Directive n° 2 relative à la sécurité des réseaux et de l'information
Car le NIS1 ne semblait pas suffire à endiguer la vague de ransomware
La directive NIS 2 est la version actualisée de la directive européenne sur la cybersécurité, qui remplace la directive NIS initiale. Elle élargit considérablement le champ d'application des organisations tenues de prendre la cybersécurité au sérieux, allant des secteurs de l'énergie et des transports à ceux de la santé, des infrastructures numériques et même de la production alimentaire. Si votre organisation est essentielle ou importante pour la société, la directive NIS 2 vous concerne.
Les entités de taille moyenne et grande dans 18 secteurs critiques (annexes I et II). Les États membres peuvent également inclure des entités de plus petite taille si celles-ci sont jugées critiques. La directive distingue deux catégories : les entités essentielles (soumises à une surveillance plus stricte) et les entités importantes (soumises à une surveillance moins stricte, mais néanmoins obligatoire).
Directive européenne — chaque État membre la transpose dans son droit national, de sorte que sa mise en œuvre varie d'un pays à l'autre. Les obligations fondamentales sont toutefois les mêmes dans toute l'Union européenne.
18 octobre 2024 (date limite de transposition pour les États membres : 17 octobre 2024)
Atteindre un niveau élevé et uniforme de cybersécurité dans toute l'Union européenne. La directive NIS initiale présentait des lacunes : chaque pays l'a mise en œuvre à sa manière, ce qui a donné lieu à un véritable patchwork en matière de cybersécurité. La directive NIS 2 vise à transformer ce patchwork en une couverture plus homogène.
Entité essentielle
Vous exercez vos activités dans un secteur hautement critique (annexe I) : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC (B2B), administration publique ou secteur spatial. Votre organisation compte probablement plus de 250 employés ou réalise un chiffre d'affaires annuel supérieur à 50 millions d'euros. Si vos services venaient à être interrompus, cela se remarquerait immédiatement.
Vos obligations
- Mettre en œuvre des mesures de gestion des risques liés à la cybersécurité dans au moins dix domaines (art. 21) — de la gestion des incidents à la sécurité de la chaîne d'approvisionnement
- Signalez les incidents majeurs à votre CSIRT national ou à l'autorité compétente : alerte précoce dans les 24 heures, notification complète dans les 72 heures, rapport final dans un délai d'un mois (art. 23)
- Veiller à ce que les membres de l'organe de direction suivent une formation en cybersécurité et approuvent les mesures de gestion des risques (art. 20) — oui, le conseil d'administration doit en avoir une bonne compréhension
- Mettre en œuvre des mesures de sécurité de la chaîne d'approvisionnement, notamment en évaluant vos fournisseurs essentiels (art. 21.2d)
- Recourir au chiffrement, à l'authentification multifactorielle et à des moyens de communication sécurisés lorsque cela est nécessaire (art. 21.2 h) à j))
- Gérer les plans de continuité des activités, y compris la sauvegarde et la reprise après sinistre (art. 21.2c)
- Procéder régulièrement à des évaluations et à des audits de sécurité (art. 21.2f)
- Enregistrez-vous auprès de votre autorité compétente nationale (art. 3)
Articles phares
Le délai de 24 heures pour l'alerte précoce n'est pas une plaisanterie. Préparez à l'avance un modèle de rapport d'incident et désignez une personne chargée de le remplir qui maîtrise la procédure. Entraînez-vous à suivre la procédure de signalement avant d'en avoir besoin : ce n'est pas au milieu d'une attaque par ransomware, à 3 heures du matin, qu'il faut commencer à se familiariser avec le portail du CSIRT.
Entité importante
Vous exercez vos activités dans un secteur critique (annexe II) : services postaux, gestion des déchets, industrie manufacturière, industrie chimique, agroalimentaire, recherche ou fournisseurs de services numériques (places de marché, moteurs de recherche, réseaux sociaux). Votre organisation compte plus de 50 salariés ou réalise un chiffre d'affaires annuel supérieur à 10 millions d'euros. Votre faillite ne ferait peut-être pas la une des journaux, mais la société ressentirait le vide laissé par votre absence.
Vos obligations
- Mettre en œuvre les mêmes mesures de gestion des risques liés à la cybersécurité que les entités essentielles (art. 21) — les dix domaines s'appliquent de la même manière
- Respectez le même calendrier de notification des incidents : alerte précoce dans les 24 heures, notification dans les 72 heures, rapport final dans un délai d'un mois (art. 23)
- Veiller à la formation des instances dirigeantes et à l'approbation des mesures (art. 20)
- Effectuer une vérification préalable de la chaîne d'approvisionnement (art. 21.2d)
- Mettre en place des plans de continuité des activités et de gestion de crise (art. 21.2c)
- Enregistrez-vous auprès de votre autorité compétente nationale (art. 3)
Articles phares
Ne vous laissez pas tromper par le terme « important » : cela ne signifie pas que les exigences sont moins strictes. Les obligations sont identiques à celles des entités essentielles ; la différence réside dans l'intensité de la surveillance et les sanctions. Il y a donc tout de même de nombreuses raisons de prendre cela au sérieux.
Responsable de la cybersécurité / de la sécurité de l'information
C'est à vous qu'il revient de mettre en œuvre les exigences de la directive NIS2 dans la pratique. Que vous soyez RSSI, responsable de la sécurité informatique ou simplement « celui qui a tiré la courte paille », c'est vous qui devez traduire les exigences de la directive en mesures de sécurité concrètes, en politiques et en procédures de gestion des incidents.
Vos obligations
- Élaborer et maintenir le cadre de gestion des risques liés à la cybersécurité, conformément aux dix domaines définis à l'article 21
- Mettre en place des procédures de détection, d'intervention et de signalement des incidents respectant les délais de 24 heures, 72 heures et 30 jours
- Coordonner les évaluations de la sécurité de la chaîne d'approvisionnement pour les fournisseurs tiers essentiels
- Préparer et dispenser des formations en cybersécurité à l'intention de la direction et du personnel
- Réaliser régulièrement des évaluations des risques, des analyses de vulnérabilité et des tests d'intrusion
- Assurer la mise à jour et tester les plans de continuité des activités et de reprise après sinistre
- Mettre en place des mesures techniques : chiffrement, authentification multifactorielle (MFA), segmentation du réseau, contrôle d'accès
- Tout consigner — La surveillance NIS2 repose sur des preuves
Articles phares
Élaborez une matrice de conformité qui mette en correspondance chaque domaine visé par l'article 21 avec vos contrôles existants. Vous constaterez sans doute que vous respectez déjà 60 à 70 % des exigences de la directive NIS2 ; le défi consiste à documenter ces mesures, à combler les lacunes et à formaliser ce que vous faites actuellement « en quelque sorte ».
Comment Euregas peut vous aider
Outils disponibles
- Gestion des incidents — suivez les incidents grâce à des rappels automatiques des délais (24 h, 72 h, 30 jours)
- Mesures de gestion des risques (art. 21) — évaluation structurée couvrant l'ensemble des 10 domaines requis
- Évaluation des fournisseurs — Système de notation en 8 domaines pour évaluer le niveau de cybersécurité des tiers
Fonctionnalités assistées par l'IA
- Assistant de consultation (nis2_scope) — Évaluation guidée en 5 étapes pour déterminer si vous êtes une entité essentielle ou importante
- Recherche sémantique dans les articles et considérants de la directive NIS2
La gestion des incidents et l'évaluation des fournisseurs constituent des processus structurés manuels. Une assistance par IA est disponible via l'assistant de consultation pour la détermination du périmètre.
Tous les exemples sont fictifs et ne servent qu'à des fins d'illustration.