Nouvelle directive NIS2 : quelles conséquences pour les milliers d’entreprises concernées ?

Un périmètre d’application élargi

La directive NIS - Network and Information Security - s’inscrit dans un cadre réglementaire large visant à renforcer la cybersécurité dans le marché européen, notamment dans les secteurs dépendant fortement des technologies de l'information et de la communication. Héritière de la NIS1, la nouvelle directive NIS2 étend son périmètre d’application, ce qui obligera davantage d’entités et de secteurs à suivre ses principes.

Concrètement, la directive NIS2 continuera de s’appliquer aux secteurs déjà concernés par NIS1 (établissements de santé, banques, transports), et s’étendra à de nouveaux secteurs d’activité : administrations publiques, télécommunications, plateformes de réseaux sociaux, services postaux, secteur spatial, entre autres.

L’autre changement majeur est sans aucun doute son extension aux entreprises, donc au monde du privé. Plusieurs milliers d’entreprises de toutes tailles, des PME aux groupes du CAC40, seront amenées à se conformer aux règles de cette nouvelle directive.

Enfin, NIS2 apporte une troisième évolution majeure : l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’acteurs régulés en fonction de leur niveau de criticité ; les entités essentielles et les entités importantes. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) compte s’appuyer sur cette notion pour définir des exigences propres à chaque catégorie d’entité.

NIS2 : quelles obligations pour les organisations concernées ?

NIS2 prévoit de nouvelles obligations pour les entités concernées sur le traitement des incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.

• Signalement des incidents de sécurité : la NIS2 prévoit une approche en deux étapes. Les entreprises concernées disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire. Celui-ci devra être complété par un rapport final sous un délai maximum d’un mois.
• Gestion des risques cyber : les entités devront porter une attention particulière à la formation de leurs décideurs à la gestion des risques. NIS2 souligne également l’obligation du corps managérial de contribuer au processus de validation des mesures de gestion des risques cyber.
• Tests et audits de sécurité : NIS2 imposera aux entités de mener régulièrement des tests et des audits techniques, dont des tests d’intrusions et scans de vulnérabilités pour évaluer l'efficacité des mesures de sécurité déployées.
• Sécurité de la supply chain : les entreprises seront amenées à effectuer des travaux de due diligence sur la chaîne d’approvisionnement, notamment via l’étude des pratiques de cybersécurité en vigueur avec leurs fournisseurs et prestataires de services.

Enfin, la directive NIS 2 est également synonyme d’un renforcement du régime de sanction, qui s’appliquera à toutes les entités assujetties. Les sanctions s’étendront de l’obligation de réalisation d’audits de sécurité et mise en conformité jusqu’aux amendes administratives. Le mécanisme prévu pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée : jusqu’à 10 millions d’euros d’amende, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

Avec cette nouvelle directive, des milliers d'entreprises seront donc contraintes par la loi de rehausser le niveau de leur sécurité informatique.

Comment les entreprises peuvent-elles s’y préparer ?

L’obligation de mise en conformité aux exigences de NIS2 ne sera actée qu’à partir de 2024. En attendant la transposition de la directive en droit français, les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques doivent continuer à respecter les exigences prévues par NIS1 et les autres réglementations en matière de sécurité des systèmes d'information.

En outre, les entités qui étaient déjà dans le champ d’application de NIS1 doivent poursuivre leurs efforts de mise en conformité vis-à-vis de la première version de la directive. Les efforts déployés jusqu’ici ne seront bien entendu pas perdus, puisque la nouvelle version de la directive s’appuie sur les acquis de sa prédécesseuse. Enfin, les entreprises susceptibles d’être concernées par NIS2 doivent entamer dès à présent une démarche proactive pour rehausser le niveau de leur sécurité informatique.

Alors que la cybermenace ne faiblit pas et que les systèmes d’information restent vulnérables, la nouvelle directive NIS2 représente une opportunité unique pour les organisations d’investir pour améliorer leur niveau de sécurité. Les entreprises concernées ont tout intérêt à faire évaluer dès à présent leur niveau de maturité en matière de cybersécurité. Pour ce faire, elles peuvent choisir de se faire accompagner par des experts pour réaliser l’état des lieux de leur système d’information, et constituer une feuille de route pertinente en vue de leur mise en conformité NIS2.