Directive NIS2 (partie 1) : Quelles sont les nouveautés de la directive NIS2 et à qui s'applique-t-elle ?

Frederik Mennes,

En 2016, l'Union européenne a introduit la directive sur la sécurité des réseaux et de l'information (NIS ou NIS1). Ses principaux objectifs étaient d'améliorer les capacités de cybersécurité des États membres, de renforcer la collaboration entre les autorités nationales de cybersécurité à travers l'Europe et d'intégrer la cybersécurité dans les organisations des secteurs industriels clés.

Le paysage des menaces étant en constante évolution, l'Union européenne a adopté la directive révisée sur la sécurité des réseaux et de l'information (NIS2) en janvier 2023 pour faire face aux changements et aux nouvelles vulnérabilités apparues depuis 2016.

Dans ce blog en deux parties, nous nous concentrons sur les mesures de cybersécurité que la nouvelle directive impose aux entreprises européennes, en particulier l'authentification multifactorielle pour le personnel. Dans la première partie, nous présentons une vue d'ensemble de la directive NIS2 et dans la deuxième partie, nous passons en revue les exigences.

Quelles sont les nouveautés de la directive NIS2 ?

La directive NIS2 a essentiellement les mêmes objectifs que la directive NIS, mais elle élargit et approfondit les exigences en matière de cybersécurité qui s'appliquent aux entreprises. Par exemple, la NIS2

  • Augmente le nombre de secteurs industriels qui doivent mettre en œuvre des mesures de cybersécurité
  • Renforce le rôle et la responsabilité de la direction de l'entreprise en matière de cybersécurité
  • Introduit de nouveaux délais pour la notification des incidents de sécurité importants
  • Met davantage l'accent sur les aspects liés à la sécurité des chaînes d'approvisionnement des entreprises ;
  • Impose des sanctions plus sévères en cas de non-respect des règles

À qui s'applique le NIS2 ?

D'un point de vue géographique, le NIS2 s'applique à l'ensemble de l'Espace économique européen, qui comprend les 27 États membres de l'Union européenne, ainsi que l'Islande, le Liechtenstein et la Norvège.

Une entreprise européenne est soumise au NIS2 si elle appartient à un secteur hautement critique ou à d'autres secteurs critiques, et si elle remplit certaines conditions de taille. Dans le cadre du NIS2, les annexes I et II définissent les secteurs de haute criticité et les autres secteurs critiques.

Secteurs à haute criticité :

  • Énergie (électricité, pétrole, gaz, chauffage et refroidissement urbains, hydrogène)
  • Transport (aérien, ferroviaire, fluvial et routier)
  • Santé (y compris les laboratoires et la recherche sur les produits pharmaceutiques et les dispositifs médicaux)
  • Espace
  • Eau potable, eaux usées (uniquement s'il s'agit de l'activité principale)
  • Administration publique
  • Infrastructure numérique (télécommunications, DNS, TLD, centres de données, services de confiance, services en nuage)
  • Infrastructure bancaire et financière
  • Gestion des services TIC dans un cadre interentreprises

Autres secteurs critiques :

  • Services postaux et de messagerie
  • Gestion des déchets
  • Fournisseurs de services numériques (moteurs de recherche, marchés en ligne, réseaux sociaux)
  • Produits chimiques (production et distribution)
  • Alimentation (production, transformation et distribution)
  • Recherche
  • Fabrication (en particulier, mais pas exclusivement, d'équipements médicaux, informatiques et de transport)

En ce qui concerne la taille, les entreprises entrent dans le champ d'application du NIS2 si elles répondent à la définition de grande ou moyenne entreprise telle qu'elle figure dans la recommandation de la Commission européenne concernant la définition des micro, petites et moyennes entreprises :

  • Une grande entité est une entreprise qui emploie au moins 250 personnes ou dont le chiffre d'affaires annuel est d'au moins 50 millions d'euros, ou dont le total du bilan annuel est d'au moins 43 millions d'euros.
  • Une entité de taille moyenne est définie comme une entreprise employant au moins 50 personnes ou ayant un chiffre d'affaires annuel (ou un total de bilan) d'au moins 10 millions d'euros, mais employant moins de 250 personnes et n'ayant pas un chiffre d'affaires annuel supérieur à 50 millions d'euros ou un total de bilan supérieur à 43 millions d'euros.

Les petites et microentreprises (moins de 50 employés et un chiffre d'affaires annuel ou un total de bilan annuel inférieur à 10 millions d'euros) sont exclues du champ d'application du NIS2, à moins qu'une exception ne s'applique.

En fonction du secteur d'activité et de la taille, le NIS2 classe les organisations en entités essentielles ou en entités importantes :

  • Lesentités essentielles sont de grandes entreprises qui font partie des secteurs de haute criticité
  • Lesentités importantes sont des entreprises de taille moyenne opérant dans les secteurs de haute criticité, ou des grandes ou moyennes entreprises dans d'autres secteurs critiques.
Taille de l'entitéNombre d'employésChiffre d'affaires (en millions d'euros)Bilan (millions d'euros)Secteurs de haute criticitéAutres secteurs critiques
Grandes entreprisesx ≥ 250y ≥ 50z ≥ 43Entités essentiellesEntités importantes
Moyenne50 ≥ x > 25010 ≥ y > 5010 ≥ z > 43Entités importantesEntités importantes
Petitx y z Hors du champ d'applicationHors du champ d'application

Il existe toutefois quelques exceptions à ces règles :

  • Dans certains secteurs, les entités sont désignées comme essentielles, quelle que soit leur taille. Il s'agit par exemple des fournisseurs de réseaux publics de communications électroniques, des fournisseurs de services de confiance qualifiés (par exemple, les émetteurs de certificats qualifiés, les services d'horodatage qualifiés), les registres de noms de domaine de premier niveau et les fournisseurs de services DNS.
  • Les autorités nationales peuvent également désigner des entités comme essentielles ou importantes indépendamment des règles susmentionnées. C'est le cas, par exemple, lorsqu'une interruption de la fourniture du service pourrait avoir des conséquences importantes pour la sécurité publique, la sûreté publique ou la santé publique.

La principale différence entre les entités essentielles et importantes réside dans la rigueur de la surveillance et des sanctions en cas de non-respect des règles. Les entités essentielles feront l'objet d'une surveillance proactive afin de vérifier le respect des exigences du NIS2. En revanche, les entités importantes sont soumises à une surveillance a posteriori, c'est-à-dire qu'elles font l'objet d'une surveillance réactive. Les autorités peuvent imposer des sanctions si elles concluent qu'une entité n'est pas conforme.

Mesures générales de cybersécurité dans le cadre du NIS2

La NIS2 exige des entreprises qu'elles investissent dans des mesures de cybersécurité dans les domaines suivants :

  • Gouvernance de la sécurité : La direction des entités du champ de l'enquête doit être activement impliquée dans la gestion de la cybersécurité de leur entreprise et assumer la responsabilité de la maturité de leur cybersécurité. La direction doit veiller à ce que des évaluations des risques soient effectuées, approuver les mesures de gestion des risques de cybersécurité et superviser la mise en œuvre de ces mesures. Pour s'assurer que la direction est suffisamment compétente, elle doit suivre une formation sur les risques de cybersécurité et les pratiques de gestion, et dispenser une formation à ses employés.
  • Signalement des incidents : Tout incident ayant un impact significatif doit être notifié par les entités essentielles et importantes sans délai excessif au CISRT ou à l'autorité compétente de leur État membre. Dans les 24 heures suivant la découverte d'un incident de cybersécurité, une alerte rapide doit être communiquée. Après 72 heures, les résultats d'une évaluation initiale doivent être communiqués, en soulignant la gravité et l'impact de l'incident, ainsi que les indicateurs de compromission. À la demande du CSIRT, les entités peuvent être tenues de fournir un rapport intermédiaire. Au bout d'un mois, un rapport final doit être fourni.
  • Mesures de gestion des risques liés à la cybersécurité : Les organisations doivent prendre des mesures de sécurité pour gérer les cyber-risques auxquels sont exposés leurs systèmes TIC. Ces mesures s'appliquent à
    • Les politiques d'analyse des risques et de sécurité des systèmes d'information
    • La gestion des incidents
    • La continuité des activités
    • La sécurité de la chaîne d'approvisionnement
    • La sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information
    • Politiques et procédures d'évaluation de l'efficacité de la gestion des risques liés à la cybersécurité
    • Pratiques de base en matière de cyberhygiène et formation à la cybersécurité
    • Politiques et procédures concernant l'utilisation de la cryptographie et du chiffrement
    • La sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs
    • MFA ou authentification continue

Conclusion

Découvrez comment protéger votre personnel et protéger les données et les applications contre les attaques grâce à notre dernier authentificateur FIDO avec scan d'empreintes digitales.

NIS2 authentication requirements
Blog

NIS2​ Directive (part 2)​: Strong authentication requirements for employees in critical industry sectors in Europe

Now that you know whether your organization is subject to NIS2, we invite you to read part two to learn about the requirements for strong authentication for your employees.

Read now

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.