de sélection sera la taille des structures. D’une manière générale, les organisations prises en considération seront de taille moyenne, intermédiaire ou grande, conformément aux directives européennes. Cela englobera toutes les entreprises comptant un effectif de 50 employés ou plus, ou réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros. Cependant, quelques exceptions pourront être prises en compte grâce à divers mécanismes offerts aux États membres, permettant une interprétation souple.
« Les organisations nouvellement concernées par NIS2 devront se signaler à l’Anssi. »
Une répartition sur deux typologies d’organisations : Essentielles et Importantes
Le système intègre désormais deux catégories d’organisations, à savoir les Entités Essentielles (EE) et les Entités Importantes (EI). Typiquement, en ce qui concerne les mesures de sécurité, il sera possible d’établir différents niveaux d’exigences entre une EE et une EI. Cette approche permettra spécifiquement de prendre en compte les ressources et les enjeux d’une grande entreprise et de les confronter aux moyens et aux enjeux associés à une petite ou moyenne entreprise. Les EE correspondent aux entreprises figurant dans l’Annexe 1 en tant que secteur critique. Elles sont de taille intermédiaire ou grande, caractérisées par un effectif d’au moins 250 employés, un chiffre d’affaires supérieur à 50 millions d’euros ou un bilan annuel excédant 43 millions d’euros. Ces organisations relèvent des secteurs hautement critiques. Les EI en revanche, sont considérées comme non essentielles mais tout de même stratégiques. Sur le plan de la régulation, les EE seront soumises à une régulation ex-ante, avec des contrôles à la discrétion des autorités. En revanche, pour les EI, la régulation sera ex-post, impliquant des vérifications en cas de constat de non-conformité. En matière de sanctions, il y aura une distinction entre les EE et les EI. Les sanctions pour les premières pourront atteindre jusqu’à 2 % du chiffre d’affaires mondial, tandis que pour les EI, elles pourront atteindre 1,4 % du chiffre d’affaires mondial.
« Une déclaration d’incident désormais en trois étapes : une notification initiale, un rapport d’avancement et un rapport final. »
Notifier, communiquer et déclarer
Les organisations concernées auront plusieurs responsabilités à respecter conformément à la directive NIS 2 : En premier lieu, elles seront tenues de se lancer dans une procédure de notification auprès l’Anssi pour se signaler d’elles-mêmes. Ensuite, elles devront fournir un certain nombre d’informations de contacts : nom, adresses, coordonnées, secteur d’activité, liste des États membres de l’Union européenne dans lesquels ils fournissent des services. Une étape capitale pour garantir la clarté et la coordination en cas d’incident de cybersécurité. Le maintien à jour de ces informations au fil du temps garantira une communication efficace et rapide en cas de nécessité. Une troisième responsabilité, déjà présente dans NIS 1, consiste en la déclaration des incidents. Cependant, NIS 2 apporte une innovation majeure dans ce processus. La déclaration des incidents significatifs sera désormais réalisée en plusieurs phases : une notification initiale, un rapport d’avancement et un rapport final.
« Une responsabilité en ce qui concerne la sécurité de la chaîne d’approvisionnement contractuelle pour les structures d’une importance considérable et stratégique. »
Des obligations de cybersécurité à 360°
Les organisations sont tenues de mener une évaluation approfondie de leurs vulnérabilités en matière de cybersécurité et de mettre en place des mesures techniques, opérationnelles et organisationnelles adaptées à leur niveau d’exposition aux risques, à leurs dimensions, à la probabilité et à la gravité potentielle des incidents, ainsi qu’aux répercussions que ces incidents pourraient engendrer sur la société et l’économie (lire encadré). Ces mesures de sécurité sont en cohérence avec les principes énoncés dans les normes de la famille ISO/27000 ainsi que dans la norme américaine NIST (National Institute of Standards and Technology). En suivant ces orientations, les équipes peuvent mieux se préparer à faire face aux menaces et aux incidents liés à la cybersécurité, tout en assurant une protection optimale de leurs systèmes et de leurs données. La directive NIS 2 introduit également une responsabilité en ce qui concerne la sécurité de la chaîne d’approvisionnement contractuelle pour les structures d’une importance considérable et stratégique. Les organisations relevant de NIS 2 seront tenues d’intégrer des clauses de sécurité liées à la cybersécurité dans leurs contrats avec les fournisseurs et les prestataires directs. En pratique, cela implique que celles qui ne sont pas directement soumises à NIS 2 devront adopter une partie des mesures de sécurité fondamentales de NIS 2 afin de maintenir leur collaboration avec leurs partenaires qui, quant à eux, sont régulés par la Directive.