Niji utilise des cookies techniques pour le bon fonctionnement du site et des cookies de mesure d’audience pour analyser le trafic. Des cookies sont également déposés par des tiers pour vous permettre de partager des contenus sur les réseaux sociaux. Si les cookies techniques ne nécessitent pas votre consentement, vous pouvez choisir d’accepter, de personnaliser ou de refuser les autres cookies. Votre choix est conservé pendant un an, il est modifiable à tout moment via le lien « Gérer vos cookies ». L’absence de choix sera considérée comme un refus.

Pour en savoir plus sur ces cookies, consultez notre politique de gestion des données via le lien « Vos données ».

13 juillet 2022

Cybersécurité : la future directive NIS2 passée au crible par les experts Imineti By Niji

Cybersécurité : la future directive NIS2 passée au crible par les experts Imineti By Niji

Ce contenu propose une synthèse cadrée et rédigée par Guillaume Mouty, Consultant et Pierre Corbel, Manager chez Imineti by Niji.

NIS 2 : un texte ambitieux étendant des obligations minimums de cybersécurité à un nombre croissant d’organisations et aux Etats de l’Union européenne.

La Directive NIS fut une première tentative d’adopter un cadre permettant de d’améliorer le niveau de sécurité des infrastructures critiques des États membres de l’Union Européenne. Ce premier texte a permis d’imposer une gouvernance sur le sujet de la cybersécurité à chaque Etat membre en les obligeant à établir une feuille de route stratégique cyber et en se dotant obligatoirement de CSIRT et d’autorités spécialisées dans la cybersécurité (équivalent de l’ANSSI en France). La première directive NIS a aussi proposé un cadre de coopération interétatique et établit un niveau minimum de sécurité chez les « opérateurs de services essentiels » et les « fournisseurs de services numériques ».

Comme prévu dans la directive, un processus de révision a débuté en 2020 afin d’évaluer ses résultats et de permettre une nouvelle proposition législative.

 

Les objectifs de la mise à jour :

Le réexamen de la Directive NIS poursuit plusieurs objectifs :

• Améliorer la résilience des entités publiques et privées implantées sur le territoire de l’UE ;

• Assurer une uniformisation des législations et des pratiques et permettre une collaboration plus aisée entre les états membres ; 

• Simplifier les différentes règlementations pour les entreprises basées dans plusieurs états membres de l’UE afin d’en faciliter l’implantation ;

• Améliorer la coopération et la réactivité des états membres.

 

La directive NIS 2 vient d’être approuvée par le Comité des représentants permanents de l’UE le 22 juin, à la suite de l’accord trouvé en trilogue (Parlement, Conseil des ministres et Commission).

Le Parlement et la Commission devraient maintenant adopter ce texte dans les prochains mois.

Les Etats membres auront alors l’obligation de transposer en droit national la nouvelle directive dans les 2 ans.

Le texte actuellement disponible se trouve ici.

Les annexes sont disponibles ici.

 

Les principales nouveautés :

A) Une nouvelle catégorisation des entités

NIS 2 supprime la distinction entre opérateur de service essentiel et fournisseur de services numériques.

Elle divise désormais les entités en « entités essentielles » et « entités importantes » en fonction de leur niveau de criticité. La différentiation se fait en fonction de la criticité du secteur, c’est-à-dire de la gravité des conséquences en cas d’interruption d’un de ces secteurs d’activité.

Si les obligations de sécurité restent les mêmes entre les deux types d’entités et doivent respecter le principe de proportionnalité, les contrôles effectués par les autorités nationales sont plus légers pour les entités importantes.1

Un tableau comparatif des périmètres concernées par NIS et NIS2 est disponible ici.

 

B) Un périmètre étendu

La nouvelle directive NIS2 concerne les entités “importantes” et “essentielles” publiques ou privées issues des secteurs d’activité des annexes 1 et 2 de la directive. Sont exclues les microentreprises et les petites entreprises sauf sur certains périmètres et dans certains cas2. Il est important de noter que la directive laisse une certaine liberté aux états qui ont la charge d’établir la liste de leurs entités concernées.

Le périmètre d’application a été étendu, afin de prendre en compte : 

L’entièreté de la chaîne de valeur d’un secteur, par exemple :  

- Extension du secteur de la santé aux laboratoires de références, aux activités de recherche, aux activités de fabrication de produits pharmaceutiques et des dispositifs médicaux.

- Prise en compte du secteur des eaux usées en plus du secteur de l’eau potable

L’adaptation à de nouveaux modes de production, par exemple : 

- Extension du secteur de l’énergie aux réseaux de chaleur ou au sous-secteur de l’hydrogène. 

La prise en compte de nouveaux secteurs d’activités :

- Administration publique

- Espace

- Services postaux 

- Gestion des déchets

- …

 

En effet, il est apparu à la faveur de la crise Covid que le choix des entités ciblées par la directive NIS ne permettait pas de couvrir l’intégralité des secteurs de service ou de production les plus critiques de l’UE. Par exemple, étaient exclus de la directive NIS les sites de production de produits pharmaceutiques alors que les établissements hospitaliers étaient concernés.

Un tableau comparatif des périmètres concernés par NIS et NIS2 est disponible ici.

 

C) Une extension au secteur public des États membres

NIS 2 prévoit d’étendre son périmètre aux administrations publiques d’Etat. L’inclusion des administrations régionales typées NUTS 1 (entre 3 millions et 7 millions d’habitants) et NUTS 2 (entre 800000 et 3 millions d’habitants) est laissé à l’appréciation des États. Pour la France, cela concernerait les Régions.3

Reste à chaque Etat membre de choisir ce qu’il souhaite définir comme “Entités de l’administration publique des pouvoirs publics centraux”.  La France pourrait peut-être faire entrer dans ce cadre les services déconcentrés de l’Etat comme les rectorats ou les établissements publics comme l’ARS.

 

D) Des mesures «a minima » imposées aux entités concernées

Là où la directive NIS laissait une large autonomie aux États4 pour mettre en œuvre les obligations minimums de sécurité des entités, NIS2 impose aux entités concernées une mise en œuvre proportionnée de mesures techniques et opérationnelles pour gérer les risques cyber. Il oblige à minima à mettre en œuvre :

- Une analyse de risque et les politiques de sécurité des SI

- Une politique de gestion des incidents

- Une politique de continuité des activités et la gestion de crise

- La sécurité de la Supply Chain

- La sécurité des réseaux et des SI

- Des Tests et audits d’évaluation de gestion des risques

- L’utilisation du Chiffrement

 

NIS2 met d’ailleurs l’accent sur la sécurité de la Supply Chain.

Ces mesures étaient déjà largement prévues en France pour les opérateurs de services essentiels (OSE). Néanmoins, le périmètre d’application devant s’étendre, plus d’organisations vont devoir les mettre en œuvre en France.

Enfin, elle reprend et encadre l’obligation de transmission d’informations en cas d’incident de sécurité.

 

E) Un renforcement des réseaux européens et de la coopération inter étatique

La directive NIS 2 reprend et renforce les outils de coopération inter étatiques déjà présents dans la directive NIS. Qui plus est, elle officialise la constitution du groupe CyCLONe5.

- Déjà prévu par la directive NIS, le groupe de coopération est chargé de soutenir et de faciliter la coopération stratégique et l’échange d’informations entre les États membres.

- Lui aussi déjà prévu, le groupe des CSIRT, pour sa part, est censé promouvoir une coopération opérationnelle rapide et efficace entre les CSIRT nationaux.

- Le Groupe CyCLONe (cyber crisis liaison organisation network) est une nouveauté de la directive. Son rôle sera de partager de l’information, renforcer le niveau de préparation aux crises et incidents cyber, de coordonner la gestion des crises et les prises de décisions politiques.

 

F) L’Instauration de sanctions administratives

La directive instaure un montant maximum pour les sanctions administratives6 s’élevant à au moins 10 000 000 EUR ou à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle ou importante appartient, le montant le plus élevé étant retenu.

On peut noter que la commission reprend le même principe de sanctions administratives qui avait été retenu pour le RGPD.

La directive NIS 2 apporte d’autres améliorations ou clarifie des dispositifs existants qui permettront d’atteindre les objectifs de ce texte. Elle fait aussi de L’Agence européenne pour la cybersécurité (l’ENISA) un soutien des États membre dans la définition et l’évaluation de leur politique. 

 

Conclusion

Pour conclure, NIS2 structure profondément la coopération européenne en matière de politique de cybersécurité. Elle impose des obligations de moyen aux États et organise la coopération et l’uniformisation des législations nationales. Elle propose un cadre de sécurité minimum en corrigeant les points faibles de NIS et en s’adaptant à l’évolution des menaces et à la numérisation croissante des services privés et publics. 

Cette directive met en exergue la volonté de la commission d’imposer un minimum d’uniformité sur le territoire de l’UE. Reste aux Etats membres à transposer et à se donner les moyens d’atteindre les objectifs de la directive. Il demeure en effet une forte marge d’interprétation et d’application de ce texte. Comme pour la directive NIS suivra sans doute une boite à outil NIS2 pour aider les Etats les moins matures à mettre en place des exigences de sécurité nationales ambitieuses. La volonté de la Commission est de sécuriser l’espace européen et d’en assurer la souveraineté.


*Art 29 et 30, Directive NIS 2

*Art 2, Directive NIS 2

*https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32003R1059&from=FR

*4 Art 14 Directive NIS

*5 Art 11 à 16 Directive NIS2

*Art 31 Directive NIS2

Contact Relations Presse
Frédéric PAYEN
Directeur Marketing et Communication
presse@niji.fr