La directive NIS 2 est la star des discussions cyber en ce moment. Mais connaissez-vous sa prédécesseure ? Car s’il y a une NIS 2, c’est qu’il y a eu une NIS tout court… Et comprendre la nouvelle réglementation implique de bien connaître l’ancienne. Voici donc un panorama de la directive NIS, ses objectifs et ses exigences.

Directive NIS : de quoi parle-t-on ?

La directive NIS (Network and Information Security) est une pièce maîtresse de la législation européenne en matière de cybersécurité.

Adoptée en juillet 2016 et transposée dans les divers États membres en 2018, NIS vise à renforcer le niveau global de sécurité des réseaux et des systèmes d’information dans toute l’Union Européenne.

Avant son adoption, les États membres de l’UE disposaient de niveaux très inégaux en termes de cybersécurité. Résultat : des lacunes et des vulnérabilités pouvant affecter l’ensemble du marché unique européen. La directive NIS a donc été conçue pour répondre à ces défis en établissant un cadre commun – l’objectif final étant d’assurer un niveau élevé de sécurité des réseaux et des systèmes d’information à travers l’UE.

Quels sont les objectifs de la directive NIS ?
  • Améliorer la cybersécurité nationale : avec NIS, l’UE exige des États membres qu’ils adoptent des stratégies nationales de cybersécurité – mais aussi qu’ils désignent des autorités compétentes pour superviser la mise en œuvre de la directive.
  • Renforcer la coopération entre les États membres : NIS a pour vocation de faciliter le partage d’informations, et donc d’inciter à la collaboration.
  • Augmenter la résilience des entreprises essentielles, en imposant des obligations de sécurité et de notification d’incidents aux entreprises opérant dans des secteurs critiques comme l’énergie, les transports, la santé, et les infrastructures numériques.
À qui s’applique la directive NIS ?

NIS s’applique d’une part aux Opérateurs de Services Essentiels (OSE). Il s’agit d’entités qui fournissent des services critiques pour la société et l’économie, tels que :

  • les réseaux énergétiques ;
  • les systèmes de transport ;
  • les infrastructures bancaires ;
  • les établissements de santé.

NIS concerne d’autre part les Fournisseurs de Services Numériques (FSN). Cette catégorie inclut :

  • les marchés en ligne ;
  • les moteurs de recherche ;
  • les services Cloud.

Quelles sont les exigences de la directive NIS ?

Les obligations des États membres
  • Développer une stratégie nationale détaillant les objectifs et les mesures applicables en matière de cybersécurité.
  • Désigner des autorités compétentes pour superviser la mise en œuvre de la directive, ainsi qu’un ou plusieurs points de contact uniques pour faciliter la communication et la coordination.
  • Établir des CSIRT (Computer Security Incident Response Teams), c’est-à-dire des équipes de réponse aux incidents de sécurité informatique.
Les obligations des OSE et FSN
  • Mettre en place les mesures de sécurité techniques et organisationnelles appropriées pour gérer les risques cyber.
  • Notifier aux autorités compétentes les incidents ayant un impact significatif sur la continuité des services qu’ils fournissent.
Quel est le processus de notification des incidents ?
  1. Détection de l’incident de sécurité.
  2. Évaluation de l’impact de l’incident sur la continuité des services (afin de déterminer s’il atteint le seuil de notification).
  3. Notification initiale aux autorités compétentes, accompagnée des informations préliminaires sur l’incident.
  4. Notification de suivi (dans le cas où des informations supplémentaires sont requises à mesure que l’incident est analysé et géré).
Quelles conséquences en cas de non-conformité ?

Les entreprises qui ne se conforment pas aux exigences de la directive NIS sont susceptibles de recevoir diverses sanctions, qui varient selon les États membres. Ces sanctions peuvent inclure :

  • des amendes ;
  • des ordres de mise en conformité ;
  • des suspensions d’activités (pour les cas les plus graves).

Si les sanctions sont particulièrement sévères, c’est avant tout pour encourager les entreprises à prendre les mesures de sécurité nécessaires pour protéger leurs réseaux et systèmes d’information.

NIS 2 : une version 2.0 de la directive « Network and Information Security »

En décembre 2020, la Commission européenne a proposé une révision de la directive NIS, (bien) connue sous le nom de NIS 2. L’objectif de cette nouvelle version, applicable en France à partir d’octobre 2024 ? Renforcer et élargir la portée de la directive initiale, en introduisant des exigences de sécurité plus strictes et en couvrant un plus grand nombre de secteurs critiques.

  • Élargissement du champ d’application : plus d’entreprises et de secteurs seront couverts, y compris les administrations publiques et les fournisseurs de services numériques supplémentaires.
  • Obligations de sécurité renforcées : les entreprises devront adopter des mesures de gestion des risques plus rigoureuses et suivre des normes de sécurité accrues.
  • Sanctions plus sévères : des mécanismes de sanction plus stricts seront mis en place pour assurer une meilleure conformité.

En bref

Tout comme sa petite sœur NIS 2, la directive NIS représente un cadre essentiel pour améliorer la cybersécurité au sein de l’Union Européenne. En imposant des obligations claires aux États membres, aux OSE et aux FSN, elle crée un environnement plus sécurisé pour les réseaux et les systèmes d’information.

Avec l’évolution vers NIS 2, l’UE a fait montre d’un engagement continu à renforcer la résilience des SI européens face à des menaces de plus en plus sophistiquées.

Ça tombe bien : le framework NIS est déjà intégré dans Tenacy (et NIS 2 le sera dès sa transposition) !