En juillet 2016, la directive Network and Information Security, communément appelée NIS, a été adoptée par le Parlement européen, puis transposée au niveau national en 2018. Inédite à l’époque, il s’agissait de l’une des premières directives européennes s’intéressant aux problématiques de cybersécurité. En janvier 2023, c’est la petite sœur de cette directive, NIS 2, qui a été promulguée. Quelles en sont les nouveautés ?
La directive NIS avait pour objectif principal d’harmoniser et de renforcer la cybersécurité à l’échelle de l’Union européenne (UE). Pour cela, l’idée était notamment d’augmenter le niveau de cybersécurité des acteurs majeurs de certains secteurs d’activités essentiels pour les États membres. Concrètement, il s’agissait de la mise en place de mesures de sécurité dites « nécessaires » pour protéger les systèmes les plus critiques face aux risques cybernétiques. Le but était ainsi de s’inscrire dans une dynamique européenne de prise en compte et de gestion des risques, tout en valorisant le poids des acteurs étatiques tels que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en France par exemple.
Néanmoins, quelques années après la transposition de la directive au niveau national, les résultats semblent insuffisants, et ce particulièrement en ce qui concerne l’harmonisation entre les États membres. En effet, on recense toujours d’importants écarts dans le niveau de protection cyber entre les différents membres de l’Union européenne, et, plus encore, une absence de réelle prise de conscience collective et de coordination dans l’adoption des mécanismes de réponses aux incidents cyber. En découle une insuffisance en matière de résilience pour les entreprises, le tout résonnant comme une désillusion pour la portée de la directive NIS.
Cette désillusion ne doit cependant pas être perçue comme une fin irréductible et c’est dans ce sens qu’a entendu oeuvrer l’Union européenne avec l’élaboration de NIS 2, une version prenant en compte les défaillances de la précédente, tout en élargissant son activité sectorielle, afin d’harmoniser et de renforcer la cybersécurité européenne.
Cette deuxième version de la directive a donc été votée le 10 novembre 2022 puis publiée au Journal Officiel de l’Union européenne le 27 décembre 2022, avant d’entrer en vigueur le 17 janvier dernier. Les États membres bénéficient alors d’un délai pour en effectuer la transposition dans leurs droits nationaux ; cela devra être chose faite d’ici le 17 octobre 2024 pour une mise en application dès le lendemain.
Mais alors, quels sont les apports de cette deuxième version ? NIS 2 a pour objectifs de porter des exigences plus strictes pour ses membres, mais également d’élargir le spectre de son action. Pour cela, la nouvelle directive crée un mécanisme de proportionnalité selon deux types d’entités différenciées en fonction de leur niveau de criticité, à savoir les entités essentielles et les entités importantes. Cela constitue ici une avancée majeure dans la mesure où, seules les entités essentielles entraient dans le champ d’action de la première version de la directive.
Un remaniement de la notion d’Opérateur de Services Essentiels
Qu’est-ce qu’une entité essentielle ?
Comme évoqué précédemment, la directive NIS 2 introduit une grande nouveauté par rapport à sa grande sœur. Le mécanisme précité permet d’apporter une différenciation dans les mesures de sécurité à implémenter en fonction du degré de criticité de l’entité. Les Entités Essentielles ont, entre autres, remplacé les anciens « Opérateurs de Services Essentiels » (OSE) introduits par la première version en 2016. Il s’agit de secteurs d’activité dont le service fourni est essentiel au maintien d’activités sociétales ou économiques critiques. La perturbation de ce service aurait un impact dramatique sur le bon fonctionnement de l’État.
On retrouve ainsi dans l’annexe I de la directive les secteurs considérés comme des entités essentielles. Cette catégorie concerne, entre autres, les secteurs d’activité suivants : les banques, les infrastructures numériques, l’énergie, les transports, la santé, les fournisseurs d’eau, les administrations publiques, les transports ou encore le secteur spatial. Une nouveauté comprise dans la nouvelle version de NIS 2 est la possibilité pour un État de classer d’autres secteurs d’activité non répertoriés comme des entités essentielles dans cette catégorie. Il est par ailleurs important de souligner qu’une entité essentielle n’a pas la même définition qu’un Opérateur d’Importance Vitale (OIV), dont la définition et les modalités de protection dépendent de la Loi de Programmation Militaire (LPM).
Focus sur une entité essentielle et les mesures de sécurité à implémenter
De fait, les entités essentielles se doivent de respecter un certain nombre d’obligations pour obéir aux nouvelles exigences de NIS 2. Ces dernières sont multiples et peuvent différer en fonction du secteur d’activité concerné. En ce qui concerne les banques, le respect de la directive NIS 2 passe par le règlement du Digital Operational Resilience Act (DORA), qui a été voté il y a quelques mois par le Parlement européen. Il est considéré par le rapport d’évaluation d’impact accompagnant NIS 2 comme « lex specialis » et « établissant des exigences consolidées, simplifiées et améliorées en matière de risques liés aux TIC dans l’ensemble du secteur financier ». Ce règlement a notamment pour objectif d’optimiser la résilience informatique des entreprises de l’UE.
Outre l’importance de la place du règlement DORA, les banques en tant qu’entités essentielles se doivent de respecter d’autres exigences invoquées par NIS 2. La première concerne la responsabilité de la direction des établissements financiers dans la gestion du risque cyber. Il s’agit, entre autres, de renforcer leur rôle dans la protection de leurs systèmes d’information (SI) face aux menaces et d’en améliorer la gouvernance. Dans cette continuité, NIS 2 impose aux entités bancaires la mise en place d’une campagne de formation et d’éducation des cadres supérieurs à la gestion du risque cyber. D’autres mesures concernent également un renforcement des politiques liées à l’analyse de risques et la sécurité des SI, la sécurisation de la chaîne d’approvisionnement avec les entreprises prestataires, ainsi que davantage de chiffrement des communications ou encore un renforcement des authentifications multifactorielles.
Enfin, l’une des grandes nouveautés de NIS 2 concerne la prise en charge des incidents de sécurité et la gestion des crises qui peut en résulter. La nouvelle directive impose ainsi une communication de la part des banques victimes d’incidents dits « importants » dans les 24 heures qui le suivent auprès de son Computer Security Incident Response Team (CSIRT). L’accent est notamment mis ici sur le partage des vulnérabilités et des incidents de sécurité entre les CSIRT des différents États, ce qui n’était pas le cas avec la première version de NIS. Dans ce cadre, des audits, des tests d’intrusion et des certifications peuvent être imposées par les CSIRT aux établissements bancaires.
Elargissement du champ d’application par la prise en compte de nouveaux acteurs
Qu’est-ce qu’une entité importante ?
Entendue comme l’un des apports majeurs de NIS 2, l’intégration des entités dites importantes au spectre de son application doit être perçue comme révélatrice de la volonté de l’UE d’agir de manière plus conséquente pour une cybersécurité européenne.
De fait, ces entités nouvellement concernées par la directive sont celles dont le secteur d’activité peut être qualifié de critique, a contrario des entités essentielles mentionnées précédemment qui se réfèrent à des secteurs dits hautement critiques.
À ce titre, plusieurs secteurs critiques ont été identifiés tels que les services postaux ou numériques, les fabricants, producteurs et distributeurs de produits chimiques, les services de gestion des déchets, l’agroalimentaire ou bien encore la recherche. Ces opérateurs sont alors essentiellement des Petites et Moyennes Entreprises (PME). Cela témoigne donc ici de la volonté européenne d’intégrer différents types et niveaux d’acteurs aux mesures prises pour la gestion des risques de cybersécurité pour ainsi permettre d’augmenter les capacités de résilience de tous.
Les nouvelles mesures imposées par la seconde version de la directive
Concrètement, cette intégration de nouvelles entités, qu’elles soient essentielles ou importantes, se caractérise par l’obligation de mise en conformité avec les mesures énoncées par la directive.
Parmi celles-ci, on retrouve notamment l’obligation de sécurisation des réseaux et systèmes d’informations de l’entité, par plusieurs moyens tels que la cryptographie et le chiffrement des données, le contrôle des accès aux systèmes ou encore des solutions d’authentification à plusieurs facteurs. Cela s’inscrit dans une dynamique de prise en compte des risques cyber avec une obligation d’en faire une analyse détaillée accompagnée de la mise en place de mesures pour garantir la continuité d’activité.
Sont également formulées des obligations de mise en place d’un véritable écosystème dédié à la cybersécurité avec la formation des collaborateurs aux risques qui en découlent, mais également aux pratiques à adopter. Dans la même lignée, chaque entité doit désigner une équipe de gestion des incidents cyber avec notamment une personne chargée d’établir et de maintenir le contact avec l’entité étatique compétente, l’ANSSI pour la France par exemple.
Ce contact doit particulièrement être établi dans le contexte d’incidents de sécurité avec une obligation de déclarer ces derniers dans les 24 heures qui suivent, avec une évaluation des impacts dans les 72 heures et un rapport complet, au plus tard, un mois après la survenance de chaque incident.
En France, ce sont plus de 600 entités qui sont concernées par la mise en place de ces nouvelles mesures, ce qui représente un périmètre d’action non-négligeable.
L’importance de la différenciation entre les différentes entités
Les critères de différenciation entre entités importantes et essentielles
Si la directive NIS 2 a permis d’introduire le mécanisme de proportionnalité en fonction du statut de l’entité, des critères spécifiques existent pour différencier les secteurs d’activité en fonction de leur criticité.
Dans un premier temps, la directive 2022/2557 de l’UE impose « des mesures spécifiques visant à garantir que les services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales soient fournis sans entrave [dans l’UE] ». Dans ce sens, comme le dispose l’article 2 de la directive NIS 2 : « elle [NIS 2] s’applique aux entités recensées en tant qu’entités critiques en vertu de la directive 2022/2557, quelle que soit leur taille ». Pour être considérée comme telle, l’entité doit fournir un ou plusieurs services essentiels, effectuer son activité et avoir son infrastructure critique sur le territoire d’un même État de l’UE. Un incident sur cette entité doit également avoir des effets perturbateurs importants. Concrètement, ce sont les annexes I et II disponibles à la fin de la directive NIS 2 qui déterminent dans la première partie les entités essentielles et la seconde partie les entités importantes. Le critère principal différenciant les deux types d’entités reste les impacts qu’aurait une interruption du fonctionnement du SI sur les activités du pays. Dans cette même dynamique, le principe d’entité « essentielle » s’inspire directement des autres lois et règlements sur les mesures de sécurité à mettre en place pour protéger les infrastructures les plus critiques, comme la Loi de Programmation Militaire. Il ne s’agit cependant pas des mêmes modalités et critères. Enfin, les entités importantes se distinguent des entités essentielles par la différence des secteurs d’activités ciblés. Si des interruptions de service sur ces secteurs auraient des conséquences dramatiques sur le fonctionnement du pays, les impacts seraient bien moins importants que pour des entités essentielles.
Les sanctions encourues en cas de non-respect de la directive
Concernant les apports principaux de NIS 2 comparativement à sa prédécesseure, on retrouve également l’instauration d’un procédé coercitif. En effet, des sanctions, notamment financières, peuvent être encourues par les entreprises ne respectant pas les mesures imposées par la directive. De fait, ces entreprises pourront notamment être passibles d’amendes en cas de non-respect des articles relatifs aux mesures de gestion des risques et aux obligations d’informations. Néanmoins, selon le principe de proportionnalité évoqué précédemment, le montant diffère selon qu’il s’agisse d’entités importantes ou essentielles.
Pour une entité essentielle, le montant minimal fixé est de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, alors que pour une entité importante, ce sont 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent qui sera requis.
En cas de non-respect, les États membres pourront également prendre la décision d’entamer des poursuites pénales contre les entreprises défaillantes, engageant ainsi la responsabilité de cette dernière.
Il est bon de rappeler que ces sanctions ont été définies à l’échelle de l’Union européenne et chaque État membre est libre de les redéfinir au niveau national. Cela découle alors de l’activité de supervision des autorités nationales compétentes telles que l’ANSSI en France.
Ainsi la nouvelle directive NIS 2 est une véritable avancée sur le renforcement et l’harmonisation des pratiques de cybersécurité au sein de l’UE. Cette directive distingue notamment les entités essentielles et importantes, ce qui induit pour chacune de ces catégories des règles et des mesures de sécurité différentes à implémenter. De même, NIS 2 innove par l’harmonisation au niveau européen des incidents de sécurité et de la gestion de crise cyber pouvant en résulter. La directive impose notamment une meilleure coordination entre les CSIRT de chaque État membre et une transparence sur les vulnérabilités exploitables par de potentiels attaquants.
Cela a, entre autres, donné lieu à la création d’un groupe de coopération stratégique et d’échanges d’informations entre les États : « CyCLONe pour Cyber Crises Link Organisation Network ». Cet organisme, créé en 2020, aura notamment pour mission principale de soutenir la gestion coordonnée en cas de crises ou incidents majeurs de cybersécurité dans l’UE. Il entrera en vigueur en France au deuxième semestre 2024.
Camille Guy-Roux pour le Club Cyber de l’AEGE
Pour aller plus loin :
- Cybersecurity Act : un nouvel élan pour l’Europe
- Retour sur les grandes cyberattaques en France en 2022 : quelles résolutions pour 2023 ?
À propos de onepoint
onepoint est un cabinet de conseil architecte des grandes transformations numériques des entreprises et des acteurs publics.