logo-phinasoft
Menu
Menu

De NIS à NIS 2 :

Une évolution majeure dans la protection des réseaux
et des systèmes d'information

écrit par Eléonore Garreau     |    17/06/2023     |     10 min de lecture

I. Qu’est-ce que le NIS 2 ?

Le NIS2, ou Network and Information Security 2, est la nouvelle version de la directive européenne visant à renforcer la sécurité des réseaux et des systèmes d’information au sein des pays membres de l’Union européenne qui a été voté le 10 novembre 2022.

A. Qu’est-ce qu’une Directive ?

Pour commencer, il est important de souligner que NIS2 est une directive et non un règlement. Un règlement a pour mission d’être uniforme au sein des pays avec une application directe dès son adoption par le Conseil de l’UE ou le Parlement européen et sa publication au Journal Officiel de l’UE. Or le but d’une directive, comme le NIS 2 ou Network and Information Security, version 2, est de promouvoir l’harmonisation des droits nationaux en établissant des principes et des objectifs généraux, tout en laissant aux États une certaine marge de liberté dans l’application du texte. Chaque État est libre d’aller au-delà de ces principes. Il est obligatoire de transposer la directive dans le droit national via un vote dans les parlements nationaux, en respectant les délais fixés. (1)

B. Contexte : Présentation de la directive NIS et de son évolution vers NIS 2 

C. Importance de la protection des réseaux et des systèmes d'information 

La transformation numérique des sociétés européennes et l’interconnexion des pays membres ont exposé le marché européen à de nouvelles cybermenaces.

indique Yves Verhoeven 

Sous-Directeur Stratégie de l’ANSSI. 

Cette interconnectivité accrue signifie que les attaques et les failles de sécurité se propagent plus rapidement et plus largement, mettant en danger  les infrastructures critiques , les données sensibles , les systèmes d’information dans l’ensemble de l’Union européenne.

Face à cette réalité, il est impératif que les États travaillent ensemble pour assurer :

  • Des conditions de sécurité adéquates dans toute l’Union européenne ;
  • L’identification des vulnérabilités communes ;
  • Le partager des informations sur les menaces ;
  • La mise en œuvre des mesures de prévention et de réaction efficaces.

Par exemple, en février 2022, l’Union Européenne subit une cyberattaque sur le réseau satellite KA-SAT, puis accuse la Russie d’en être l’auteur. (2) Ce piratage engendre alors la privation d’accès à Internet pour des entreprises, institutions publiques mais aussi des civils. « Cette cyberattaque inacceptable est un nouvel exemple des activités irresponsables que mène la Russie dans le cyberespace et une composante essentielle de son invasion illégale et injustifiée de l’Ukraine », a dénoncé l’UE. (3)

Pour comprendre pleinement les enjeux et objectifs du NIS2, il est nécessaire de revenir à l’origine de cette directive et de comprendre pourquoi le NIS (Network and Information Security) a été introduit en 2016.

II. Qu'est-ce que la directive NIS ?

A. Objectifs de NIS 1

Le NIS 1, mis en place en 2016, avait pour objectif principal d’élever le niveau général de cybersécurité et de cyber-résilience au sein de l’Union européenne (4) . Pour y arriver, il s’agissait de :

  • Créer une homogénéité en termes de cybersécurité entre les États membres, en veillant à ce qu’ils soient correctement protégés contre les cybermenaces et qu’ils puissent bénéficier des meilleures pratiques des autres pays.
  • Optimiser la communication et le partage d’informations tout en les sensibilisant, afin de renforcer la capacité collective à contrer les attaques.
  • Permettre à certains pays plus avancés de jouer un rôle de promotion de la culture de la cybersécurité, en montrant l’exemple et en soulignant l’importance de prendre en compte cette dimension.

Ainsi, le NIS 1 s’inscrivait comme une stratégie de collaboration et de coopération entre les États membres de l’UE. Certains pays plus avancés ont joué un rôle de promotion de la culture de la cybersécurité, en montrant l’exemple et en soulignant l’importance de prendre en compte cette dimension.

B. Présentation des principaux éléments de la directive NIS 1

Lors de la mise en place de la directive NIS, deux secteurs spécifiques ont été couverts : les Opérateurs de Services Essentiels (ci-après « OSE ») et les Fournisseurs de Services Numériques (ci-après « FSN »).

Les OSE (5) désignent les entités opérant dans des secteurs essentiels tels que l’énergie, les transports, la santé, les services bancaires , financiers et les infrastructures numériques critiques. Ces opérateurs sont soumis à des obligations de sécurité renforcées en raison de l’importance de leurs services pour le bon fonctionnement de la société et de l’économie.

A contrario, les FSN (6) englobent une gamme plus large de services numériques, tels que les services en ligne, les services d’informatique en nuage (cloud), les services de paiement électronique, les moteurs de recherche, les places de marché en ligne, etc.

Les FSN sont soumis à des exigences de sécurité proportionnelles à la nature et à l’importance des services numériques qu’ils fournissent.

La mise en place du NIS (Directive sur la sécurité des réseaux et des systèmes d’information) a permis l’amélioration et la consolidation du niveau général de cybersécurité à l’échelle européenne en contribuant à :

  • Réduire les risques de cyberattaques
  • Mieux protéger les infrastructures essentielles et des données sensibles
  • Prendre conscience de l'importance des enjeux de la cybercriminalité
  • Développer une meilleure souveraineté numérique

Le cabinet Wavestone a effectué une étude concernant les 27 pays de l’Union Européenne en plus de la Suisse et du Royaume Uni ; 79% de ces Etats ont mis en place un processus de supervision étatique.  De plus, la directive a établi des exigences communes pour la sécurité, ce qui facilite la coopération et la coordination entre les États membres de l’UE permettant une homogénéité de ces normes.(7) 

La Directive a prévu la création de trois entités  :

1. Groupe de coopération NIS (Network and Information Security Cooperation Group)

Il permet une coordination entre les États membres de l’Union européenne en matière de cybersécurité. Son objectif principal est de renforcer la coopération stratégique entre les Etats membres ; afin d’optimiser l’échange d’information et donc d’améliorer le niveau global de maturité en cyber sécurité. (8)

2. Réseau CSIRT (Computer Security Incident Response Team)

Il fait référence à un réseau de Computer Security Incident Response Teams des États membres de l’UE. Ces équipes sont chargées de gérer et de coordonner la réponse aux incidents de cybersécurité à l’échelle nationale. Le réseau CSIRT vise à « contribuer au renforcement de la confiance entre les États membres et de promouvoir une coopération opérationnelle rapide et effective » (9)

3. EU-CyCLONe 

Il s’agit d’un réseau de coopération entre les autorités nationales chargées de la gestion des crises de cybersécurité des États membres de l’UE, lancé en 2020 et formalisé en janvier 2023 avec NIS2. Il vise à favoriser le partage d’informations et la sensibilisation à la situation, en collaboration avec l’Agence de l’Union européenne pour la cybersécurité. (10)

L’objectif de ces trois entités est de promouvoir la coopération, la coordination et l’échange d’informations en matière de cybersécurité entre les États membres de l’UE.

III. Les raisons fondamentales derrière la mise en place de la Directive NIS 2

Le 17 juin 2022, le Conseil de l’Union européenne et le Parlement européen ont conjointement publié le projet de révision du NIS découlant de ses limites dont notamment : 

  • Un champ d’application trop restreint concernant les secteurs qui devaient se soumettre à cette directive ;
  • Les pays avaient une trop grande liberté pour mettre en œuvre la directive au niveau national, ce qui a entraîné une hétérogénéité dans son application à l’échelle européenne.
Pour remédier à ces problèmes, NIS 2 a été développé avec des améliorations significatives et a élargi son champ d’application avec notamment :
  • Inclusion de nouveaux secteurs et entités ;
  • Prise en compte la sécurité des chaînes d’approvisionnement ;
  • Mise en place d’une politique de sécurité
  • Réalisation d’analyses de risques ;
  • Introduction de mesures de surveillance ;
  • Gestion des incidents et des risques ;
  • Harmonisation et renfort des sanctions dans tous les États membres.

Ces mesures visent à garantir une meilleure coordination, une réponse plus efficace aux incidents de cybersécurité et une protection accrue contre les cybermenaces. Le NIS 2 souhaite établir des normes plus homogènes en matière de cybersécurité au sein de l’Union européenne, favorisant ainsi une approche collaborative et une protection solide des réseaux et des systèmes d’information. 

La directive NIS 2 met aussi en place deux axes de sanctions (11) afin de garantir le respect des obligations en matière de cybersécurité :

1. Amendes administratives lourdes et chiffrées

Les entités qui ne respectent pas les obligations de sécurité prévues par la directive peuvent se voir infliger des amendes administratives importantes. Ces amendes sont fixées à un montant significatif, pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, afin de dissuader les comportements négligents ou non conformes pour les entités essentiels et 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial pour les entités importantes.

2. Responsabilité des dirigeants

Cela signifie que les dirigeants et les cadres supérieurs peuvent être tenus responsables des violations de cybersécurité, ce qui les incite à accorder une attention particulière à la mise en œuvre des mesures de sécurité et à la protection des réseaux et des systèmes d’information.

IV. Qui est concerné par la directive NIS 2 ?

NIS 2 introduit de nouveaux acteurs et critères afin d’optimiser cette directive et de renforcer la cybersécurité européenne. Les définitions précédentes d’opérateurs de services essentiels (« OSE ») (12) et de fournisseurs de services numériques (« FSN ») sont respectivement remplacées par les termes « entité essentielle » (ci-après « E.E. ») et « entité importante » (ci-après « E.I. »), afin d’adapter les obligations en fonction de chaque entité. 

Les E.E. concernent les secteurs suivants :

  • L’énergie ;
  • Le transport ;
  • La banque ;
  • Les infrastructures des marchés financiers ;
  • La santé ;
  • Les eaux potables et eaux usées ;
  • Les infrastructures numériques (fournisseurs de services de cloud computing, data centers, DNS, etc.) ;
  • La gestion des services TIC (interentreprises) ;
  • Les administrations publiques.

Les E.I. comprennent les secteurs suivants :

  • Les services postaux ;
  • La gestion des déchets ;
  • La fabrication, production et distribution de produits chimiques ;
  • La production, transformation et distribution de denrées alimentaires ;
  • La fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro
  • La fabrication de produits informatiques, numériques et optiques.

Pour être concerné par la directive NIS 2, il faut être une entité publique ou privée, fournir des services ou exercer une activité au sein de l’Union européenne, et que votre secteur d’activité soit inclus dans la liste des E.E. ou E.I. De plus, il faut au moins 50 salariés et un chiffre d’affaires annuel supérieur ou égal à 10 millions d’euros. (13)

V. Le calendrier de la directive NIS 2

A. Calendrier de mise en œuvre de la directive NIS 2

La directive NIS2 a été publiée au Journal Officiel de l’Union européenne le 27 décembre 2022, et les États membres disposent d’un délai de 21 mois à partir de cette date pour transposer la directive dans leur droit national. Par conséquent, la date limite de transposition est fixée à octobre 2024.

Cependant, il est important de souligner que cette date limite concerne la transposition en droit national pour les États membres, et non la date de mise en conformité des entités soumises à la directive NIS2. Il est fort probable que ces entités bénéficieront d’un délai supplémentaire pour se conformer à la directive une fois qu’elle sera appliquée dans leurs pays respectifs. (14)

B. Processus d'adaptation et de transposition dans les législations nationales

Le projet NIS2 s’inscrit dans les efforts législatifs entrepris par l’Union européenne pour encadrer l’importance croissante des outils numériques et informatiques. La directive NIS2 est conçue en coordination avec plusieurs autres textes (15), à savoir :

  • Le projet de Directive relatif à la résilience des entités critiques, qui impose des obligations visant à assurer la continuité des services essentiels et leur sécurité face aux menaces physiques ;
  • Le projet de Règlement DORA (Digital Operational Resilience Act) qui établit des obligations spécifiques en matière de cybersécurité pour les acteurs du secteur financier. Ce règlement prévoit également que les acteurs concernés de ce secteur pourront participer aux discussions du groupe de coopération NIS et échanger avec les CSIRTs (Computer Security Incident Response Teams) ;
  • Le Règlement, en cours de rédaction, communément appelé « cyber-résilience ». Ce règlement s’appuiera sur les définitions « d’incident » et de « vulnérabilité » établies par la directive NIS2. De plus, certaines catégories de produits seront définies comme critiques en fonction de leur utilisation par les entités qualifiées d’essentielles selon les critères de la directive.

Ces différentes législations sont conçues pour renforcer la sécurité et la résilience des infrastructures critiques, des services essentiels et des acteurs du secteur financier face aux cybermenaces pour un environnement numérique plus sûr.

Synthèse

NIS2 est la seconde version du projet NIS qui vise l’amélioration et la consolidation du niveau général de cybersécurité à l’échelle européenne et élargit les secteurs concernés  :

  • Fournisseurs numériques
  • Gestions des déchets et réseaux d’eaux usées
  • Administrations publiques
  • Service postaux et d’expéditions
  • Alimentation
  • Fabrication de produits chimiques et pharmaceutiques
  • Spatial
Cela s’applique aux entités qui répondent aux critères suivants :
  • Exerçant une activité au sein de l’Union européenne ;
  • Ayant un secteur d’activité inclus dans la liste des E.E. ou E.I ;
  • Ayant au moins 50 salariés ou un chiffre d’affaires annuel supérieur ou égal à 10 millions d’euros.
Par rapport à NIS 1, cette nouvelle directive a pour objectif de renforcer les réponses aux incidents en mettant en place des exigences de sécurité plus appropriées pour les infrastructures critiques, mais aussi leurs sous-traitants.

Aussi, les entreprises qui ne se conformant pas à ses dispositions relatives à la cybersécurité pour leurs activités seront passibles de sanctions financières. Pour les entités essentielles : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial. Pour les entités importantes : jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial.

Ainsi, la Directive incite les États à travailler ensemble afin de promouvoir la coopération, la coordination et l’échange d’informations puis d’assurer :

  • Des conditions de sécurité adéquates dans toute l’Union européenne ;
  • L’identification des vulnérabilités communes ;
  • Le partage des informations sur les menaces ;
  • La mise en œuvre des mesures de prévention et de réaction efficaces.

Cette directive sera transposée dès le 17 octobre 2024 et impliquera alors des mesures plus spécifiques que les entités concernées devront mettre en place afin de se conformer aux exigences.

(1) NIS2, Les objectifs de l’union européenne en matière de cybersécurité – CYBER & COLLECTIVITÉS 2023 [Video]. (2023, April 17). Retrieved from https://youtu.be/r4lCk4Is85Y

 

(2) Untersinger, M. (2022, 10 mai). Guerre en Ukraine : la Russie accusée d’être derrière la cyberattaque ayant visé le réseau du satellite KA-SAT. Le Monde.fr. https://www.lemonde.fr/pixels/article/2022/05/10/guerre-en-ukraine-la-russie-accusee-d-etre-derriere-la-cyberattaque-ayant-vise-le-reseau-du-satellite-ka-sat_6125513_4408996.html

 

(3) Des milliers d’internautes en Europe privés d’internet suite a une probable cyber-attaque. (2022, March 4). Retrieved from https://www.france24.com/fr/info-en-continu/20220304-des-milliers-d-internautes-en-europe-priv%C3%A9s-d-internet-suite-%C3%A0-une-probable-cyber-attaque

 

(4) Adoption de la directive Network and Information Security (NIS) : l’ANSSI, pilote de la transposition en France. (s. d.). ANSSI. https://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/

 

(5) Opérateurs de services essentiels (OSE). (s. d.). ANSSI. https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/faq-operateurs-de-services-essentiels-ose/

 

(6) Fournisseurs de service numérique (FSN). (s. d.). ANSSI. https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/faq-des-fournisseurs-de-service-numerique-fsn/

 

(7) Lefebvre, N. (2021, October 4). En pleine preparation de la NIS V2, mise a jour du tour d’horizon européen de transposition de la directive NIS par Les états membres… vers une convergence ? Retrieved from https://www.riskinsight-wavestone.com/2021/09/while-preparing-the-nis-2-update-of-the-european-overview-of-nis-transposition-by-the-member-states-toward-convergence/

 

(8) NIS : UN cadre de cooperation européen. (n.d.). Retrieved from https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/nis-un-cadre-de-cooperation- europeen/#:~:text=Politique%20%3A%20Le%20groupe%20de%20coop%C3%A9ration%20L%E2%80%99article%
2011,la%20coop%C3%A9ration%20 strat%C3%A9gique%20entre%20les%20Etats%20membres%20%3B

 

(9) Le CSIRTs network. (n.d.). Retrieved from https://cert.ssi.gouv.fr/csirt/csirts-network/

 

(10) Cyclone cyber NIS. (n.d.). Retrieved from https://www.bing.com/search?q=cyclone+cyber+NIS&qs=n&form=QBRE&sp=-1&ghc=1&lq=0&pq=cyclone+cy&sc=10-10&sk=&cvid=31B0CF9EE4CA4914A22F0D23DE552837&ghsh=0&ghacc=0&ghpl=&ntref=1

 

(11) Directive NIS2 : Guide de conformité etape par etape. (2022, October 18). Retrieved from https://yogosha.com/fr/blog/nis2-directive-guide-conformite/#en_resume

 

(12) NIS : UN dispositif de cybersécurité pour Les Opérateurs de service essentiel. (n.d.). Retrieved from https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/nis-un-dispositif-de-cybersecurite-pour-les-operateurs-de-service-essentiel/

 

(13) Directive NIS 2 : Présentation. (n.d.). Retrieved from https://shift-avocats.com/directive-nis-2/

 

(14) Directive NIS 2 : CE qui VA changer pour Les entreprises et l’administration francaises. (n.d.). Retrieved from https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/

 

(15) NIS 2 : Quels enjeux, obligations et sanction ? (2022, September 28). Retrieved from https://www.avocats-mathias.com/cybersecurite/nis-2-quels-enjeux-obligations-et-sanction

Image Freepik

Contact

contact@phinasoft.com
+33 6 38 37 19 49

Suivez nos actualités
sur les réseaux

Linkedin Twitter

Autres

Menu
logo-phinasoft

Crédit : Freepik

Copyright © 2024 Phinasoft | Réalisé par Phinasoft