Directive NIS 2 : renforcer la sécurité IT en Europe

La directive NIS 2 a été publiée : remplaçante de la directive de 2016, elle a pour objectif de renforcer la résilience des infrastructures IT de l’UE face aux attaques informatiques. La liste des secteurs concernés est élargie. Conséquence : le nombre d’entreprises potentiellement impactées augmente considérablement. Il est urgent, pour chaque entreprise, de se poser la question : « suis-je concerné ? » et, dans l’affirmative, de préparer un plan d’action.

La directive a reçu son nom officiel : Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

Elle a été publiée au Journal Officiel du 27 décembre 2022.

Elle doit être transposée pour le 17 octobre 2024 au plus tard dans chaque État membre.

La directive NIS 1

La première directive en la matière, dite NIS 1 était orienté autour de 3 axes principaux :

1. Afin d’atteindre un niveau élevé de préparation des États membres, la directive NIS exige que les États membres adoptent une stratégie nationale sur la sécurité des réseaux et des systèmes d’information. Les États membres sont également tenus de désigner des équipes nationales de réponse aux incidents de sécurité informatique (CSIRT), qui sont responsables du traitement des risques et des incidents, une autorité nationale compétente et un point de contact unique (SPOC). Le SPOC doit exercer une fonction de liaison pour assurer la coopération transfrontalière entre les autorités de l’État membre, les autorités compétentes des autres États membres et le groupe de coopération NIS.

2. La directive NIS établit le groupe de coopération NIS pour soutenir et faciliter la coopération stratégique et l’échange d’informations entre les États membres, et le réseau CSIRT qui favorise une coopération opérationnelle rapide et efficace entre les CSIRT nationaux.

3. La directive NIS veille à ce que des mesures de cybersécurité soient prises dans sept secteurs, qui sont vitaux pour l’économie et la société et qui dépendent fortement des TIC, tels que l’énergie, les transports, les infrastructures bancaires, les infrastructures des marchés financiers, l’eau potable, les soins de santé et les infrastructures numériques.

Plus de secteurs concernés

La liste des secteurs concernés augmente considérablement avec une distinction :

  • Les secteurs « hautement critiques » sont identifiés dans l’annexe 1 : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administrations publiques, espace.
  • Les « autres secteurs critiques » sont identifiés dans l’annexe 2 : services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution des denrées alimentaires, fabrication, fournisseurs numériques, recherche.

On le voit, la liste est longue.

Selon certaines estimations, le nombre d’entreprises concernées a été multiplié par 10 par rapport à la première directive.

Corollaire de cette nouvelle approche sectorielle : la notion « d’opérateur de services essentiels », utilisée dans la précédente directive, disparaît ; l’objectif est d’éviter que les états membres déterminent eux-mêmes les entités considérées comme essentielles, avec comme but ultime une harmonisation aussi complète que possible des secteurs concernés.

Les entités « essentielles » et « importantes »

Au sein des secteurs identifiés ci-dessus, les obligations sont à géométrie variable en fonction de la taille de l’entité concernée :

  • Sont des entités « essentielles », celles qui emploient plus de 50 personnes et ont un chiffre d’affaires supérieur à 10 millions d’euros ;
  • les entités qui n’atteignent pas ces seuils mais font partie des secteurs identifiés ci-dessus, sont dites « importantes ».

L’administration et le secteur public répondent à des règles spécifiques.

Une approche holistique

La directive demande aux entités concernées une approche holistique : les risques doivent être envisagés de façon globale.

Par exemple, les entreprises vont devoir intégrer dans leur réflexion la prise en compte des risques associés à la chaîne de valeur (sous-traitants, fournisseurs, etc.). La logique est simple à comprendre : si un fabricant de vaccin fonctionne impeccablement mais manque de fioles en verre pour livrer le produit en raison d’une attaque informatique chez son fournisseur de fioles, c’est toute la production du vaccin qui se trouve arrêtée.

Un management impliqué et … responsable

Les dirigeants des entités essentielles et importantes sont impliqués davantage, et rendus responsables dans certains cas.

Tel est l’esprit de l’article 20, intitulé « gouvernance », selon lequel :

  • Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à la directive, supervisent sa mise en œuvre et puissent être tenus responsables de la violation de leurs obligations par ces entités.
  • Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.

Des obligations lourdes

Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.

Le message est important : il ne suffit pas d’adopter des mesures techniques ; elles doivent également être opérationnelles et organisationnelles. Il est donc déconseillé de déléguer la problématique au (seul) service IT.

Ces mesures sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents, et elles comprennent au moins:

  1. les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;
  2. la gestion des incidents;
  3. la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
  4. la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;
  5. la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
  6. des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
  7. les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
  8. des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
  9. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;
  10. l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Objectif de ces mesures : garantir, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en œuvre.

Lors de l’évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

Une coordination accrue

La responsabilité du système repose sur 3 types d’intervenants :

  1. Les « centres de réponse aux incidents de sécurité informatique » (Computer Security Incident Response Teams – CSIRTs). Il s’agit d’un centre établi par (et dans) chaque État membre, conformément la directive NIS 1, chargé de répondre aux incidents de sécurité.
  2. Le Groupe de Coopération NIS, qui rédige les lignes directrices à l’intention des autorités nationales et coordonne leur action ;
  3. EU-CyCLONe (European cyber crises liaison organisation network), nouvelle instance en charge de la réponse aux incidents de grande échelle.

L’interaction entre ces 3 intervenants devrait permettre d’assurer une coopération transfrontalière accrue.

Plus d’infos ?

La directive est disponible en annexe.

Source : Droit & Technologies

Mots clés

Articles recommandés

La nouvelle application informatique AES (Automated Export System) est en production.

Data Act : Quel impact pour les entreprises wallonnes ?

Litiges informatiques : pourquoi le libellé de la mission est-il si important?