Démo gratuite Contactez-nous
Directive NIS2

Directive NIS2

Qu'est-ce que la directive NIS2 ?

La directive NIS2 est également appelée NIS2 Directive. NIS signifie Network and Information Security et NIS2 est le successeur de la directive de cybersécurité déjà adoptée au sein de l'UE (NIS1). NIS2 constitue, à de nombreux égards, une extension et une amélioration visant à renforcer la résilience numérique des organisations dans l'Union européenne. La directive européenne sera mise en œuvre en France sous la forme de la nouvelle loi sur la cybersécurité, en cours d'élaboration depuis janvier 2023. Dès que cette législation NIS2 sera prête, elle remplacera la loi actuelle sur la sécurité des réseaux et des systèmes d'information. Mais qu'est-ce que NIS2 exactement ? Nous l'expliquons dans cet article.

En quoi consiste la directive NIS2 ?

Avec la numérisation croissante et la collaboration entre entreprises et pays, notre société devient de plus en plus vulnérable aux menaces cyber. L'impact d'un seul piratage chez, par exemple, un énergéticien, une banque ou un aéroport peut déjà faire la une du journal télévisé, et cela vaut d'autant plus lorsque plusieurs organisations sont touchées simultanément par des problèmes informatiques. La directive NIS2 vise à protéger les organisations importantes ou même essentielles pour notre économie ou pour la société dans son ensemble. Avec NIS2, nous renforçons ensemble la sécurité aux Pays-Bas.

La législation NIS crée également des conditions de concurrence équitables au sein de l'UE. Auparavant, les pays appliquaient des directives et des mesures de sécurité différentes, ce qui entravait fortement la coopération entre pays et organisations. Avec l'introduction de la directive NIS2, nous établissons un niveau de sécurité cohérent dans les différents États membres afin de nous défendre comme un seul bloc. Nous avons constaté dans l'Analyse des tendances de la sécurité nationale 2024 que la menace émanant d'acteurs étatiques et d'organisations criminelles augmente, et ceci est l'une des mesures pour s'y préparer.

Contexte de NIS2

Face aux menaces actuelles, NIS1 était devenu trop limité. Le périmètre de la législation NIS2 est donc nettement plus large que celui de la directive initiale. Davantage de secteurs sont inclus et, dans les secteurs concernés, les organisations de taille moyenne et parfois même les plus petites sont souvent incluses. NIS2 impose également des exigences nettement plus strictes aux organisations concernées, notamment en matière de gestion des cyberrisques, de contrôle et de supervision, ainsi que de continuité d'activité. Nous décrivons ci-dessous les obligations NIS2 plus en détail.

À qui s'applique NIS2 ?

Première question : la législation NIS2 s'applique-t-elle à votre organisation ? La mise en œuvre de NIS2 vise les organisations qui, comme indiqué, sont importantes ou même essentielles au fonctionnement social et économique des pays. Les secteurs couverts par NIS2 sont strictement définis et constituent une extension importante par rapport à NIS1. Une distinction est faite entre « secteurs très critiques » et « autres secteurs critiques » :

  • Les secteurs NIS2 très critiques sont par exemple les entreprises d'énergie, le transport, les institutions financières, la santé, l'approvisionnement en eau, les infrastructures informatiques et les administrations publiques. En résumé, l'épine dorsale sur laquelle repose le pays dans son ensemble.

  • Les autres secteurs NIS2 critiques comprennent notamment les prestataires de services numériques, les services de messagerie, l'alimentation et l'industrie manufacturière. Des secteurs qui ne sont pas forcément des services d'infrastructure, mais qui restent cruciaux pour le bon fonctionnement du pays.

Outre la question du secteur d'activité, la taille est également pertinente. De manière générale, NIS2 s'applique aux grandes et moyennes entreprises et organisations :

  • Les grandes organisations comptent plus de 250 personnes employées. Ou un chiffre d'affaires annuel d'au moins 50 millions d'euros et un total de bilan de 43 millions d'euros.

  • Une organisation est de taille moyenne si elle compte au moins 50 employés. Ou si le chiffre d'affaires annuel et le total de bilan sont tous deux supérieurs à 10 millions d'euros.

Il existe toutefois des exceptions. Les microentreprises et petites entreprises ne relèvent en principe pas de NIS2, mais un ministère responsable d'un secteur donné peut néanmoins soumettre ces entreprises à NIS2 si elles sont cruciales pour l'économie ou la société néerlandaise. Indépendamment de leur taille, les administrations publiques, les fournisseurs de réseaux et services publics de communications électroniques, les prestataires de services de confiance, les registres de domaines de premier niveau, les prestataires DNS et les fournisseurs de services d'enregistrement de domaines relèvent toujours de NIS2.

Pour une organisation, il n'est donc pas toujours entièrement clair si elle entre dans le champ de NIS2. Le gouvernement a donc une autoévaluation. Ce test NIS2 vous aide à déterminer si votre organisation relève de la directive NIS2.

Entités essentielles ou importantes dans NIS2

Avec cette même autoévaluation, vous pouvez également déterminer si votre organisation est, dans le cadre de NIS2, une entité dite « essentielle » ou une « entité importante ». Cette distinction est surtout importante car elle détermine le régime de supervision applicable à votre organisation :

  • Dans NIS2, toutes les grandes organisations des secteurs très critiques sont classées comme entités essentielles. Il en va de même pour certaines catégories de fournisseurs d'infrastructures numériques, quelle que soit leur taille. Toutes les organisations gouvernementales sont également des entités essentielles.

  • Les autres organisations relevant de NIS2 sont classées comme entités importantes. Il s'agit le plus souvent d'organisations de taille moyenne dans les secteurs très critiques et de toutes les organisations des autres secteurs critiques.

Si vous vous perdez entre secteurs très critiques ou autres secteurs critiques, entités essentielles ou importantes, et en plus la distinction entre micro, petites, moyennes et grandes organisations, la checklist NIS2 mentionnée est votre premier point de départ. L'ANSSI — Agence Nationale de la Sécurité des Systèmes d'Information met également à disposition un site dans lequel toutes les catégories sont résumées de manière claire.

Obligations et supervision NIS2

Si une organisation relève de la directive NIS2, elle est automatiquement soumise à trois obligations :

  • Vous êtes légalement tenu de vous enregistrer dans le registre des entités. Le NCSC développe et gère une plateforme d'enregistrement en ligne permettant aux organisations de s'enregistrer et de se déclarer en tant qu'entité NIS2. Tous les États membres de l'UE disposent d'un tel enregistrement afin d'obtenir une vue d'ensemble européenne.

  • Le projet de loi contient une obligation de diligence. Les organisations doivent réaliser une analyse des risques et, sur cette base, prendre des mesures appropriées et proportionnées pour la sécurité de tous les systèmes réseau et d'information qu'elles utilisent pour leurs services.

  • Il existe une obligation de notification. Les entités doivent signaler les incidents significatifs dans les 24 heures au CSIRT (Computer Security Incident Response Team) et au superviseur. Il s'agit d'incidents susceptibles de perturber de manière significative les services de l'organisation.

La loi sur la cybersécurité organise également le contrôle des entités. Cela concerne bien entendu l'organisation dans son ensemble, mais les dirigeants individuels peuvent également être examinés si nécessaire. C'est dans cette supervision NIS2 que l'on voit la différence entre entités importantes et entités essentielles :

  • Pour les entités essentielles, il s'agit d'une supervision proactive. Cela signifie qu'il y a un contrôle du respect des obligations, que des incidents aient eu lieu ou non.

  • Pour les entités importantes, il n'y a qu'une supervision réactive. Ainsi, le régulateur peut décider d'ouvrir une enquête après, par exemple, un cyberincident ou des signalements d'auditeurs externes ou d'autres organisations.

En outre, les sanctions financières peuvent être plus élevées pour les entités essentielles que pour les entités importantes.

NIS2 retardée

Nous avons déjà indiqué que NIS2 est une directive européenne qui doit être mise en œuvre par les Pays-Bas dans la législation néerlandaise, la loi sur la cybersécurité. La législation est complexe, notamment parce que, comme indiqué, davantage de secteurs sont inclus, les exigences sont élevées et une supervision accrue est donc nécessaire. L'échéance initiale du 17 octobre 2024 s'est avérée irréalisable et le cabinet Rutte IV avait déjà annoncé un retard. Il est désormais prévu que la mise en œuvre de la directive NIS2 soit achevée au deuxième ou au troisième trimestre 2025.

Se préparer à la mise en œuvre de NIS2

Votre organisation relève-t-elle de NIS2 ? Assurez-vous alors d'une préparation en temps utile. Dans notre blog nous expliquons plus en détail comment vous préparer à NIS2. Nous y expliquons également comment Tool4ever vous aide à devenir et à rester conforme à NIS2.

Articles associés

Qu'est-ce qu'un CSIRT ?

Un CSIRT (Computer Security Incident Response Team) est une équipe spécialisée de professionnels de l'IT et de la sécurité, chargée d'identifier, d'analyser et de résoudre les incidents de sécurité au sein d'une organisation ou d'un réseau.

Une certification NIS2 est-elle possible ?

Non, certaines organisations relèvent de NIS2 et doivent satisfaire aux obligations associées, mais il n'existe pas de certification spécifique. En revanche, votre organisation répondra déjà automatiquement à de nombreuses exigences de NIS2 si vous êtes par exemple certifié ISO 27001.