Synthèse de la directive NIS 2
- Vise à améliorer la gouvernance et la gestion des risques cyber.
- Impose des obligations strictes en matière de notification des incidents de sécurité.
- Tend à renforcer la sécurité de la supply chain et à réduire les risques liés aux sous-traitants.
- Introduit la responsabilité des dirigeants dans le pilotage de la politique de cybersécurité et en cas d’incidents de cybersécurité.
Les cyberattaques menacent quotidiennement les collectivités, hôpitaux et entreprises, révélant une maturité cyber encore insuffisante face à des menaces toujours plus complexes. En 2023, 49 % des entreprises ont subi une cyberattaque réussie (source : Baromètre CESIN 2024).
Comment harmoniser les règles de cybersécurité en Europe et protéger les infrastructures critiques ? C’est tout l’enjeu de la directive NIS 2, qui renforce les obligations en matière de gestion des risques cyber à l’échelle européenne. Qui est concerné par NIS 2 ? Quel est le contenu de la nouvelle version de la directive ? Comment les solutions Oodrive répondent-elles à un certain nombre d’obligations formulées par la directive NIS 2 ?
Qu’est-ce que la directive NIS 2 ?
La directive européenne 2022/2555 NIS 2* est un texte législatif élaboré à l’échelle de l’UE portant sur la cybersécurité. NIS 2 est une révision de la première version de la directive, votée en 2016 et transposée dans le droit français en 2018. L’intensification des cybermenaces et des tensions géopolitiques rendent nécessaire une actualisation de la directive NIS.
*Network and Information Security
Quel est l’objectif de la directive NIS 2 ?
La nouvelle version de la directive doit rehausser et harmoniser le niveau global de cybersécurité dans les 27 États de l’UE afin de renforcer la résilience des infrastructures critiques européennes.
La directive NIS 2 élargit le champ d’application du texte initial, intègre de nouveaux secteurs et s’applique à davantage d’entités. Le texte met également l’accent sur la sécurisation de la chaîne d’approvisionnement et la réduction des risques de cybersécurité liés aux tiers et aux sous-traitants.
Quel est le calendrier de NIS 2 ?
Publiée en décembre 2022, la directive NIS 2 doit être transposée dans le droit national de chaque État membre de l’UE d’ici le 17 octobre 2024. Les États membres doivent également établir la liste des entités concernées, au plus tard le 17 avril 2025.
Directive NIS 2 : tout ce qu’il faut retenir
Découvrez notre infographie synthétique des informations clés à retenir.
Qui est concerné par la directive NIS 2 ?
L’un des points majeurs de la nouvelle version de la directive est l’élargissement de son champ d’application à de nouvelles entités et à de nouveaux secteurs d’activité. Si les OIV (Opérateurs d’importance vitale) sont toujours concernés par NIS 2, deux nouvelles catégories d’entités font leur apparition :
- Les Entités Essentielles ou « EE » (représentant les secteurs hautement critiques)
- Les Entités Importantes ou « EI » (représentant les autres secteurs critiques)
Les entités sont qualifiées EE ou EI en fonction de leur taille (nombre de salariés, chiffre d’affaires) et de la criticité de leur secteur d’activité. Environ 15 000 entités seraient concernées en France par l’application de la directive NIS 2 (1 500 entités l’étaient par la première version de la directive) et 150 000 en Europe.
En France, l’ANSSI est chargée de la transposition de la directive en droit français et disposera d’un pouvoir étendu de contrôle et d’audit. Cette fonction lui permettra de s’assurer que le socle de cybersécurité est bien mis en œuvre au sein des organisations concernées.
18 secteurs d’activité concernés
La nouvelle version de la directive fait passer le nombre de secteurs d’activité concernés de 10 à au moins 18 secteurs. Les 11 secteurs d’activité considérés comme hautement critiques sont :
- L’énergie
- Les transports
- Le secteur bancaire
- Les infrastructures des marchés financiers
- La santé
- La fourniture et la distribution d’eau potable
- La gestion des eaux usées
- Les infrastructures numériques
- La gestion des services numériques TIC
- L’administration publique
- L’espace
Quant aux secteurs considérés comme critiques, ils sont au nombre de 7 :
- Les services postaux et d’expédition
- La gestion des déchets
- La fabrication, la production et la distribution de produits chimiques
- La production, la transformation et la distribution de denrées alimentaires
- La fabrication
- Les fournisseurs numériques
- La recherche
Concerné par NIS 2 ? N’attendez pas la transposition dans le droit français pour vous y préparer !
Les entités concernées par la directive NIS 2 peuvent commencer dès maintenant à planifier et à budgéter les différentes actions nécessaires à leur mise en conformité NIS 2. Loin de représenter un poste de dépenses supplémentaire, NIS 2 représente une opportunité. En respectant la directive NIS 2, les entreprises ne se contentent pas de se conformer à des exigences réglementaires. Elles investissent dans la confiance numérique, une devise de plus en plus précieuse dans notre économie. Celles qui parviendront à intégrer efficacement ces changements renforceront non seulement leur résilience opérationnelle, mais amélioreront également la proposition de valeur qu’elles offrent à leurs clients.
Quelles sont les obligations imposées par la directive NIS 2 ?
Les entités concernées par NIS 2 doivent mettre en place de nouvelles mesures afin de répondre aux obligations qui leur sont imposées.
Il s’agit à la fois de mesures techniques, organisationnelles et opérationnelles.
Obligations relatives à la gestion des risques (article 21)
La directive NIS 2 impose également aux entités concernées de mettre en place des politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information.
Ces politiques concernent :
- La gestion des incidents
- La continuité des activités et la gestion des crises
- La sécurité de la chaîne d’approvisionnement
- La sécurité de l’acquisition, du développement et de la maintenance des réseaux/SI
- Le traitement et la divulgation des vulnérabilités
- L’évaluation de l’efficacité des mesures de gestion des risques
- Les mesures de cyberhygiène et la formation à la cybersécurité
- Les procédures relatives à l’utilisation de la cryptographie et/ou du chiffrement
- La sécurité des ressources humaines (contrôle d’accès et gestion des actifs)
- L’utilisation de solutions d’authentification (à plusieurs facteurs ou continue)
Obligations relatives à la gouvernance (article 20)
La directive NIS 2 impose deux obligations majeures en matière de gouvernance :
- Responsabiliser les organes de direction au sujet de la gestion des risques sur les réseaux et les systèmes informatiques
- Mettre en place une politique de formation aux enjeux de sécurité pour les membres de la direction et le personnel
En pratique, les organes de direction devront être de plus en plus impliqués. Ils seront également tenus responsables en cas de manquements à leurs obligations. Les organes de direction devront :
- Minimiser les conséquences des incidents de cybersécurité
- Prendre des mesures proactives pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d’information
- Valider les stratégies de gestion des risques de cybersécurité
- Assurer une formation continue en cybersécurité pour l’ensemble des salariés (membres de la direction inclus)
Obligations relatives au devoir d’information (article 23)
En cas d’incident détecté, les entités ont l’obligation d’informer les autorités compétentes et/ou le Computer Security Incident Response Team (CSIRT) :
- Alerte précoce dans les 24 heures suivant la détection de l’incident
- Notification d’incident formelle dans les 72 heures suivant la détection de l’incident
Toute notification (intermédiaire ou formelle) faisant suite à l’alerte précoce doit mentionner les éléments suivants :
- La gravité de l’incident (impacts et dommages constatés ou suspectés)
- Les sites visés et le caractère transfrontalier ou non de l’incident
- Le type de menace ou la cause profonde à l’origine de l’incident
- Les mesures d’atténuation appliquées
Quelles sont les sanctions prévues en cas de non-respect de la directive NIS 2 ?
L’actualisation de la directive marque le renforcement du régime de sanctions en cas de non-respect des obligations.
Les structures qui ne respecteraient pas les obligations imposées par la directive NIS 2 s’exposent à des sanctions (à la fois financières et morales), différentes en fonction du type d’entité.
- Pour les entités importantes : 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial total
- Pour les entités essentielles : 10 millions d’euros ou 2% du chiffre d’affaires mondial total
Les dirigeants et cadres des entités concernées voient également leur responsabilité engagée. Ils peuvent se voir infliger des interdictions temporaires d’exercice de fonctions de direction.
Les 3 points à retenir sur la directive NIS 2 :
- La nouvelle version de la directive NIS 2 élargit la portée du texte, avec désormais 18 secteurs d’activité visés et davantage d’entités concernées.
- La directive NIS 2 renforce les obligations des entités concernées en matière de gouvernance, de gestion des risques, de sécurité, d’alerte aux autorités compétentes.
- NIS 2 introduit également la responsabilité des dirigeants et la possibilité d’appliquer des sanctions en cas de non-respect de la directive.
Quelles sont les réponses d’Oodrive en matière de gestion des risques cyber ?
La directive NIS 2 renforce les obligations en matière de sécurité de la chaîne d’approvisionnement. Les entités concernées par NIS 2 doivent donc être particulièrement sélectives dans le choix de leurs outils numériques afin de sécuriser les relations au sein de leur écosystème (avec leurs sous-traitants-fournisseurs, partenaires).
Oodrive : votre fournisseur de confiance pour NIS 2
SecNumCloud – Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Les solutions Oodrive sont qualifiées SecNumCloud et répondent aux critères de cybersécurité les plus stricts définis par l’ANSSI. Les offres Oodrive sont conformes à la directive NIS 2. En utilisant les solutions souveraines Oodrive, les organisations bénéficient des meilleures pratiques de sécurité et restent conformes à la directive NIS 2.
Les garanties de sécurité offertes par les solutions Oodrive
Les solutions Oodrive répondent d’ores et déjà à 10 grandes obligations relatives à la gestion des risques formulées par la directive NIS 2.
Sécurisation de la chaîne d’approvisionnement
En utilisant les solutions souveraines d’Oodrive, nos clients, qu’ils soient Entités Essentielles ou Importantes, échangent en toute sécurité en interne et en externe avec leurs partenaires, fournisseurs et sous-traitants. Oodrive garantit un niveau inégalé de protection et de confidentialité des données.
Sécurité de l’acquisition, du développement et de la maintenance des systèmes d’information.
Oodrive choisit et gère de manière rigoureuse les tiers et sous-traitants avec lesquels elle travaille :
- Identification des tiers (prestataires et partenaires), sécurité dans les accords conclus, clauses d’audit
- Gestion des changements apportés dans les services des tiers et engagements de confidentialité
- Réalisation d’analyses de vulnérabilités, pour identifier et corriger les failles de sécurité
Politiques relatives à l’analyse des risques et à la sécurité des SI
- Politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information : Oodrive répond à l’ensemble de ces exigences via la norme ISO 270001 et la qualification SecNumCloud.
Gestion des incidents (investigation, réponse, signalement)
- Responsabilités et respect de procédures
- Appréciation des événements liés à la sécurité de l’information
- Réponse aux incidents, recueil de preuves, signalements aux autorités et aux clients
Oodrive s’appuie sur un système SIEM, utilisé par le SOC pour une détection efficace, une réponse rapide et une gestion proactive des incidents de sécurité.
Continuité des activités (sauvegardes, PCA / PRA, Gestion de crises)
- Mise en œuvre de la continuité d’activité par la disponibilité des moyens de traitement de l’information :
- Redondance des équipements dans plusieurs data centers localisés sur le territoire français et synchronisation des données en temps réelPolitique de sauvegarde des différents éléments (données, services)PRA pour les environnements Cloud Privés
- Cellules de gestion de crises
Cryptographie, chiffrement, authentification à plusieurs facteurs
- Politiques et procédures relatives à l’utilisation de la cryptographie et/ou du chiffrement
- Utilisation de solutions d’authentification à plusieurs facteurs : Oodrive propose des solutions à reposant sur l’authentification à deux facteurs.
Sécurité des RH et Formations en cyber sécurité
- Sécurité des ressources humaines, sélection rigoureuse des candidats, politiques de contrôle d’accès et gestion des actifs
- Cyberhygiène et formation à la cybersécurité (charte informatique, Politique de Sécurité des Systèmes d’information (PSSI))