Sources : Yves VERHOEVEN, Sous-Directeur Stratégie de l’ANSSI
Les députés européens ont voté le 10 novembre 2022 la directive NIS 2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen. En France, de nombreuses entreprises et d’administrations seront soumises à cette nouvelle règlementation.
En 2016, le Parlement et le Conseil de l’UE, constatant que la transformation numérique des sociétés européennes et l’interconnexion des pays membres les exposait à de nouvelles cybermenaces, ont adopté une première série de mesures concernant la cybersécurité du marché européen, nommé « Network and Information Security » (NIS). Ces mesures visait à garantir, collectivement, les conditions de sécurité adéquates pour toute l’Union européenne, en ciblant des acteurs majeurs de dix secteurs d’activité (ce qui représente quelques centaines d’entités en France).
Avec ce premier dispositif, ces grands acteurs ont été par exemple soumis à l’obligation de déclarer leurs incidents de sécurité à l’ANSSI, et de mettre en œuvre les mesures de sécurité nécessaires pour réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cybers.
Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection.
Alors que la menace complexe, professionnelle et en constante évolution ne faiblit pas et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2 représente une opportunité unique car sa mise en application va permettre à des milliers d’entités de mieux se protéger.
Elle va être l’occasion de mobiliser largement le tissu économique national et le secteur public, de renforcer la coopération des états membres en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe qui rassemble l’ANSSI et ses homologues européens.
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union Européenne. Elle prévoit un délai de 21 mois pour que chaque Etat membre de l’UE transpose en droit national les différentes exigences réglementaires. En France NIS 2 l’entrée en vigueur se fera au deuxième semestre 2024, au plus tard. Certaines exigences seront d’application directe et d’autres devraient être soumises à un délai de mise en conformité.
Concrètement, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés, soit 600 types d’entités différentes, des administrations de toutes tailles comme des entreprises allant des PME aux groupes du CAC40. Particulièrement, les acteurs les acteurs du numérique, seront soumis au dispositif. Ces nombreux acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques. Ils verront donc également leur niveau de sécurité numérique renforcé.
NIS 2 apporte une deuxième évolution majeure avec l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’ANSSI compte s’appuyer sur cette notion pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories.
Le troisième élément majeur de la directive concerne effectivement le renforcement de son régime de sanction, qui s’appliquera à toutes les entités assujetties, avec un mécanisme largement comparable à celui du RGPD. Selon les infractions, les amendes se fonderont se fonder sur un pourcentage du chiffre d’affaires de l’entité concernée.
L’ANSSI invite les organisations à se préparer dès maintenant à cette sa transposition dans le droit national. Pour les petites et moyennes entreprises, le Guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Pour les entités déjà désignées au titre de NIS 1, les exigences de NIS 1 demeurent applicables et les futures exigences de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1.
Les réglementations sur la protection de la vie privée au travers de la sécurité des données à caractère personnel et la protection des secrets professionnels grâce à la sécurité des données commerciales se rapprochent.
La sécurité des systèmes informatiques dévolu essentiellement aux responsables informatiques (DSI, RSSI) devient un enjeu majeur pour les délégués à la protection des données à caractère personnel (DPO, DPP).
Le partenariat entre ces deux professions devient évident afin assurer la conformité à des réglementations dorénavant communes : les deux doivent travailler ensemble pour garantir la confidentialité et l'intégrité des données, ainsi que pour répondre rapidement aux incidents de sécurité et aux violations de données.
En travaillant ensemble, le RI et le DPD pourront assurer une protection efficace des données personnelles de l'entreprise et garantir la confiance des clients et des partenaires commerciaux dans leur engagement en matière de protection des données.
Progiciel de gestion de vos projets de conformité, DL Register intégrera prochainement le référentiel NIS 2. Notre objectif est toujours de permettre aux équipes en charge de la conformité :
de gagner un temps précieux tout en restant rigoureux et exhaustif grâce aux critères de contrôles, aux livrables modèles et aux kits d'audit
d'être plus efficace et d'engager mieux chaque acteur du projet avec la gestion centralisée des informations et la fourniture de nombreux outils
d'intégrer les parties prenantes et de valoriser vos actions questionnaires publics et gestion de comptes tiers ; diffusion automatisée des résultats obtenus