La Directive NIS est le premier acte législatif européen dédié à la cybersécurité. Face à une succession de bouleversements du contexte économique et sécuritaire des pays membres de l’Union européenne, la directive actuelle évolue pour répondre à ces nouveaux défis. En quoi consiste la réforme de cette nouvelle version ? Quelle sera la transposition de cette directive dans la législation française ? Etes-vous concernés par les exigences relatives à la sécurité des réseaux et des systèmes d’information ? Décryptons dans cet article, les changements à venir.
La directive NIS : rappel sur la première loi européenne sur la cybersécurité
Appelée en France SRI, la directive Network and Information Security (NIS) est une directive relative à la sécurité des réseaux et des systèmes d’information. Adoptée en 2016 par le Parlement européen, cette directive vise à élever le niveau de cybersécurité des organisations à caractères essentiels dont l’interruption impacterait significativement le fonctionnement du pays et de ses citoyens. Pensé comme un bouclier législatif, ce texte a pour objectif d’augmenter la collaboration et le partage d’informations entre les États membres de l’Union européenne grâce au CERT. Le tout dans une démarche de construction d’une Europe forte face aux cyber-attaques qui se multiplient.
Pour s’appliquer dans chaque États membres, cette directive est transposée nationalement. La notion d’Opérateurs de Services Essentielles (OSE) voit le jour et permet à chaque pays d’établir une liste des secteurs critiques. Les entreprises concernées font, notamment, partie des secteurs de l’énergie, des transports, du secteur bancaire, des assurances, le secteur de l’alimentation, du secteur de l’eau, de la santé ou encore des administrations… Dans cette première version, les entreprises catégorisées OSE et les fournisseurs de services numériques (FSN) sont soumis à des exigences élevées de sécurité des réseaux et des systèmes d’information (SSI).
La nécessaire évolution vers une directive adaptée aux enjeux actuels
Mais les enjeux auxquels nos organisations doivent faire face actuellement ne sont plus ceux de 2016. Démultiplication des menaces cyber et professionnalisation des groupes d’attaquants, augmentation des tensions sociales (crise énergétique, bouleversement climatique, guerre aux portes de l’Europe…), digitalisation accrue quel que soit le secteur d‘activité… Face à ce nouveau contexte sécuritaire, l’Europe se devait de réviser cette directive pour renforcer son niveau de cybersécurité.
Appuyée lors de la présidence française de l’Union européenne (PFUE), la révision de la directive NIS a fait l’objet d’un accord politique entre la Commission, le Parlement et le Conseil européen en mai 2022. L’objectif de la directive NIS 2, comme ce fut le cas dans sa version initiale, est d’élever le niveau de cybersécurité des organisations européennes, tout en harmonisant les règles et obligations entre les acteurs quelle que soit la taille de l’entreprise.
Les changements majeurs engendrés par la directive NIS 2
Alors que la nouvelle version de la directive n’est pas encore adoptée, elle suscite déjà de nombreuses interrogations. Qui sera concerné par cette nouvelle directive ? Quels sont les changements à prévoir ? Quelles actions peuvent être anticipées au sein de votre organisation ? Quels sont les risques d’une non-conformité ? Réponse détaillée en 4 points !
Un périmètre d’organisations concernées plus vaste
En plus des secteurs décrits un peu plus haut dans cet article, la liste s’enrichit et passe de 19 à 35 secteurs concernés par la directive NIS 2. Les services postaux, secteur de l’agroalimentaire, de la production et distribution de produits chimique, de la gestion des déchets, font leur apparition dans la liste des secteurs concernés. Les collectivités territoriales seront désormais également concernées par la révision de cette directive. D’autres critères comme la taille de l’entreprise et le chiffre d’affaires vont être pris en compte. Seraient concernées par la nouvelle directive les entreprises de plus de 50 salariés et réalisant plus d’un million d’euros de chiffre d’affaires.
Ainsi, Guillaume Poupard, Directeur Général de l’ANSSI estime que le nombre d’acteurs concernés sera multiplié par 10 ! Lors de son discours d’ouverture des Assises de la sécurité à Monaco en octobre 2022, il insistait sur la nécessité de « changer d’échelle pour élever collectivement le niveau de cybersécurité » et prenait en exemple le levier que représentait la directive NIS 2. De son côté, Pierre Dartout, le ministre d’État de la Principauté de Monaco, rappelait l’importance d’exiger d’accroître son niveau de cybersécurité « Des groupes cybercriminels s’attaquent à des entreprises intermédiaires qui ne sont pas bien armées et aussi à des services essentiels. Il faut renforcer la sensibilisation, aider à sécuriser les SI et maintenir dans la durée des infrastructures performantes ».
Les sous-traitants, fournisseurs et prestataires de services travaillant pour une infrastructure listée ci-dessus devront se soumettre aux exigences de la version NIS 2. En effet, les acteurs de la supply chain sont une porte d’entrée de choix pour les cyber-attaquants. Prenons exemple avec Solarwinds en 2020, Codecov en avril 2021, Kaseya en juillet 2021. Ces attaques, qui ont affecté les clients de ces éditeurs, démontrent que la chaîne d’approvisionnement en logiciels est devenue un maillon faible de la cybersécurité des clients finaux.
Ces derniers mois le nombre de supply chain attack n’a cessé de croître et il devient inévitable d’exiger le même niveau de cybersécurité pour tous. La directive NIS 2 devrait corriger cet oubli.
La création de deux typologies d’acteurs : entité essentielle et entité importante
La directive NIS avait conduit à la création du statut d’OSE, imaginé comme une extension des OIV (Opérateurs d’Importance Vitale) élaborée par la Loi de Programmation Militaire de 2013. Lors de la future adoption de la directive NIS 2, ce statut va disparaître au profit des entités dites essentielles (EE) et des entités importantes (EI). La distinction se fera selon le degré de criticité en cas d’arrêt de fonctionnement, selon le secteur concerné et la taille de l’entreprise. Pour le moment, la catégorisation se fera par auto-désignation par l’entreprise elle-même.
Que risque une entreprise concernée si elle ne respecte pas les exigences décrites par cette directive européenne ? Sur ce point, la directive prévoit des amendes pouvant aller de 1,4% à 2% du chiffre d’affaires de l’entreprise ! Mais ce n’est pas tout, la Commission européenne indique également vouloir engager la responsabilité des dirigeants. De quoi faire bouger les lignes.
En conclusion, cette nouvelle version vise à répondre aux nombreuses cyberattaques ayant ciblé les chaînes de sous-traitances. Avec un élargissement des secteurs et des organisations concernées et une augmentation des exigences de sécurité des systèmes d’information, une harmonisation du niveau de cybersécurité globale devrait mécaniquement voir le jour. Le calendrier annoncé par l’agence nationale de la sécurité des systèmes d’information (ANSSI) prévoit une validation de la directive d’ici la fin d’année 2022. Ensuite, la transposition dans le droit français (ainsi que dans chaque État membre) rendra applicable la directive au 1er semestre 2024. Reste désormais à suivre les évolutions et décrypter les effets d’annonce pour les traduire en réelles exigences.