Un nouveau cadre pour renforcer la cybersécurité et la résilience à l'échelle de l'Union Européenne

Directive NIS 2

Façades d'immeubles
  • Publication
  • 13 févr. 2024

Le 16 janvier 2023 est entrée en vigueur la directive (UE) 2022/2555 du parlement Européen et du Conseil Européen, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, connue également sous le nom de Directive NIS 2 « Network and Information Security ».

 

Cette nouvelle directive répond à l'évolution rapide des menaces cybernétiques en renforçant la gestion des risques dans un paysage numérique en constante mutation. En élargissant les attentes et le champ d'application, cette directive anticipe les nouvelles formes d'attaques. Elle marque ainsi un changement de paradigme, passant d'une approche réactive à une stratégie proactive et engageant une collaboration étendue pour assurer la résilience des infrastructures critiques.

La Directive NIS 2 élargit considérablement le champ d'application de la Directive NIS de 2016 transposée en France en 2018. Elle s'adresse à un éventail plus large d'industries pour étendre et renforcer les exigences en matière de cybersécurité dans l’UE

Ceci inclut la maîtrise des risques liés au tiers, la rationalisation des obligations de signalement et l'introduction d’exigences strictes en matière de mise en application. En d'autres termes, la directive NIS 2 impose à un grand nombre d'organisations de mettre en place un cadre complet de gestion des risques, dans le but d'accroître le niveau global de résilience en matière de cybersécurité au sein de l'UE.

La directive NIS2 devra être transposée par chaque état membre de l’UE en droit national, au plus tard en octobre 2024. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l'autorité nationale en matière de cybersécurité et de cyberdéfense, assurera ensuite en tant que régulateur le respect de la loi nationale, en ayant recours, si nécessaire, à des sanctions administratives sévères et à des mesures correctives.

Video

[Parlons Cyber] Episode 4 : La directive NIS 2

Dans ce quatrième épisode, retrouvez Bichr Chenguiti, Directeur Cybersécurité, pour explorer les implications de la directive européenne NIS 2 et son impact sur plus de 18 secteurs d'activité en France.

0:49
More tools
  • Transcript
  • Plein Ecran
  • Partager
  • Closed captions

Playback of this video is not currently available

Transcript

Qui sera concerné par la directive NIS 2 ?

La Directive NIS 2 apporte en premier lieu une modification significative à son champ d'application, le rendant nettement plus étendu que celui de son prédécesseur. 

Désormais, la directive englobe un spectre élargi touchant près de 600 types d'entités différentes, regroupant plus de 10000 entités allant des Entreprises de Taille Intermédiaire (ETI) aux groupes du CAC40, réparties au sein de 18 secteurs d'activité distincts. 

Ces secteurs, définis dans la directive, sont stratifiés en deux catégories principales : les secteurs hautement critiques et les secteurs critiques (pour plus de détails, veuillez consulter l'encadré).

En fonction de ces secteurs, les entités seront désormais considérées en tant que entités importantes (EI) ou entités essentielles (EE). Cette distinction marque une évolution par rapport à la directive NIS originale, qui s'appliquait aux "Opérateurs de Services Essentiels" (OSE) et aux "Fournisseurs de Services Numériques" (FSN).

Vous n'êtes pas sûr que la Directive NIS 2 s'applique à votre organisation ?

Faites le test en moins d'une minute grâce à notre diagnostic en ligne

Vous pouvez également déterminer si votre entité est assujettie à la directive NIS 2 et à quelle catégorie elle appartient sur le site de l'ANSSI.

Quelles interactions avec les autres législations ?

Lorsque des lois sectorielles particulières, telles que le Digital Operational Resilience Act (DORA), exigent que les entités essentielles ou importantes sous le coup de la Directive NIS 2 mettent en place des mesures de gestion des risques en cybersécurité ou signalent des incidents majeurs, la Directive NIS 2 ne s'appliquera pas à ces entités si les exigences sectorielles sont au moins aussi contraignantes que celles énoncées dans la Directive NIS 2.

Toutefois, si les lois sectorielles ne couvrent pas l'ensemble des entités d'un secteur spécifique qui relèvent du champ d'application de la Directive NIS 2, les dispositions pertinentes de la NIS 2 continueront à s'appliquer aux entités non visées par la législation sectorielle.

Quels sont les principaux changements apportés par la directive NIS 2 ?

Bien que le processus de transposition nationale soit encore en cours d’élaboration, la Directive NIS 2 met déjà clairement en avant trois piliers majeurs dans lesquels les organisations devront intensifier leurs efforts pour garantir leur conformité.

Sanctions pénales à l’encontre des membres de direction des entités essentielles

L’autorité nationale compétente est habilitée, en cas d’infraction, à : 

  • Suspendre temporairement la certification ou l'autorisation d'une entité essentielle,

  • Requérir une interdiction temporaire de l’exercice de fonctions de direction au niveau du directeur général ou du représentant légal.

De même, l'autorité compétente a le pouvoir discrétionnaire d'imposer des amendes considérables aux organisations qui ne respectent pas les lois de transposition nationales.

  • Entités essentielles : au moins jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial

  • Entités importantes : au moins jusqu'à 7 millions d'euros ou 1,4 % de leur chiffre d'affaires annuel mondial

Responsabilités de la direction

En vertu des dispositions de la norme NIS 2, les organes de direction des entités jugées essentielles ou importantes sont tenus d'approuver formellement les mesures de gestion des risques en matière de cybersécurité, de superviser rigoureusement leur mise en œuvre, et peuvent être tenus juridiquement responsables des infractions commises par leur organisation.

Dans ce contexte, tous les membres des organes de direction devront également suivre régulièrement une formation afin d'acquérir des connaissances et des compétences suffisantes pour identifier les risques, évaluer les pratiques de gestion des risques en cybersécurité et évaluer leur impact sur les services fournis par leur organisation.

Signalement des incidents

Selon NIS 2, les entités essentielles et importantes sont tenues de signaler à l’ANSSI, sans délai injustifié, tout incident ayant un impact significatif sur la prestation de leurs services.

Afin de respecter ces obligations de signalement, les organisations doivent fournir les types de rapports suivants :

  • Alerte précoce : émise sans délai injustifié et au plus tard dans les 24 heures suivant la prise de conscience de l'incident, en précisant si l'événement est soupçonné d'être le résultat d'une activité illégale ou malveillante ou s'il pourrait avoir des répercussions transfrontalières ;

  • Notification de l'incident : émise sans délai injustifié et au plus tard dans les 72 heures suivant la prise de conscience de l'incident, en mettant à jour les informations fournies dans l'alerte précoce et en donnant une évaluation préliminaire de la gravité et des effets de l'incident ;

  • Rapport intermédiaire : émis sur demande de l’ANSSI, mettant en évidence les mises à jour pertinentes de la gestion des incidents et des crises ;

  • Rapport final : doit être soumis au plus tard un mois après la notification de l'incident. Il doit contenir une description détaillée de l'incident, y compris sa cause profonde, les stratégies d'atténuation adoptées et tout impact transfrontalier.

Cadre de surveillance

Comparé à son prédécesseur, NIS 2 met en place un cadre de mise en application rigoureux visant à garantir un niveau de conformité plus élevé.

Tout d'abord, l’ANSSI pourra s'appuyer sur un cadre de mise en application et d'investigation robuste, dont les limites dépendent de la classification de votre organisation.

  • Entités essentielles : soumises à un régime de surveillance complet ex ante et ex post, dans lequel l’ANSSI a la possibilité de mener des perquisitions aléatoires, de réaliser des audits de sécurité (ad-hoc) et de demander certaines informations et preuves de conformité.

  • Entités importantes : soumises à un régime de surveillance plus léger ex post, applicable en cas de preuve, indication ou information considérée par l’ANSSI comme suggérant des infractions potentielles à la directive.

En vertu de la NIS 2, les organisations sont tenues d'adopter une approche proactive plutôt que réactive en matière de gestion des risques, en introduisant des politiques de sécurité de l'information solides, y compris pour les périmètres spécifiques tels que la cybersécurité OT (Operational Technology). Ce politiques visent à garantir une analyse systématique et approfondie des risques, une taxonomie homogène, une cartographie des risques prenant pleinement en compte les spécificités locales, ainsi qu’un processus de gestion des risques harmonisé.

En outre, ces politiques devraient être conçues sur la base d'une approche tous-risques, proportionnelle au risque, à la taille, au coût, à l'impact et à la gravité des incidents auxquels les organisations individuelles sont confrontées. En tenant compte de ce principe de proportionnalité, on s'attend à ce que les organisations mettent en œuvre des mesures de cybersécurité reconnues par l'industrie et à la pointe de la technologie, notamment dans les domaines suivants :

Prévention, détection et réponse aux incidents

En vertu de la NIS 2, les entités essentielles et importantes doivent disposer d'un cadre de gestion des incidents (Incident Management Framework) robuste, régulièrement testé et communiqué à toutes les parties concernées. De plus, la nouvelle directive exige que les organisations mettent en place des procédures claires pour prévenir les attaques, enquêter sur les causes profondes et adopter des mesures d'atténuation.

Continuité des activités et gestion de crise

En vertu de la NIS 2, les entités essentielles et importantes doivent veiller à la continuité de leurs opérations en cas d'incident majeur (en matière de cybersécurité). Par conséquent, les organisations doivent mettre en place un cadre de résilience complet, englobant la continuité des activités, la reprise après sinistre et la gestion de crise, afin de minimiser les perturbations.

Maîtrise des risques liés aux tiers

À mesure que la sécurité de la chaîne d'approvisionnement numérique devient de plus en plus importante, NIS 2 exige des entités essentielles et importantes qu'elles s'engagent dans la gestion des risques liés aux tiers (Third Party Risk Management - TPRM). S'assurer du TPRM dans l'ensemble de leurs chaînes de valeur numérique représentera un défi de taille pour les organisations, et la mise en place d'un cadre de résilience de la chaîne d'approvisionnement complet pourrait être justifiée.

Directive NIS 2 : comment s’y préparer ?

Étapes clés pour vous préparer à la directive NIS2

Forts de notre expérience aux côtés d'organisations dans toute l'Union européenne, nous vous recommandons les étapes suivantes :

  1. Évaluer si la directive NIS2 s'appliquera à votre cas.

  2. Identifier les manquements par rapport aux exigences de la directive.

  3. Déterminer les mesures à prendre pour respecter les obligations de gestion.

  4. Définir un cadre de cybersécurité solide, englobant des mesures à la fois organisationnelles et techniques.

  5. Mettre en place ces mesures à la fois du point de vue organisationnel et technique au sein de votre organisation.

  6. Concevoir et implémenter des mécanismes de surveillance pour vérifier l'efficacité de ces mesures en continu.

Directive NIS 2 : comment s’y préparer ?

La directive (UE) 2022/2555, connue sous le nom de Directive NIS 2, vise à renforcer la cybersécurité dans l'Union Européenne. En tant qu'acteur du secteur, votre organisation doit se conformer à ces nouvelles exigences. Ce livre blanc vous aidera à comprendre les enjeux et défis de la directive NIS 2, son champ d'application, le régime de sanctions et son impact sur les différents sous-secteurs. Ne manquez pas ce guide essentiel pour vous conformer à cette réglementation.
Télécharger le livre blanc

Solution

Mise en conformité à la directive NIS2

Pourquoi faire appel à PwC ?

Afin d’apporter une approche globale et coordonnée, PwC France et Maghreb a mis en place une équipe dédiée NIS2 composée d’experts pluridisciplinaires habitués à collaborer ensemble :

  • Des équipes expérimentées dans la gestion des questions réglementaires, y compris la directive NIS 1, et ont l'habitude d'accompagner nos clients dans leurs démarches de conformité réglementaire, notamment pour des sujets tels que la Loi de Programmation Militaire (LPM), SWIFT, DORA, et bien d'autres.

  • Des experts réglementaires et juridiques : ils vous accompagnent tout au long du projet pour vous aider à décrypter les exigences, leur périmètre d’application et les responsabilités qui en découlent. Nos experts vous aident à prendre en compte les aspects juridiques liés à vos enjeux de conformité NIS 2, notamment lors de la revue des contrats avec les prestataires de services

  • En décembre 2023, PwC est le seul cabinet des BIG 4 à être qualifié PASSI, PASSI LPM, et PRIS par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les équipes vous accompagnent de la stratégie à l'exécution, elles ont construit leur légitimité sur une expertise approfondie, notamment technique.

Managed Cyber Risk (MCR)

Nous pouvons vous conseiller pour définir votre niveau de conformité actuel NIS2. Notre outil Managed Cyber Risk (MCR) permet de rapidement mettre en place un mécanisme pour mesurer et signaler les risques cybernétiques, évaluer les progrès réalisés dans leur réduction et identifier les priorités en matière de remédiation. Il est conçu de manière pragmatique, se concentrant uniquement sur les menaces et capacités essentielles, et peut s'appuyer sur des évaluations qualitatives périodiques si les données opérationnelles ne sont pas disponibles.

Threat Watch

Threat Watch est la plateforme de veille stratégique et de surveillance qui vous aide à anticiper les menaces pouvant impacter votre entreprise. Elle vous permet d'avoir toujours une longueur d’avance sur les risques cyber, mais aussi sur les autres, grâce à une approche prospective unique.

Nos experts NIS 2 sont connectés avec les experts du réseau PwC pour partager leurs expériences et connaissances des exigences et des meilleures pratiques en matière de résilience opérationnelle numérique au niveau européen et international.

 

Suivez-nous !

Contactez-nous

David Luponis

David Luponis

Associé, Digital Risks Services, PwC France et Maghreb

Bichr Chenguiti

Bichr Chenguiti

Directeur Cyber Intelligence, PwC France et Maghreb

Masquer