Pour ce faire, les dirigeants en particulier, seront directement impliqués et responsabilisés en matière de gouvernance cyber, sous peine d’amendes (pouvant aller entre 1,4% et 2% du chiffre d’affaires mondial de l’entité concernée) voire de sanctions pénales. Compte tenu des enjeux particulièrement structurants soulevés par cette réglementation imminente, nous invitons les acteurs à s’approprier ces exigences et préparer la mise en conformité de leur organisation à celles-ci.
NIS2 : De quoi s’agit-il ?
La directive européenne dite « NIS 2 » concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, a été publiée en décembre 2022 et doit être transposée et appliquée dans l’ensemble des Etats membres de l’Union européenne au plus tard le 17 octobre 2024.
Ces nouvelles règles imposent une prise en compte de bon niveau de la cybersécurité pour les systèmes d’information des infrastructures critiques et sensibles des pays de l’Union. En France, un projet de loi est attendu au printemps 2024 pour transposer la directive, dans le prolongement des consultations menées par l’ANSSI auxquelles a contribué notamment EGERIE.
La directive NIS 2 révise celle dite « NIS 1 » qui était en application depuis 2018. La Commission européenne a en effet décidé d’étendre l’ambition de ce texte, du fait notamment de l’évolution de la menace au cours des six dernières années (en lien avec l'interconnexion et la dépendance accrues de notre société et de notre économie au monde numérique) et d’une application hétérogène des obligations de NIS 1 dans les Etats membres.
Qui est directement concerné par NIS2 ?
NIS 2 représente un véritable changement d’échelle avec un périmètre d’application étendu : on passe ainsi de 300 entités désignées « opérateurs de service essentiel » en France conformément à NIS 1, à une estimation d’environ 10 000 à 15 000 entités assujetties en France et d’au moins 150 000 entités à travers l’UE.
Les organisations (publiques comme privées) concernées (dites les entités essentielles et les entités importantes) répondent à deux critères qui sont cumulatifs :
la taille de l’organisation : sont concernées les organisations de taille moyenne c’est-à-dire d’au-moins 50 employés et un chiffre d’affaires (CA) annuel d’au moins 10 millions d’euros, ainsi que les organisations de taille intermédiaire ou grande comptabilisant plus de 250 employés et un CA de plus de 50 millions d’euros.
et son secteur d’activité :
L’entité relève d’un des secteurs hautement critiques (listés à l’annexe 1 de la directive) :
énergie
transports
secteur bancaire
infrastructures des marchés financiers
santé
eau potable
eaux usées
infrastructures numériques
gestion des services TIC
administration publique
espace
ou d’autres secteurs critiques (listés à l’annexe 2 de la directive) :
services postaux
gestion des déchets
produits chimiques
denrées alimentaires
fabrication de certains produits y compris équipements électriques ou construction de véhicules automobiles
fournisseurs numériques
recherche
A noter : pour le secteur financier, c’est le règlement européen DORA qui s’appliquera en premier lieu ; pour les secteurs des transports (aviation, maritime…) et de l’énergie, NIS 2 complètera les législations sectorielles existantes.
Les entités essentielles (EE) regroupent les entités de taille intermédiaire ou grande relevant de secteurs hautement critiques. Les entités importantes (EI) sont i) celles de taille moyenne quel que soit le secteur opéré (parmi les 18 visés dans les annexes) et ii) celles de taille intermédiaire ou grande et opérant dans un secteur qualifié de critique.
Quelles exigences sont prévues par NIS2 ?
La directive NIS 2 est plus prescriptive que la précédente et prévoit des exigences renforcées en matière de sécurité. Les entités concernées doivent prendre des mesures techniques, opérationnelles et organisationnelles proportionnées visant à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents. Cela implique notamment de procéder à l’identification et l’évaluation régulières des risques d’origine cyber.
Les libellés des mesures de sécurité sont détaillés à l’article 21 de la directive et comprennent :
politiques relatives à l’analyse des risques et à la sécurité des SI
politiques et procédures pour l’évaluation de l’efficacité des mesures de gestion des risques
traitement des incidents (prévention, détection et réponse)
gestion des crises et continuité d’activité
sécurisation de la chaîne d’approvisionnement
sécurisation du développement et de la maintenance des SI
cyber hygiène et formation cyber
politiques et procédures d’utilisation de la cryptographie et du chiffrement
sécurisation des RH, des politiques de contrôle d’accès et gestion des actifs
utilisation de solutions d’authentification multi-facteurs ou continue
Des précisions sur ces obligations pourront être apportées par la Commission européenne d’ici octobre 2024 à travers un acte d’exécution. Dans l’intervalle, et en attendant la transposition, il est recommandé de se référer au référentiel des mesures qui étaient prévues dans le cadre de NIS1, qui ne peut qu’être enrichi. Ces mesures renvoient aux piliers suivants :
la gouvernance de la sécurité des réseaux et systèmes d’information (RSI)
la protection des RSI
la défense des RSI
la résilience des activités
Or, cette prise de mesures ne peut passer que par un management des risques agile et efficace.
NIS2 impose en outre aux entités de notifier les incidents significatifs de cybersécurité dans des délais prescrits auprès du CSIRT (alerte sous 24h et notification détaillée sous 72h).
Enfin, NIS2 entraîne une montée en gamme sur les sujets cyber de l’ensemble des acteurs de la vie économique tout au long de la chaîne d’approvisionnement, les EE et les EI étant responsables du niveau de protection de leurs fournisseurs et prestataires de services.
Quel impact sur les organisations ?
Ces nouvelles règles impliquent une plus grande responsabilisation des entités régulées. Ainsi, alors que les « opérateurs de service essentiel » étaient préalablement désignés, les entités essentielles et importantes doivent désormais se déclarer comme telles auprès des autorités compétentes (à priori l’ANSSI en France).
Les dirigeants et les conseils d'administration sont également directement impliqués et davantage responsabilisés : ils doivent en particulier approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur mise en œuvre, mais aussi mettre en place des formations pour les organes de direction et le personnel sur les pratiques de gestion des risques.
Par ailleurs, le régime de sanctions prévu par NIS 2 se veut dissuasif : une amende administrative de 2% ou 1,4% du chiffre d’affaires mondial est prévue selon qu’il s’agit d’une entité essentielle ou importante et la responsabilité pénale des dirigeants peut être engagée en cas de violation fréquente des obligations de cybersécurité.
Cette nouvelle approche de responsabilisation est une opportunité pour se focaliser sur l’évaluation, le reporting et l’arbitrage des investissements, afin d’obtenir des résultats en matière de cybersécurité.
Comment EGERIE peut vous aider à être conforme à NIS2 ?
La plateforme EGERIE répond directement aux articles 20 et 21 de la directive NIS 2, qui prévoient respectivement la mise en place d’une véritable gouvernance en matière de cybersécurité, ainsi que la mise en œuvre d’une analyse des risques et de procédures pour évaluer l’efficacité des mesures de gestion des risques cyber.
L’arsenal règlementaire qu’est NIS 2 reflète une évolution d’une approche de conformité pure à une approche plus globale, celle d’une gouvernance fondée sur les risques. Cette approche est en parfaite adéquation avec la plateforme EGERIE. Elle permet de mettre en place et piloter votre stratégie de cybersécurité, passant par l'analyse des risques cyber en continu et de :
Travailler en équipe sur les analyses de risque et de solliciter les équipes métiers de chaque service grâce à des questionnaires de sécurité pour auditer vos mesures de sécurité en interne et en externe auprès de vos tiers.
Apporter plus de précision dans la prise en compte des risques critiques qui pourraient avoir un impact considérable sur votre organisation.
Tenir compte de vos spécificités, de vos propres actifs et non des actifs "typiques ou génériques".
Quantifier les risques cyber en termes financiers
Démontrer plus facilement la valeur et le ROI des investissements cyber pour la réduction des risques.
Prendre des décisions plus éclairées sur les risques et de hiérarchiser les actions et les mesures de réduction des risques.
Être considéré comme un « business enabler », car l’approche fondée sur les risques s'attaque aux risques et aux menaces les plus critiques, susceptibles de perturber les activités génératrices de revenus, l'actif précieux de votre entreprise.
Les bénéfices de la plateforme EGERIE dans cet exercice de mise en conformité sont les suivants :
- un outil de modélisation et de quantification financière du risque cyber favorisant la sensibilisation et la responsabilisation de la direction générale ;
- une vision agrégée des risques (dans un périmètre géographique ou fonctionnel) favorisant la prise de décision et les arbitrages ;
- une cartographie complète des risques et mesures associées, permettant d’identifier les solutions de sécurité les plus performantes et ainsi maîtriser son niveau d'exposition et optimiser ses budgets de sécurisation.
