NIS2 : quelles nouvelles obligations pour les entreprises ?

L’Union-Européenne a validé en novembre dernier la directive NIS2, qui renforce ses règles en matière de cybersécurité pour les entreprises de ses États membres. OneWave fait le point pour vous sur ces nouvelles obligations, les acteurs concernés, et les conséquences en cas de non-respect des règles établies par la NIS2.

Les députés européens ont validé en novembre 2022 la directive NIS2, visant à renforcer et harmoniser la cybersécurité pour les entreprises membres de l’UE. Elle a plus spécifiquement pour but de protéger les données économiques contre ce qui peut leur porter atteinte.

Cette directive fait suite à la NIS1 de 2016 (première loi sur la cybersécurité à l’échelle européenne¹), élargissant son périmètre et prévoyant de nouvelles obligations pour les entreprises. Il appartiendra à chaque État membre d’appliquer cette nouvelle directive au sein de son marché intérieur.

Quels sont les secteurs d’activité concernés par la directive NIS2 ?

Avec la NIS1, seuls les banques, les institutions financières, les acteurs de l’énergie, des transports, de la santé et des réseaux d’eau étaient concernés par les règles à adopter.

NIS2 élargit son périmètre et y ajoute :

• Le secteur spatial
• Les administrations publiques
• Les fournisseurs de services numériques
• L’alimentation
• Les réseaux d’eaux usées et de gestion de déchets
• Les services postaux
• Les fabricants de produits chimiques et pharmaceutiques

L’élargissement des secteurs concernés fait suite aux nombreuses cyberattaques à l’encontre du secteur privé et contre des acteurs publics que l’UE a connu depuis la mise en place de NIS1. Le contexte géopolitique, marqué par les guerres étatiques, a également joué dans l’adoption de ces nouvelles règles.

Le but de la NIS2 est d’améliorer la résilience et les capacités de réaction aux incidents de cybersécurité dans l’UE, ainsi que l’aptitude des États membres à communiquer entre eux dans ce contexte.

« Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS2 élargit en effet ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection. Cette extension du périmètre prévue par NIS2 est sans précédent en matière de réglementation cyber. »²

Yves Verhoeven, Sous-Directeur Stratégie de l’ANSSI.

Les autres entreprises et collectivités soumises à la NIS2

La NIS2 fait quelques exceptions à son application, notamment pour les entreprises de moins de 50 salariés, qui ne sont pas concernées par ces nouvelles dispositions… sauf si les services sont fournis par :

• Des réseaux de communications électroniques publics ou des services de communications électroniques accessibles au public,

• Des prestataires de services ou des prestataires de confiance,

• Des registres de noms de domaines TLD ou des fournisseurs de DNS.

Concernant l’administration publique, sont concernées les structures qui répondent aux critères suivants :

• L’entité est l’unique prestataire d’un service dans un État membre de l’UE ;

• Une perturbation de son service pourrait avoir un impact sur la sûreté publique, la sécurité publique ou la santé publique ;

• Une perturbation de son service pourrait induire des risques systémiques ;

• L’entité est considérée comme critique via son importance au niveau régional ou national pour le secteur ou le type de service particulier, ou pour d’autres secteurs interdépendants de l’État.

Entités essentielles et Entités importantes

En plus d’élargir son champ d’application, NIS2 prévoit également une nouvelle nomenclature. Celle-ci permet de réguler les obligations des entreprises selon leur niveau de criticité en cas d’incidents de cybersécurité et l’impact que leur dysfonctionnement aurait.

Les Entités Essentielles

Les EE englobent les opérateurs publics et privés dans les secteurs de :

• l’énergie,
• transport,
• banque,
• infrastructures des marchés financiers,
• santé,
• eau potable,
• eaux usées,
• infrastructures numériques (fournisseurs de services de cloud computing, de data centers, de DNS…) des administrations publiques et de l’espace. ³

Les Entités Importantes

Les EI concernent quant à elles les :

• opérateurs publics et privés dans les secteurs des services postaux et des services de courrier,
• la gestion des déchets,
• la fabrication, production et distribution de produits chimiques,
• la production, transformation et distribution de denrées alimentaires,
• la fabrication de divers équipements.

Sont également considérés comme entités importantes, les fournisseurs de services numériques suivants :

• les marketplaces en ligne,
• les moteurs de recherche,
• les plateformes de réseaux sociaux.

Là aussi et pour chacune de ces deux catégories, chaque ministre des secteurs en question devra établir une liste des entités soumises à NIS2 qu’il considère comme essentielles ou importantes. Cette liste sera ensuite soumise à la Première ministre, à qui appartiendra la décision finale. En cas de doute, les ministres des secteurs concernés auront la possibilité de se tourner vers l’ANSSI.

Quelles sont les mesures à prendre pour se conformer à la directive NIS2 pour les entreprises et les collectivités concernées ?

Pour les entités essentielles et importantes, de nouvelles mesures techniques, organisationnelles et opérationnelles devront être mises en place ⁴ :

• L’analyse des risques encourus et la prise en compte des cybermenaces. Chaque entité devra donc auditer sa structure, afin d’en évaluer le risque cyber.

• Des mesures pour garantir la continuité de leurs activités en cas d’incident. Cela passe par exemple par une bonne gestion des sauvegardes et des mesures de gestion de crise.

• La sécurisation des réseaux, y compris le traitement et la divulgation de vulnérabilités.

• La formation des collaborateurs à une bonne hygiène cyber, incluant des bonnes pratiques à systématiser en entreprise.

• L’utilisation de techniques de cryptographie, pour chiffrer les informations et ainsi mieux les protéger.

• Un contrôle des accès exemplaire, afin d’éviter les intrusions et bénéficier d’une sécurité robuste.

• La mise en place de solutions d’authentification à plusieurs facteurs. L’authentification multifacteur (MFA), et l’authentification forte devront être privilégiées pour plus de sécurité.

• L’obligation pour les entreprises d’émettre une première alerte auprès de l’ANSSI sous 24h en cas d’incident de sécurité. Puis, elles devront détailler ce signalement avec l’évaluation de l’impact dans les 72h suivant l’événement.

Sanctions financières et responsabilité en cas de non-respect

En cas de non-respect de ces directives, la NIS2 prévoit d’importantes sanctions financières :

• Pour les entités essentielles : une amende de 10 millions d’euros, ou 2% du CA mondial total. Les sanctions seront prononcées par l’autorité compétente à échelle nationale, soit l’ANSSI pour la France.

• Pour les entités importantes : une amende 7 millions d’euros, ou 1,4% du CA mondial total.

Si ces dispositions de cybersécurité ne sont pas respectées par l’entreprise, les États membres pourront prendre des sanctions d’ordre pénal. La responsabilité des dirigeants pourra donc être directement engagée.

La responsabilité pour le top management

Si ces dispositions de cybersécurité ne sont pas respectées par l’entreprise, les États membres pourront prendre des sanctions d’ordre pénal envers l’entreprise, impliquant directement le top management. Les autorités pourront ainsi imposer à une entité de rendre publics les aspects de non-conformité identifiés en interne. Elles pourront également demander à l’entité d’organiser une déclaration publique pour décrire la violation, et en citer ses responsables.

Pour les entreprises essentielles, les sanctions à l’encontre du top management peuvent aller encore plus loin, en suspendant par exemple les certifications et autorisations nécessaires à l’activité de la structure. Pour les personnes physiques, cela peut aussi être une interdiction temporaire d’exercer, et la responsabilité des dirigeants pourra donc être directement engagée.

Sensibiliser les équipes et la direction

Dans les différentes entités publiques et privées concernées par la directive, les RSSI devront se charger de transmettre aux collaborateurs et à la direction les obligations prévues par NIS2.

Néanmoins, pour une adhésion optimale et une application rigoureuse de ces nouvelles règles par l’ensemble de l’entreprise, nous vous conseillons de sensibiliser votre top management en priorité.

Ces directives émanant directement d’autorités comme l’État et l’UE, elles présentent en effet un caractère obligatoire, auquel aucune entité concernée ne peut déroger. Le risque des sanctions et amendes citées plus haut pourra permettre à un service DSI de demander légitimement un investissement de la direction sur la cybersécurité, mais aussi de convaincre un COMEX de renforcer la gestion des accès, par exemple.

Votre top management sera d’ailleurs directement impliqué dans la NIS2. Au delà des sanctions prévues en cas de manquement, il aura pour rôle d’approuver les mesures de gestion du risque de cybersécurité, superviser leur mise en œuvre, et se former régulièrement sur les sujets liés. Le but est que chaque direction soit capable d’évaluer et d’appréhender le risque cyber, ainsi que de prendre des mesures adaptées.

De la même manière que pour la directive RGPD (qui protège les données des citoyens), il n’y aura pas de label NIS2 ou de feuille de route à suivre pour les entreprises, même si l’application de normes existantes comme ISO 27000 est recommandée. Les entités devront donc mettre en œuvre par elles-mêmes les différentes mesures nécessaires afin que la protection de leur entreprise soit conforme aux directives européennes.