Dejan KosuticTABLE DES MATIÈRES
À qui s’applique NIS 2 ? Qu’est-ce que sont des entités essentielles et importantes et qu’est-ce qui les différencie ? Quelle est la structure de NIS 2 ? Quelles sont les exigences principales en matière de cybersécurité de NIS 2 ? Quelles sont les obligations d’information des entités essentielles et importantes ? Comment mettre en œuvre la cybersécurité selon NIS 2 ?
Mise à jour le 6 mars 2024 (transposition dans les Etats membres)
Résumé de la directive NIS 2
La « directive NIS 2 (SRI 2) », ou simplement « NIS 2 (SRI 2) », est une directive de l’Union européenne qui précise les exigences en matière de cybersécurité qui doivent être mises en œuvre par les entreprises de l’UE qui sont considérées comme des infrastructures critiques.
Son nom complet est « directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union » et elle a été publiée le 14 décembre 2022.
Dans la mesure où NIS 2 est une directive, cela signifie que chaque pays de l’UE devra définir ses propres lois en matière de cybersécurité sur le fondement de NIS 2, considérant que NIS 2 précise le niveau minimal à atteindre en matière de cybersécurité. Dans la pratique, cela signifie que les entreprises devront, dans certains pays, se conformer aux exigences minimales précisées dans NIS 2 et, dans d’autres pays, devront se conformer à des exigences plus strictes en matière de cybersécurité définies dans le droit interne.
NIS 2 porte la marque « 2 » car elle remplace l’ancienne directive NIS.
La directive NIS 2 pourrait devenir pour la cybersécurité ce que le RGPD UE est devenu pour la vie privée : une norme internationale que d’autres pays utilisent comme une pratique exemplaire pour leur propre législation.
Qu’est-ce que l’ancienne directive NIS et en quoi NIS 2 est-elle différente ?
L’ancienne directive NIS (directive 2016/1148) définissait également la cybersécurité pour les infrastructures critiques mais elle n’a jamais réussi à introduire le même niveau de cybersécurité dans tous les États membres, aboutissant à une approche fragmentée.
La nouvelle directive NIS 2 introduit un éventail plus large d’industries (secteurs) qui doivent se conformer, une meilleure coopération entre les États membres, de nouveaux délais pour les obligations d’information, un plus grand intérêt pour les chaînes d’approvisionnement, la responsabilité de la direction générale des entités, des sanctions plus strictes, etc.
NIS 2 remplace l’ancienne directive NIS le 18 octobre 2024.
Guide complet sur la directive NIS 2
Que signifie « NIS » ?
Le nom complet de l’ancienne directive NIS était : « directive (EU) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union. »
Par conséquent, « NIS » est l’abréviation de « Sécurité des réseaux et des systèmes d’information ».
Pourquoi NIS 2 est-elle importante ?
NIS 2 est importante parce qu’elle définit des exigences très strictes en matière de cybersécurité pour un grand nombre d’entreprises de l’Union européenne ; selon certaines estimations, plus de 100 000 entreprises de l’Union européenne devront se conformer à NIS 2.
Même si NIS 2 ne s’applique pas à autant d’entreprises que, par exemple, le RGPD UE, elle deviendra certainement une norme de facto pour les infrastructures critiques que d’autres pays (non-UE) imiteront. Un scénario très similaire s’est déjà produit dans des pays ne faisant pas partie de l’UE avec des règlementations sur la vie privée très proches du RGPD UE.
Où puis-je trouver le texte complet de NIS 2 ?
Vous pouvez trouver le texte officiel ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022L2555.
Vous pouvez également consulter le texte complet ici, organisé par chapitres et articles, et avec la possibilité de réaliser une recherche par mots-clés : Texte complet de la directive NIS 2.
Quand NIS 2 entre-t-elle en vigueur ?
NIS 2 entrera en vigueur le 18 octobre 2024 ; il s’agit également de l’échéance fixée pour les pays de l’UE pour définir leurs propres lois et règlements fondés sur NIS 2.
À qui s’applique NIS 2 ?
Il existe 3 critères qui définissent les organisations (NIS 2 les appelle « entités essentielles » et « entités importantes ») qui doivent se conformer à NIS 2 :
- 1) Emplacement – si elles fournissent des services ou exercent des activités dans tout pays de l’Union européenne (peu importe qu’elles soient établies dans l’UE ou non) ; et
- 2) Taille – si elles possèdent plus de 50 employés et réalisent plus de 10 millions d’euro de recettes ; et
- 3) Industrie – si elles exercent leurs activités dans l’un de ces secteurs :
- Énergie
- Transports
- Secteur bancaire
- Infrastructures des marchés financiers
- Santé
- Eau potable
- Eaux usées
- Infrastructure numérique
- Gestion des services TIC (interentreprises)
- Administration publique
- Espace
- Services postaux et d’expédition
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrées alimentaires
- Fabrication
- Fournisseurs numériques
- Recherche
Cet article vous fournira une description détaillée des entreprises qui doivent se conformer dans chqaue secteur : Quelles entreprises doivent se conformer à NIS 2 ? Entités essentielles vs. importantes
Qu’est-ce que sont des entités essentielles et importantes et qu’est-ce qui les différencie ?
Les « entités essentielles » et les « entités importantes » sont ce que NIS 2 appelle des entreprises et d’autres organisations qui doivent se conformer à NIS 2.
Les entités essentielles sont les suivantes :
- Entreprises qui possèdent plus de 250 employés ou qui réalisent 50 millions d’euro de recettes et qui font partie de l’un de ces secteurs : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (interentreprises), administration publique ou espace
- Fournisseurs de services de confiance
- Fournisseurs de services DNS
- Réseaux publics de communications électroniques
- Entités de l’administration publique
- Toute entité critique selon la directive (UE) 2022/2557 sur la résilience des entités critiques (REC)
- Autres entités indiquées par les États membres
Les entités importantes sont toutes les autres organisations qui ne sont pas des entités essentielles mais qui relèvent des 3 critères susmentionnées dans la section précédente.
Quelle est la structure de NIS 2 ?
NIS 2 commence par un préambule où, dans 144 points, le contexte est expliqué et des lignes directrices sont fournies pour la partie principale de la directive. La partie principale de NIS 2 comprend 46 articles qui sont présentés dans les chapitres suivants :
- Chapitre I — Dispositions générales
- Chapitre II — Cadres coordonnés en matière de cybersécurité
- Chapitre III — Coopération au niveau de l’Union et au niveau international
- Chapitre IV — Mesures de gestion des risques en matière de cybersécurité et obligations d’information
- Chapitre V — Compétence et enregistrement
- Chapitre VI — Partage d’informations
- Chapitre VII — Supervision et exécution
- Chapitre VIII — Actes délégués et actes d’exécution
- Chapitre IX — Dispositions finales
- Annexe I — Secteurs hautement critiques
- Annexe II — Autres secteurs critiques
- Annexe III — Tableau de correspondance entre NIS 2 et NIS
Vous pouvez consulter tous les articles sur NIS 2 ici : Texte complet de la directive NIS 2.
Quelles sont les exigences principales en matière de cybersécurité de NIS 2 ?
De façon surprenante, seul le chapitre IV, intitulé « Mesures de gestion des risques en matière de cybersécurité et obligations d’information », définit ce que doivent faire les entités essentielles et importantes pour se conformer à NIS 2. Tous les autres chapitres ne sont pas pertinents pour ces entreprises parce qu’ils précisent les obligations pour les pays de l’UE (États membres) et ce que les organismes publics doivent faire pour appliquer NIS 2.
Le chapitre IV comprend les articles suivants :
- Article 20 – Gouvernance
- Article 21 – Mesures de gestion des risques en matière de cybersécurité
- Article 22 – Évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques
- Article 23 – Obligations d’information
- Article 24 – Recours aux schémas européens de certification de cybersécurité
- Article 25 – Normalisation
Pour une description détaillée des exigences du chapitre IV, lisez cet article : Les 8 exigences les plus importantes en matière de cybersécurité et d'information dans NIS 2.
Quelles sont les obligations d’information des entités essentielles et importantes ?
Les entités essentielles et importantes doivent envoyer des notifications concernant des incidents importants :
- Au centre de réponse aux incidents de sécurité informatique (CSIRT) ou à l’autorité compétente
- Aux destinataires de leurs services
Les entités doivent soumettre différents types de rapports au CSIRT : une alerte précoce, une notification d’incident, un rapport intermédiaire, un rapport final et un rapport d’avancement.
Apprenez-en plus ici : Quelles sont les obligations d'information selon NIS 2 ?
Comment mettre en œuvre la cybersécurité selon NIS 2 ?
Pour se conformer à NIS 2, la meilleure pratique pour les entités essentielles et importantes consiste à suivre ces étapes de mise en œuvre :
- Obtenir le soutien de la haute direction.
- Mettre en place la gestion de projet.
- Réaliser une formation initiale.
- Rédiger une Politique de haut niveau sur la sécurité des systèmes d’information.
- Définir la Méthodologie de gestion des risques.
- Réaliser l’évaluation et le traitement des risques.
- Rédiger et approuver le Plan de traitement des risques.
- Mettre en œuvre des mesures en matière de sécurité.
- Mettre en place la sécurité de la chaîne d’approvisionnement.
- Mettre en place l’évaluation de l’efficacité de la cybersécurité.
- Mettre en place des notifications d’incident.
- Mettre en place une formation continue en matière de cybersécurité.
- Mener des audits internes périodiques.
- Réaliser un examen périodique de la gestion.
- Exécuter des mesures coercitives.
Cet article explique les étapes plus en détail : 15 étapes de mise en œuvre des mesures de gestion des risques en matière de cybersécurité de NIS 2, alors que cet article décrit la façon de rédiger tous les documents : Liste des documents requis selon NIS 2.
Quelles sont les amendes et les responsabilités énoncées dans NIS 2 ?
Pour les entreprises qui ne se conforment pas à NIS 2, les amendes sont les suivantes :
- Pour les entités essentielles – montant maximal s’élevant à au moins 10 millions d’euro ou à au moins 2 % du chiffre d’affaires annuel.
- Pour les entités importantes – montant maximal s’élevant à au moins 7 millions d’euros ou à au moins 1,4 % du chiffre d’affaires annuel total.
Il est important de remarquer que l’article 20 exige des directions générales des entités essentielles et importantes qu’elles approuvent les mesures de gestion des risques en matière de cybersécurité et supervisent leur mise en œuvre. Il est par ailleurs précisé que la direction générale peut être tenue responsable si la cybersécurité n’est pas conforme à l’article 21.
Certification NIS 2
NIS 2 n’exige pas la certification des entités essentielles et importantes.
Cependant, les États membres (ou la commission européenne) peut exiger de ces entités qu’elles utilisent des produits ou services informatiques spécifiques qui sont certifiés en vertu du schéma européen de certification de cybersécurité conformément au règlement (UE) 2019/881 sur la cybersécurité.
Quels sont les organismes publics définis dans NIS 2 ?
- Les « États membres » sont des pays membres de l’Union européenne ; ils doivent publier leurs propres lois et règlements en matière de cybersécurité fondés sur NIS 2.
- Les « autorités compétentes » sont désignées par les États membres pour superviser les entités essentielles et importantes qui doivent se conformer à NIS 2 et au droit interne en matière de cybersécurité.
- Les « points de contact uniques » sont établis par les États membres pour permettre la coopération transfrontière entre les autorités.
- Les « autorités de gestion des crises cyber » sont des autorités compétentes désignées par les États membres et chargées de la gestion des incidents de cybersécurité majeurs et des crises.
- Les « centres de réponse aux incidents de sécurité informatique » (CSIRT) sont désignés par les États membres afin de gérer des incidents selon un processus défini.
- Le « réseau européen pour la préparation et la gestion des crises cyber » (EU-CyCLONe) contribue à la gestion coordonnée des incidents de cybersécurité majeurs et des crises.
- Le « groupe de coopération » facilite la coopération stratégique ainsi que l’échange d’informations entre les États membres.
- L’« Agence de l’Union européenne pour la cybersécurité » (ENISA) établit une base de données de vulnérabilités, crée un rapport bisannuel sur l’état de la cybersécurité dans l’Union, tient un registre des entités avec un statut spécial, formule des lignes directrices concernant les domaines techniques et les normes existantes, tec.
Quelles lois fondées sur NIS 2 ont été publiées dans les pays de l’UE ? (Transposition de NIS 2)
Les pays de l’UE (États membres) doivent publier des lois et des règlement au niveau interne fondées sur la directive NIS 2 avant le 17 octobre 2024 (ce processus d’adoption d’une législation interne fondée sur une directive de l’UE est appelée « transposition »).
À la date de rédaction de cet article, un seul État membre a transposé le NIS 2 dans sa législation locale :
Quel est le lien entre NIS 2 et ISO 27001 ?
NIS 2 ne requiert pas la mise en œuvre de la norme ISO 27001 ; cependant, elle mentionne la série ISO/CEI 27000 dans le préambule comme un moyen de mettre en œuvre les mesures de gestion des risques en matière de cybersécurité et la partie principale de NIS 2 encourage l’utilisation de normes internationales.
Si l’on compare plus précisément NIS 2 et ISO 27001, il devient évident que la norme ISO 27001 fournit un excellent cadre pour se conformer aux mesures de gestion des risques en matière de cybersécurité requises par NIS 2.
ISO 27001 constitue un guide clair sur la façon de définir le processus de gestion des risques, d’associer la mise en œuvre technique à la formation et à d’autres problèmes en matière de RH, d’impliquer la direction générale, etc.
Quelle est la différence entre NIS 2 et le RGPD UE ?
Le nom complet du RGPD UE est « Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) ».
Même si NIS 2 et le RGPD portent sur la protection des données, ils sont assez différents :
| NIS 2 | RGPD UE | |
| Type | Directive (les entreprises se conforment au droit interne publié) | Règlement (directement applicable aux entreprises) |
| S’applique à | Les organisations qui sont considérées comme des entités essentielles et importantes | Toute organisation qui traite des données personnelles |
| Protection | Les mesures en matière de cybersécurité sont appliquées à toutes les données au sein de l’entreprise | Les mesures en matière de cybersécurité s’appliquent uniquement aux données personnelles ; il existe également un aspect juridique de la protection des données personnelles |
| En vigueur à compter du | 18 octobre 2024 | 25 mai 2018 |
Quelle est la différence entre NIS 2 et le règlement DORA ?
Le nom complet du règlement DORA est « règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier ».
Bien que NIS 2 et DORA aient été publiés le même jour (17 décembre 2022), il existe des différences importantes entre les deux :
| NIS 2 | DORA | |
| Type | Directive (les entreprises se conforment au droit interne publié) | Règlement (directement applicable aux entreprises) |
| S’applique à | Les organisations qui sont considérées comme des entités essentielles et importantes | Institutions financières |
| Protection | Accent mis sur les mesures en matière de cybersécurité | Au-delà des mesures en matière de cybersécurité, l’accent est également mis sur la résilience globale des institutions financières |
| En vigueur à compter du | 18 octobre 2024 | 17 janvier 2025 |
Quelle est la différence entre NIS 2 et la directive sur la résilience des entités critiques (REC) ?
Le nom complet de la directive REC est « directive (UE) 2022/2557 sur la résilience des entités critiques ».
Bien que NIS 2 et REC (ainsi que DORA) aient été publiées le même jour (17 décembre 2022), elles ont une visée différente :
| NIS 2 | REC | |
| Type | Directive (les entreprises se conforment au droit interne publié) | Directive (les entreprises se conforment au droit interne publié) |
| S’applique à | Les organisations qui sont considérées comme des entités essentielles et importantes | Les organisations qui sont considérées comme des entités essentielles et importantes |
| Protection | Accent mis sur les mesures en matière de cybersécurité | Accent mis sur la résilience et la continuité des activités |
| En vigueur à compter du | 18 octobre 2024 | 18 octobre 2024 ; cependant, les entités critiques doivent se conformer dans un délai de 10 mois à compter du jour où elles ont été désignées comme étant critiques |
Pour en savoir plus sur NIS 2, téléchargez ce livre blanc gratuit : Guide complet sur la directive NIS 2.
