NIS2 : la directive sur la sécurité des réseaux et de l’information
La cybercriminalité est un véritable défi pour les entreprises comme pour les administrations. Tous les jours ou presque, les médias rapportent une nouvelle cyberattaque : des pirates ont volé les données d’une base de clients, ou une organisation a été contrainte d’interrompre des services critiques à cause d’un risque majeur.
Une chose est claire : un système pour sécuriser les données sensibles est aujourd’hui nécessaire. C’est pour cette raison que l’Union européenne (UE) a mis en place la réglementation Network and Information Security 2.0 (NIS2). La première réglementation, NIS1, remonte à 2016. La directive NIS2, en vigueur depuis 2023, vient enrichir la réglementation d’origine.
Elle a pour principal objectif d’obliger les organisations jugées stratégiques pour l’économie européenne à mettre en place des mesures de cybersécurité adéquates.
Dans cet article, nous nous intéressons au contenu de la réglementation NIS2 et à ses implications pour les différentes entités.
Qu’est-ce que la réglementation NIS2
La réglementation NIS2 a d’abord été désignée sous le nom de Directive (UE) 2022/2555. L’UE l’a introduite afin d’imposer des mesures de cybersécurité dans l’ensemble des États membres. Officiellement publiée le 14 décembre 2022, elle vise à combler les lacunes de la version précédente (NIS1) et à faire face à l’évolution des défis de cybersécurité.
L’UE avait donné à ses membres jusqu’au 17 octobre 2024 pour adopter NIS2. Les organismes qui ne respectent pas ces normes s’exposent à de lourdes pénalités.
Mais avant de continuer, posez-vous ces quelques questions :
- Est-ce votre entreprise est basée en dehors de l’UE mais propose ses services dans des États membres ?
- Est-ce qu’elle exerce dans un secteur d’activité couvert par la directive NIS2 ?
Si c’est le cas, votre entreprise doit effectivement mettre en œuvre la réglementation NIS2.
Remarque : si votre entreprise utilise l’IA dans le cadre de ses mesures de cybersécurité, elle doit également respecter l’AI Act, obligatoire pour les organisations qui mettent en œuvre NIS2.
Secteurs concernés par la réglementation NIS2
La directive NIS2 s’applique aux organismes publics et privés des secteurs sociaux et économiques qui comptent au moins 50 employés et réalisent un chiffre d’affaires de 10 millions d’euros par an au minimum. Une entreprise de taille plus modeste peut également être concernée si :
- elle est considérée comme à haut risque,
- elle est le fournisseur exclusif de services essentiels.
Vous trouverez ci-dessous quelques secteurs essentiels pour notre société, notre économie et leurs infrastructures critiques. Ces secteurs doivent être protégés des cybermenaces dans le cadre de la réglementation NIS2.
Secteurs hautement critiques (Annexe I) | Autres industries critiques (Annexe II) |
Électricité, pétrole et gaz | Services postaux et de courrier |
Transport aérien, rail, eau, routes | Eaux usées |
Institutions de crédit | Alimentation, boissons, tabac, produits chimiques, pharmacologie, informatique, produits électroniques et optiques, équipement électrique, machinerie, véhicules motorisés |
Prestataires de soins de santé, fabricants de dispositifs médicaux et distributeurs | Places de marché en ligne, moteurs de recherche en ligne, services de cloud computing |
Fourniture et distribution d’eau potable | Autorités du gouvernement central |
Points d’échange Internet (IXP), fournisseurs de services de DNS, registres de noms de domaine de premier niveau | Recherche |
Obligations de sécurité minimales
Les organismes concernés par NIS2 doivent adopter les pratiques de sécurité suivantes :
- politique d’analyse des risques et de sécurité de l’information,
- signalement des incidents et réponse,
- contrôle d’accès et authentification,
- protection et chiffrement des données,
- gestion des vulnérabilités,
- sauvegarde et continuité des opérations,
- sécurité de la chaîne d’approvisionnement,
- supervision de sécurité et logging,
- sensibilisation et formation à la cybersécurité,
- gouvernance et responsabilité.
Principaux objectifs de la réglementation NIS2
Le principal objectif de NIS2 était de garantir un haut niveau de cybersécurité dans l’ensemble de l’Union européenne, la réglementation impose des obligations plus strictes aux organismes importants.
La directive concerne désormais 15 secteurs au lieu des 7 couverts par sa version initiale, NIS1. Ces secteurs sont classés comme essentiels ou importants, et les organisations concernées doivent suivre les mesures de sécurité décrites pour protéger leurs systèmes et leurs données.
Examinons les principaux objectifs de la réglementation NIS2 :
Gestion des risques
Dans une optique de gestion des risques, NIS2 aide les organisations à prendre des mesures préventives pour éviter les problèmes de cybersécurité. De plus, l’AI Act, qui encadre l’utilisation de l’intelligence artificielle, impose aux entreprises de gérer les risques de façon appropriée. Elles doivent donc sécuriser leurs systèmes d’IA, les tester, conserver des registres de leur utilisation et corriger les problèmes potentiels.
(À lire également : frameworks de gestion des risques.)
Signalement des incidents et réponse
Dans le cadre de NIS2, les entreprises doivent signaler les incidents graves de cybersécurité aux autorités nationales compétentes ou aux agences de cybersécurité désignées sous 24 heures. La directive définit également des règles précises concernant le suivi et le signalement des problèmes liés aux systèmes d’IA.
gouvernance et responsabilité.
Selon la réglementation NIS2, la direction d’une entreprise est responsable du respect des règles de cybersécurité et du signalement des incidents. Parallèlement à cela, l’AI Act souligne la nécessité de mettre en place des pratiques de gestion robustes afin de garantir la conformité aux réglementations couvrant les systèmes d’IA.
Cet ensemble de règles rappelle à quel point il est important que les leaders gèrent correctement les risques liés à la cybersécurité et à l’IA.
Protection et sécurité des données
Les organismes doivent être dotés de réseaux et de systèmes d’information sécurisés pour empêcher que les données ne soient perdues, altérées ou consultées sans autorisation.
(Découvrez comment Splunk peut vous aider à vous mettre en conformité avec NIS2.)
Calendrier et échéances de mise en œuvre de NIS2
Vous l’avez compris, si vous exercez vos activités dans l’Union européenne, vous devez adopter la réglementation NIS2 dans les délais, sans quoi vous vous exposez à de lourdes conséquences. Voici les dates clés indiquées par l’UE :
- Le 17 juillet 2024, le Réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe) doit avoir remis un rapport au Parlement et au Conseil européens pour présenter l’ensemble de ses travaux. Il doit également remettre ce rapport tous les 18 mois.
- Le 17 octobre 2024, les pays de l’UE doivent avoir publié leur stratégie pour atteindre les objectifs de la directive NIS2. L’ancienne directive NIS1 de 2016 cessera d’être appliquée dès le lendemain, le 18 octobre 2024.
- Le 17 avril 2025, chaque État membre doit avoir dressé la liste des organismes essentiels dans les différents secteurs concernés. Cette liste doit être examinée et actualisée tous les deux ans au moins et envoyée à la Commission ainsi qu’au Groupe de coopération.
- Le 17 octobre 2027, la Commission examinera le fonctionnement de la directive NIS2 et remettra un rapport clair sur ses performances au Parlement et au Conseil européens. Elle procédera à cet examen tous les trois ans pour veiller à l’efficacité et à la pertinence de la directive.
Pénalités en cas de défaut de conformité
La directive NIS2 prévoit également de strictes pénalités pour les entreprises qui ne respectent pas la réglementation. Elle permet aux autorités d’imposer des pénalités non monétaires telles que des ordres de mise en conformité, des audits de sécurité et des notifications de menace potentielle aux clients des entreprises concernées.
À ces mesures s’ajoutent d’importantes amendes en cas de défaut de conformité. Selon la Commission européenne :
Les organismes essentiels s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel (selon le montant le plus élevé). Pour les organismes importants, les amendes peuvent atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires global (selon le montant le plus élevé).
Il est donc impératif que ces organismes comprennent les risques et prennent des mesures pour respecter la réglementation. Ils doivent mettre en place des mesures et des procédures de sécurité solides pour détecter et signaler les incidents de cybersécurité afin d’éviter les pénalités et de protéger leur réputation.
Améliorations apportées à NIS1 par NIS2
La directive NIS2 est plus robuste que NIS1 à plusieurs titres :
Couverture plus large : NIS2 couvre davantage de secteurs de la réglementation NIS1 d’origine, et concerne désormais l’énergie, les transports, la santé et les services numériques, entre autres.
Mesures de sécurité plus strictes : NIS2 établit des pratiques de cybersécurité plus rigoureuses que NIS1. Les entreprises doivent désormais respecter des consignes de sécurité sophistiquées pour garantir l’efficacité de leurs processus de gestion du risque.
Des pénalités claires en cas de défaut de conformité : NIS2 prévoit des pénalités spécifiques pour les entreprises qui ne respectent pas les règles. Elles s’exposent en effet à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel, selon le montant le plus élevé.
Harmonisation des législations nationales : l’un des grands axes de cette directive consiste à réduire les variations dans la mise en œuvre des règles de cybersécurité par les différents pays de l’Union. Pour cette raison, la nouvelle réglementation NIS2 cherche à uniformiser l’approche de l’ensemble des États membres en établissant des définitions et des normes claires.
Davantage de coopération entre États : NIS2 prévoit la constitution d’un Groupe de coopération et d’équipes de réponse aux incidents de sécurité informatique (CSIRT) dans chaque pays pour améliorer le partage d’informations et permettre une réponse coordonnée aux cybermenaces.
Il est temps d’agir pour votre conformité à NIS2
Les cybermenaces évoluent constamment, et la mise en œuvre de la réglementation NIS2 est une étape importante pour la création d’un environnement en ligne plus sûr au sein de l’Union européenne. Si l’effort nécessaire à la mise en conformité peut sembler intimidant, cet investissement dans l’avenir de votre entreprise protégera ses actifs et sa réputation.
Articles connexes
À propos de Splunk
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.
Échangez avec Splunk sur X
Suivre @splunk
