.svg)
Publiée dans le Journal Officiel de l’Union Européenne le 27 décembre 2022, la directive NIS2 vient remplacer la directive NIS1 qui avait pour objectif d’imposer des obligations en matière de sécurité des systèmes d’informations pour certaines entités de différents secteurs d’activité, en raison du caractère particulièrement sensible.
Cette nouvelle publication s’inscrit dans la stratégie européenne de renforcement et d’harmonisation de la cybersécurité sur le territoire de l’Union Européenne. Dans cette stratégie de sécurisation des activités, nous retrouvons un corpus réglementaire composé notamment du règlement DORA (finance numérique), du règlement sur la cyber résilience, du règlement sur l’IA, et d’autres types de réglementations telles que le Digital Market Act ou encore le Data Governance Act.
La spécificité de NIS2 réside dans son champ s’application qui est délibérément large puisqu’il concerne un nombre important d’acteurs. Dans l’attente de sa transposition en droit national, Avangarde-Consulting se prépare à auditer les entreprises qui sont concernées par ces exigences.
C’est pourquoi nous vous proposons un tour d’horizon du contenu du texte réglementaire pour ensuite vous présenter la manière dont Avangarde-Consulting vous accompagne pour assurer votre conformité.
Que prévoit le texte ? Champ d’application
Par rapport à la directive NIS 1, NIS 2 élargit son périmètre d’application, incluant 18 secteurs d’activités et différents types d’entités privées ou publiques. Ces secteurs d’activités sont répertoriés dans l’Annexe I et II de la directive NIS 2 et seront déclinées par l’ANSSI dans la transposition nationale. Aussi, selon la directive, les entités soumises à NIS 2 sont classées en deux catégories : les entités essentielles et les entités importantes. Cette classification s’effectue entre autres via des critères tels que le secteur d’activité, le nombre d’employés et le chiffre d’affaires. Ainsi des entreprises de toutes tailles allant de la PME jusqu’au grand groupe industriel peuvent entrer dans le champ d’application de la directive. En France, il est estimé que le nombre d’entités régulées passera de 300 avec NIS 1 à 10 000 avec NIS 2.
Concernant le périmètre du système d’information couvert par la directive, les entités soumises à NIS 2 devront identifier les systèmes d’information et les réseaux participants aux activités ou services considérés comme critiques (Annexe I et II). Cette identification doit se faire dans le cadre d’une démarche générale d’analyse des risques, à l’instar de NIS 1.
Obligations en termes de mesures de sécurité
Sans en donner le détail, la directive NIS 2 énonce plusieurs mesures de sécurité que les entités importantes et essentielles devront appliquer afin de sécuriser leur système d’information. Ces mesures comprennent notamment la mise en place de politiques de sécurité du système d’information, la gestion des incidents, l’élaboration de plan de continuité de l’activité et des aspects liés à la sécurité des ressources humaines ou des relations clients-fournisseurs.
Par ailleurs, la directive précise que ces mesures doivent être proportionnées en fonction du degré d’exposition aux risques de l’entité, de sa taille et de la probabilité de survenance d’incident. L’objectifs étant de garantir un niveau de sécurité adapté aux structures. Dans cette démarche, la directive préconise de tenir compte des normes et standards internationaux (exemple : ISO 27001) pour mettre en place les mesures de sécurité.
Enfin, la directive NIS 2 renforce l’implication du DPO (Délégué à la Protection des Données) dans la gestion de la cybersécurité. En particulier, l’article 35 de la directive NIS 2 prévoit une étroite collaboration entre les DPO et les RSSI (Responsable de Sécurité des Systèmes d’Information) lors d’incidents cyber. Cette coopération renforcée garantit une meilleure protection des données et une réponse plus efficace aux incidents de sécurité.
Contrôle des obligations
Obligation d’information
Les entreprises soumises à la réglementation ont une obligation de notification des incidents de sécurité. Une première alerte (dite « alerte précoce ») sera obligatoire auprès de l’ANSSI dans les 24 heures suivant la survenance de l’incidence, puis une deuxième dans les 72 heures (« notification d’incident ») permettant de compléter la première alerte si l’incident est bien confirmé. En plus de ces déclarations, des rapports supplémentaires pourront être transmis pour tenir informée l’ANSSI des conséquences à moyen ou long terme.
Ces alertes se feront en complément de la notification de violation de données prévue à l’article 33 du RGPD si l’incident entraîne des conséquences sur des données personnelles.
Les notifications à réaliser en cas d’incident suivent la chronologie suivante :
.png?width=1325&height=281&name=MicrosoftTeams-image%20(32).png)
Contrôles et sanctions
L’ANSSI a déjà communiqué sur le sujet : elle aura pour rôle de veiller à la bonne application de la directive en effectuant des contrôles sur les entités concernées. Les modalités de contrôles seront donc précisées par la suite, après la transposition du texte en droit français.
Le point essentiel de la réglementation est le renforcement des sanctions en cas de non-respect des obligations. Ces sanctions se basent désormais sur des amendes pouvant être calculées selon le chiffre d’affaires mondial de l’entreprise. Sur ce point, NIS2 s’inspire du RGPD. Les sanctions devraient suivre le modèle suivant :
- Les entités essentielles sont soumises à des amendes administratives d’un montant pouvant s’élever jusqu’à 10 000 000 EUR ou 2% du chiffre d’affaires total annuel de l’entité (le montant le plus important étant choisi) ;
- Les entités importantes sont soumises à des amendes administratives d’un montant s’élever jusqu’à 7 000 000 EUR ou 1,4% du chiffre d’affaires total annuel (le montant le plus important étant choisi).
Le terme « jusqu’à » laisse ainsi une certaine liberté aux états membres concernant le niveau des sanctions.
Pour les entités essentielles, les autorités pourront prononcer, en plus, les sanctions suivantes en fonction de la gravité des violations :
- Suspension de certifications ;
- Interdiction temporaire d’exercice de certaines fonctions.
L’accompagnement d’Avangarde - Consulting
Le Cabinet Avangarde Consulting accompagne ses clients dans leur démarche de mise en conformité avec la directive NIS2, qui renforce les obligations en matière de cybersécurité pour les opérateurs de services essentiels.
Que vous soyez déjà soumis à NIS1, ou que vous découvriez NIS2, le Cabinet vous propose des solutions sur mesure pour répondre à vos besoins.
Organisations soumises à l'ancienne directive NIS1 :
- Bilan d'écart et anticipation de la mise en conformité : Le Cabinet vous aide à identifier les écarts entre votre situation actuelle et les exigences de NIS2, et à établir une feuille de route pour une mise en conformité anticipée.
Organisations susceptibles d'être identifiées comme soumises à la directive NIS2 :
- Veille réglementaire et étude d'éligibilité
- Définition des périmètres et décryptage de la directive : Nous vous accompagnons dans le détourage précis des entités, activités métiers et systèmes d'information concernés par NIS2, et vous aidons à comprendre les exigences complexes de la directive.
- Programme de conformité complet
Conclusion
La directive NIS2 fait partie des réglementations primordiales de la nouvelle stratégie européenne d’amélioration de la cybersécurité de l’ensemble des acteurs économiques établis sur le territoire de l’Union Européenne.
Il est donc important de préparer sa mise en conformité pour limiter au maximum les risques de sanctions. C’est pourquoi nous proposons un accompagnement adapté à votre projet.
Simon et Grégoire, consultants Privacy et Cybersécurité au sein du cabinet Avangarde Consulting
Contactez nous : contact@avangarde-consulting.com
