Directive NIS2 : les nouvelles obligations pour les entreprises en matière de cybersécurité
La directive NIS2 vise à renforcer les exigences en matière de sécurité et introduire des mesures de contrôle plus rigoureuses, notamment des sanctions harmonisées et communes au sein de l’UE.
La directive sur la sécurité des réseaux et de l’information (en anglais « The Network and Information Security (NIS) ») constitue la première législation européenne dans le domaine de la cybersécurité. L’objectif initial de la NIS1, adoptée en juillet 2016 et transposée en droit français en 2018, était d’instaurer un niveau élevé commun de cybersécurité à travers les Etats membres de l’Union Européenne (UE).
Cependant, en décembre 2020, la Commission européenne a soumis une proposition visant à remplacer la directive NIS1. Cette initiative faisait suite à une diversité trop importante dans les exigences imposées aux Etats membres et à une augmentation significative du nombre de menaces. Les PME, les ETI et les collectivités territoriales étaient particulièrement visées, étant confrontées à des demandes de rançon (« rançongiciels ») et à des attaques ciblant la chaine d’approvisionnement.
Qu’est-ce que la directive NIS2 ? Quand sera-t-elle appliquée ?
La révision de la directive initiale, appelée NIS2, vise à renforcer les exigences en matière de sécurité et introduire des mesures de contrôle plus rigoureuses, notamment des sanctions harmonisées et communes au sein de l’UE.
La directive NIS2 a été publiée dans le Journal Officiel de l’UE en décembre 2022 (Directive 2022/2555). Elle est ensuite entrée en vigueur en janvier 2023, accordant aux États membres une période de 21 mois pour se conformer à ces exigences. Elle rentrera donc en vigueur en France au plus tard le 17 octobre 2024.
Quel est son champ d’application ?
La nouvelle directive élargit son champ d’application et s’applique désormais à un plus grand nombre d’entités et de secteurs d’activité. La directive NIS2 conservera son application dans les domaines déjà concernés par la NIS1, tout en élargissant son champ d’action à d’autres secteurs, notamment les administrations publiques, les télécommunications, ou encore le secteur spatial… A minima 18 secteurs d’activité seront désormais concernés.
Parmi ces secteurs identifiés, les entreprises seront classées en deux catégories, en fonction de leur taille et de leur niveau de criticité : les entités essentielles (EE) et les entités importantes (EI).
Quelles seront les entreprises concernées par la directive NIS2 ?
La liste des entités concernées est la suivante :
| Secteur | Sous-secteur |
|---|---|
| 01. Energie | – Electricité – Réseau de chaleur et de froid – Pétrole – Gaz – Hydrogène |
| 02. Transports | – Transports aériens – Transports ferroviaires – Transports par eau – Transports routiers |
| 03. Secteurs bancaires | |
| 04. Infrastructure des marchés financiers | |
| 05. Santé | |
| 06. Eau potable | |
| 07. Eaux usées | |
| 08. Infrastructure numérique | |
| 09. Gestion des services TIC | |
| 10. Administration publique | Administration centrale |
| 11. Espace |
| Secteur | Sous-secteur |
|---|---|
| 01. Services postaux et d’expédition | |
| 02. Gestion des déchets | |
| 03. Fabrication, production et distribution de produits chimiques | |
| 04. Production, transformation et distribution des denrées alimentaires | |
| 05. Fabrication | – Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro – Fabrication de produits informatiques, électroniques et optiques – Fabrication d’équipements électriques – Fabrication de machines et équipements – Construction de véhicules automobiles, remorques et semi-remorques – Fabrication d’autres matériels de transport |
| 06. Fournisseurs numériques | |
| 07. Recherche |
Classification des entités
Les entités essentielles (EE) englobent toutes les entités de taille intermédiaire et grande opérant dans un secteur hautement critique (voir le 1e tableau ci-dessus). Cela comprend les entreprises ayant un effectif de 250 employés ou plus, ou générant un chiffre d’affaires égal ou supérieur à 50 millions d’euros, ou avec un bilan annuel égal ou supérieur à 43 millions d’euros.
Les entités importantes (EI) regroupent toutes les autres entités du périmètre qui ne sont pas considérées comme essentielles selon les critères précédents. Autrement dit, il s’agit de toutes les entités de taille moyenne réalisant des activités correspondant au tableau 1, ainsi que toutes les entités de taille moyenne et plus exerçant des activités correspondant au tableau 2.
A savoir : les types d’entités sont définis sur la base de définitions précises issues de réglementations déjà existantes, de la classification européenne des activités NACE (NAF en France) et de définitions ad hoc.
Voici un schéma qui récapitule la situation exposée ci-dessus :
| Taille de l’entité | Nombre d’employés | Chiffre d’affaires (millions d’euros) | Bilan annuel (millions d’euros) | Tableau 1 (Secteurs hautement critiques) | Tableau 2 (Secteurs critiques) |
|---|---|---|---|---|---|
| Intermédiaire et grande | >250 | >50 | >43 | ENTITES ESSENTIELLES (EE) | ENTITES IMPORTANTES (EI) |
| Moyenne | Entre 50 et 250 | Entre 10 et 50 | Entre 10 et 43 | ENTITES IMPORTANTES (EI) | ENTITES IMPORTANTES (EI) |
| Micro et petite | <50 | <10 | <10 | Non concernées | Non concernées |
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) prévoit des niveaux d’exigences différents en matière de cybersécurité, en fonction du niveau d’exposition aux risques et de l’impact potentiel des incidents sur les entités. Cette mesure permettra de prendre en compte les moyens et les enjeux d’une grande entreprise par rapport à une PME.
Quelles sont les obligations pour les entités régulées ?
Les entités auront pour obligation de :
- Se notifier auprès de l’ANSSI.
- Communiquer un certain nombre d’informations de contact et les tenir à jour (nom de l’entité, adresse et coordonnées, secteur(s) d’activité, liste des Etats membres de l’UE dans lesquels sont fournis les services).
- Déclarer à l’ANSSI les incidents majeurs.
- Prendre un ensemble de mesures de sécurité (techniques, opérationnelles et organisationnelles) pour gérer les risques liés à l’utilisation du numérique telles que l’utilisation de solutions d’authentification à plusieurs facteurs, l’utilisation de la cryptographie, etc. (Pour en savoir plus, consultez la page 48 de la Directive)
Les obligations en cas d’incidents
Les entités essentielles et importantes ont l’obligation de signaler rapidement tout incident majeur au CSIRT (Computer Security Incident Response Team) ou à l’autorité compétente, sans retard injustifié, dans les 24 heures suivant sa découverte.
Cette alerte précoce doit être suivie d’une notification complète dans les 72 heures afin de mettre à jour les informations initialement fournies et d’évaluer l’incident. Enfin, un rapport final doit être soumis au plus tard un mois après la notification initiale de l’incident.
Les contrôles et les sanctions appliquées
L’ANSSI réalisera des contrôles pouvant amener à des injonctions en cas de non-conformité.
Les entités essentielles seront soumises à une surveillance complète, à la fois « ex-ante » et « ex-post ». Tandis que les entités importantes feront l’objet d’une supervision plus légère, uniquement « ex-post ». Ces dernières ne seront pas tenues de documenter systématiquement leur conformité aux exigences de cybersécurité. En revanche, les autorités compétentes réagiront en cas de signalement de violations potentielles de la directive.
Les sanctions de la NIS2 seront comparables à celle du RGPD. Plus précisément, en cas de non-conformité, les sanctions pourront aller :
- Pour les entités essentielles : jusqu’à 2% du chiffre d’affaires annuel mondial (ou 10 M d’euros) ;
- Pour les entités importantes : jusqu’à 1,4% du CA annuel mondial (ou 7 M d’euros).
Les autorités compétentes pourront également suspendre temporairement la certification ou l’autorisation d’une entité essentielle en cas de violation grave de la directive.
Se préparer à l’application de la NIS2
En attendant que la nouvelle directive soit transposée dans la législation française, les entreprises doivent continuer à respecter les exigences de la NIS1.
Celles concernées par la NIS2 doivent dès à présent entamer une démarche proactive pour renforcer la sécurité de leurs systèmes informatiques.
Facturation électronique en Malaisie : le point sur le calendrier et les modalités de la réforme
