Dans le contexte du cybermois 2024, ON-X propose cet article rédigé par notre consultant sécurité des SI Mario ROUHANA sur une actualité qui touche une grande partie des organisations (TPE/PME, TI et collectivités territoriales) la publication de la Directives NIS2 en cours de transposition en loi française.
NIS 2 – Sécurité des réseaux et des SI
Par Mario Rouhana
11 septembre, 2024
8 ans après l’adoption de la directive européenne NIS (Network and Information Security) par le Parlement européen, une nouvelle version de la directive a été publiée fin 2022 pour remédier aux difficultés rencontrées par les États membres suite à la transposition de la première version de la Directive, et améliorer le niveau de cybersécurité global au sein de l’Union européenne.
Petit historique :
Rappelons que la première version de la directive, adoptée en 2016, avait introduit des objectifs de sécurité essentiels pour réduire les risques pesant sur la sécurité de l’information des entités. Tous les secteurs n’étaient pas concernés et certaines mesures importantes n’étaient pas inclues dans les exigences, telles que la résilience, le chiffrement, etc.
Si des pays, comme la France, avaient réussis à transposer rapidement la directive, d’autres Etats ont connu des retards et des difficultés dans la mise en application. Aucun accompagnement, ou même sanction, n’a été lancé pour ces retardataires. Ainsi cette mise en oeuvre lacunaire a entraîné une fragmentation des capacités de cybersécurité à travers l’UE.
Dès lors que les menaces sont toujours plus fortes, et en activité constante, la directive NIS ne semblait plus suffire.
L’homogénéisation de la cyber à l’échelle de l’UE :
La directive NIS2 vise donc à corriger ces carences qui ont été mises en lumière après la précédente expérience subie.
Ainsi, et avec l’objectif réitéré de parvenir à un niveau élevé et homogène de cybersécurité, et de cyberrésilience en Europe, NIS2 va élargir les obligations sur les entités et proposer des pratiques européennes communes notamment sur les sujets suivants :
- Notifications d’incidents,
- Supervision, et
- Partage d’informations.
La directive NIS 2 constitue une opportunité unique pour des milliers d’entités publiques et privées, d’accroître leur maturité organisationnelle et technique et adopter une approche basée sur le risque cyber.
Trois des changements notables de NIS2 portent sur l’élargissement des secteurs concernés par la Directive, distribués sur 2 annexes, la disparition des OSE au profit des Entités essentielles et des entités importantes, en fonction d’un certain nombre de critères, et le renforcement du régime de sanctions qui s’appliquera aux entités régulées. Sur ce dernier volet, on note deux types de sanctions : les sanctions financières et les sanctions organisationnelles/judiciaires.
Le mécanisme prévu, sur la partie financière, se fondera sur un pourcentage du chiffre d’affaires mondial de l’entité concernée, à l’image de ce qui est prévu dans le Règlement général sur la protection des données (RGPD) : 2 % pour les entités essentielles et 1,4 % pour les entités importantes.
L’interdiction temporaire d’exercer des fonctions de direction peut également être envisagée.
Cette notion de sanction est apportée en vue de responsabiliser les hauts dirigeants des organisations concernées.
Vous l’avez compris, un très grand nombre d’organisations sont potentiellement concernés et doivent se mettre en conformité.
Un référentiel d’exigences s’appuyant sur des « objectifs de sécurité » sera prochainement publié par l’ANSSI pour y parvenir. La manière d’atteindre ces objectifs pourra être adaptée aux risques, aux enjeux et aux spécificités d’un secteur d’activité, ou d’une entité.
Des liens, et kits d’outils, sont d’ores et déjà disponibles pour accompagner les curieux tels que :
- La page explicative de l’ANSSI sur NIS2
- La FAQ NIS2
- Un simulateur afin d’aider les organisations à se positionner sur la NIS2 : Mon entité est-elle concernée ?
L’ANSSI assure ainsi sont rôle d’accompagnateur, mais aura également un devoir de contrôleur potentiellement répressif. Le projet de loi de transposition, en attente d’être relu par le futur conseil des ministres, apportera son lot d’informations à ce sujet, mais Monsieur Strubel a d’ores et déjà annoncé en UECC de Hexatrust qu’une tolérance de trois années sur les contrôles sera possible. L’avenir nous l’assurera…
Conclusion
La NIS 2 est avant tout une opportunité pour accroître le niveau de cybersécurité au sein des entreprises européennes.
Dès aujourd’hui, ON-X vous recommande à très court terme d’initier 2 travaux majeurs :
- La construction de la cartographie de vos processus, des métiers ainsi que vos systèmes d’information.
- Compléter votre budget pour 2025 afin de tenir compte de votre mise en conformité NIS2.
Vous souhaitez évaluer votre maturité cyber ou être accompagné pour la mise en conformité avec la NIS2 ?