NIS 2 : la cybersécurité, clé de voûte de la stratégie d’entreprise
- Accueil
- ACTUALITÉS & FORMATIONS
- NIS 2 : la cybersécurité, clé de voûte de la stratégie d’entreprise
NIS 2 : la cybersécurité, clé de voûte de la stratégie d’entreprise
« NIS 2 » : de quoi parle-t-on ?
Dans la continuité de la directive NIS 1 (« Network and Information Security) entrée en vigueur en 2016, la directive NIS 2 entend améliorer la résilience de l’économie européenne face aux risques cyber.
Elle impose aux entreprises jugées importantes ou essentielles au bon fonctionnement du marché intérieur des obligations spécifiques en matière de gestion des risques.
Ce texte s’inscrit ainsi pleinement dans la stratégie de l’Union européenne en matière de cybersécurité, aux côtés d’autres initiatives comme le Cyber Resilience Act et le Cybersecurity Act.
Quelles sont les entités « essentielles » et « importantes » visées par NIS 2 ?
Le champ d’application de la directive NIS 2 est circonscrit aux entreprises qui entrent dans les définitions d’entité essentielle ou d’entité importante, lesquelles sont en principe déterminées à partir de la combinaison des critères suivants :
- L’importance du secteur d’activité de l’entreprise concernée pour le fonctionnement de l’économie, une liste précisant à cet égard les secteurs « critiques » ou « hautement critiques »,
- Au sein de chacun de ces secteurs, la nature du rôle occupé par l’entreprise dans ce secteur (ex : producteur, fournisseur, distributeur, prestataire, etc.),
- La taille de l’entreprise concernée, le cas échéant calculée par référence à la taille du groupe d’entreprise auquel elle appartient conformément aux règles européennes en la matière.
Ces trois critères réunis, la qualification de l’entreprise concernée en tant qu’entité « essentielle » ou « importante », s’effectuera selon le tableau de répartition ci-dessous :
| Grande Entreprise | Entreprise Moyenne | Petite & Micro Entreprise |
Secteur Hautement Critique | Essentielle | Importante* | -* |
Secteur Critique | Importante* | Importante* | -* |
À noter que dans le cadre de la transposition de la directive NIS 2, les États membres conservent la faculté de déroger à cette clé de répartition*, et peuvent désigner comme essentielles ou importantes des entreprises qui ne satisfont pas aux critères précités, mais dont l’importance pour l’économie nationale justifie de les soumettre à la réglementation NIS 2 (ex : unique opérateur sur un marché national).
Jusqu’à la transposition en droit interne, rien n’est donc figé.
Quelles obligations en matière de gestion du cyber-risque ?
Afin d’augmenter la résilience des entités importantes et essentielles, la directive NIS 2 identifie trois champs d’obligations qui seront autant d’axes de travail à déployer dans les programmes de conformité des entreprises concernées.
Obligation de sécurité & mesures de gestion des risques
L’objectif de prévention et de résilience face aux cyberattaques se traduit par l’exigence pour les entités critiques et importantes d’adopter des mesures de gestion des risques.
La nature précise de ces mesures n’est pas détaillée par la directive NIS 2, qui vise plus largement l’obligation de mettre œuvre des mesures techniques, opérationnelles et organisationnelles appropriées au niveau de menace auquel fait face l’entreprise.
Ainsi, une attention particulière devra être apportée aux diverses procédures et documentations qui encadrent et structurent l’utilisation du système d’information par les intervenants internes comme externes :
- charte informatique et charte administrateur,
- politique de sécurité des systèmes d’information (PSSI), conditions d’utilisation d’API ou d’interconnexion au SI,
- plans de reprise et continuité de l’activité (PRA/PCA)
- politiques de conservation des données et logs,
- renforcement des obligations contractuelles en matière de sécurité informatique,
- etc.
Les entités soumises à NIS 2 seront en particulier tenues de s’assurer que les partenaires qui interviennent dans leur chaîne d’approvisionnement ou de services présentent des garanties suffisantes, la définition des standards de sécurité attendus étant dès lors susceptible de prendre la forme d’obligations contractuelles spécifiques.
Les effets de la directive NIS 2 sont donc amenés à être ressentis au-delà du strict périmètre des entités essentielles et importantes, pour s’étendre à l’ensemble de leur chaîne de valeur et écosystème. Les entreprises partenaires de ces entités importantes ou essentielles ont donc tout intérêt à atteindre un niveau de maturité cyber élevé, afin d’anticiper et de répondre aux attentes spécifiques de ces dernières.
Obligation de transparence & notification des incidents de sécurité
La directive NIS 2 revoit également le cadre réglementaire applicable en matière de notification des incidents de sécurité, en imposant que tout incident de sécurité important soit notifié, sans retard injustifié, aux autorités compétentes et aux centres de réponses aux incidents de sécurité informatique (CSIRT), mais aussi aux personnes qui sont destinataires des services fournis par l’entreprise concernée.
La notification graduée (alerte précoce dans les 24h, notification dans les 72h, rapport final dans le mois) visée par la Directive NIS 2 rend ainsi nécessaire d’adopter des procédures de réponse aux incidents efficaces et éprouvées.
Accountability & responsabilité personnelles des dirigeants
À l’instar d’autres textes européens, la directive NIS 2 repose sur un mécanisme d’accountability, qui impose aux entreprises de démontrer leur conformité au cadre réglementaire, et qui implique notamment de procéder à une cartographie des risques, d’arrêter un plan d’action et de mettre en œuvre des mesures de suivi.
Toutefois, et afin de s’assurer que les enjeux en matière de cybersécurité deviennent un incontournable de la stratégie d’entreprise, le texte va plus loin et fait peser sur les organes de direction des entités importantes et essentielles une responsabilité particulière dans le pilotage du programme de conformité.
Outre une obligation de formation aux enjeux en matière de cybersécurité leur incombant, la responsabilité personnelle des dirigeants pourra ainsi être engagée dans l’hypothèse où ces derniers manqueraient de s’assurer que les enjeux cyber sont suffisamment pris en compte dans la stratégie d’entreprise.
Quelles sanctions en cas de non-conformité ?
En complément de l’élargissement du périmètre des entreprises concernées et des obligations leur incombant, la Directive NIS 2 renforce la capacité des autorités nationales à sanctionner les non-conformités, et entend améliorer la coopération entre États membres sur ce point.
Dans ce cadre, les modalités de contrôle et de sanctions varient selon la nature de l’entité concernée :
Type d’entité | Modalités du contrôle | Sanctions |
Essentielle | À tout moment | Amende de 7 millions € ou 1,4% CA annuel mondial |
Importante | Uniquement à la suite d’un incident de sécurité | Amende de 10 millions € ou 2% CA annuel mondial |
Des montants significatifs pour inciter les entreprises à mettre le sujet en haut des priorités.
Quel calendrier pour l’application de la réglementation NIS 2 ?
Le délai de transposition de la directive NIS 2 prend fin le 18 octobre 2024, date à laquelle les États Membres dont la France seront tenus d’en appliquer les dispositions. Aucun texte législatif de transposition n’a toutefois été divulgué à date, et la récente disruption du calendrier parlementaire risque de retarder ce processus.
Dans l’optique de préparer l’entrée en vigueur de cette nouvelle réglementation, l’ANSSI a commencé à émettre des orientations plus précises sur les mesures de gestion des risques qui seront attendues des entités importantes ou essentielles agissant en France.
Anticipez dès aujourd’hui pour garantir la résilience et la conformité de votre entreprise face aux cybermenaces avec NIS 2. Contactez-nous pour un accompagnement personnalisé.