Cet article se concentre sur les exigences pratiques de conformité à la directive NIS 2 et les principaux défis liés à sa mise en œuvre. Il fournit des conseils concrets et opérationnels sur les exigences de la directive NIS 2, des stratégies de conformité éprouvées, ainsi que les implications en cas de non-conformité.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 est, à ce jour, la législation la plus complète de l’Union européenne (UE) en matière de cybersécurité. Il s’agit de la deuxième version de la directive sur la sécurité des réseaux et des systèmes d’information (NIS). Elle a remanié la législation originale pour éliminer les imprécisions, introduire des exigences de sécurité plus complètes et étendre sa portée, avec une mise en œuvre plus harmonisée à travers un plus grand nombre de secteurs.
Comprendre la directive NIS 2 : fondamentaux, objectifs et portée
La directive NIS 2 introduit un ensemble standard d’exigences en matière de cybersécurité dans tous les États membres de l’UE. Le but étant de renforcer la cybersécurité globale et la résilience des entités essentielles et importantes au sein des États membres. Son objectif est d’identifier et d’atténuer la complexité et la fréquence croissantes des cybermenaces. Pour cela, la directive établit un socle commun de gestion des risques, de contrôles de cybersécurité, de gouvernance et de collaboration.
Objectifs de la directive NIS 2
Avec cette directive, les législateurs ont cherché à remédier à une mise en œuvre incohérente et à des niveaux de sécurité inégaux entre les secteurs en :
- Créant une responsabilité de la direction avec des exigences pour les conseils d’administration et les dirigeants de superviser et d’approuver les mesures de cybersécurité, avec une responsabilité personnelle potentielle en cas de non-conformité.
- Améliorant la collaboration transfrontalière grâce à des mécanismes tels que le réseau européen des organisations de liaison en cas de cybercrise (EU-CyCLONe).
- Établissant des protocoles de signalement des incidents avec des délais stricts pour notifier aux autorités les incidents significatifs.
- Élargissant le champ d’application pour couvrir davantage de secteurs et de types d’entités, y compris ceux qui n’étaient pas réglementés auparavant.
- Harmonisant les règles d’application et les sanctions dans toute l’UE.
- Introduisant des exigences de sécurité basées sur les risques, y compris l’adoption de mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques de cybersécurité.
Secteurs clés et entités concernés par la directive NIS 2
Elle introduit des règles de seuil de taille afin de cibler les entités dont la défaillance aurait un impact étendu.
Elle conserve toutefois une flexibilité permettant d’inclure des opérateurs plus petits mais hautement critiques. Les principaux secteurs et entités concernés sont les moyennes et grandes entreprises. Cependant, les petites organisations peuvent également être couvertes par la directive NIS 2 si elles sont les seuls fournisseurs d’un service critique dans une région ou si leur perturbation pourrait avoir un impact significatif sur la sécurité ou la santé publique.
Les organisations classées comme moyennes ou grandes selon les normes de l’UE sont concernées. Toutefois, ces paramètres ne s’appliquent pas aux organisations de secteurs spécifiques, telles que celles qui sont :
- Considérées comme des infrastructures critiques
- Fournisseurs de services publics (par ex. réseaux de communications électroniques)
- Fournisseurs d’un service dont l’interruption pourrait avoir un impact sur la sécurité publique, la sûreté ou la santé, ou causer des risques systémiques
- Le seul fournisseur d’un service à un gouvernement
Catégories d’entités sous la directive NIS 2
Les organisations, entreprises et fournisseurs concernés par la directive NIS 2 sont divisés en deux catégories : les entités essentielles et les entités importantes. Il s’agit d’une distinction matérielle, avec des régimes de supervision et d’application différents s’appliquant à chacune, favorisant la résilience et la sécurité dans les domaines clés de l’infrastructure critique de l’UE.
Obligations des entités importantes et essentielles sous la directive NIS 2
Les entités essentielles (EE) et les entités importantes (EI) sont tenues de se conformer aux exigences fondamentales de la directive NIS 2, notamment :
- Mesures de gestion des risques
- Plans de réponse aux incidents et de gestion de crise
- Continuité des activités et reprise après sinistre
- Gestion des risques liés à la chaîne d’approvisionnement et aux tiers
- Sécurité des réseaux et des systèmes d’information
- Politiques de sécurité pour le traitement des données et la divulgation des vulnérabilités
- Politiques sur le développement, les tests et la maintenance sécurisés
- Cyberhygiène et formation à la cybersécurité pour le personnel
- Signalement des incidents
- Gouvernance et responsabilité
- Les conseils d’administration et la haute direction doivent approuver les mesures de cybersécurité
- La direction peut être tenue personnellement responsable en cas de non-conformité
- Programmes obligatoires de formation et de sensibilisation au niveau de la direction
- Supervision et application
Dates clés et calendrier de mise en œuvre de la directive NIS 2
La directive NIS 2 est entrée en vigueur en janvier 2023. Les États membres de l’UE devaient adopter et publier les dispositions législatives nécessaires pour se conformer à la directive NIS 2 au plus tard le 17 octobre 2024. Après cette date limite, les États membres de l’UE avaient jusqu’au 17 avril 2025 pour identifier les entités essentielles et importantes décrites dans la directive NIS 2. Les entités liées par la directive NIS 2 sont tenues de s’enregistrer dans tout État membre de l’UE où elles fournissent des services avant chacune de leurs dates limites, et de soumettre des mises à jour au moins tous les deux ans par la suite.
NIS 1 vs NIS 2 : Quelles sont les nouveautés ?
Les tableaux suivants illustrent les comparaisons entre la directive NIS et la directive NIS 2 par la Commission européenne.
Comparaison des capacités de cybersécurité : NIS 1 vs NIS 2
| Capacités NIS | Capacités NIS 2 |
|---|---|
| Les États membres de l’UE améliorent leurs capacités de cybersécurité. | Des mesures de supervision et d’application plus strictes sont introduites. Une liste de sanctions administratives, y compris des amendes pour violation des obligations de gestion des risques de cybersécurité et de signalement, est établie. |
Comparaison des mécanismes de coopération : NIS 1 vs NIS 2
| Coopération NIS | Coopération NIS 2 |
|---|---|
| La coopération au niveau de l’UE a augmenté. | Le réseau européen des organisations de liaison en cas de cybercrise (EU-CyCLONe) est établi pour soutenir la gestion coordonnée des incidents de cybersécurité à grande échelle au niveau de l’UE. Le partage d’informations et la coopération entre les autorités des États membres sont accrus avec le rôle renforcé du groupe de coopération. La divulgation coordonnée des vulnérabilités nouvellement découvertes à travers l’UE est établie. |
Comparaison des exigences de gestion des risques de cybersécurité : NIS 1 vs NIS 2
| Gestion des risques de cybersécurité NIS | Gestion des risques de cybersécurité NIS 2 |
|---|---|
| Les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) doivent adopter des pratiques de gestion des risques et notifier leurs autorités nationales des incidents significatifs. | Les exigences de sécurité sont renforcées avec une liste de mesures ciblées, incluant la réponse aux incidents et la gestion de crise, le traitement et la divulgation des vulnérabilités, les politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques de cybersécurité, les pratiques d’hygiène informatique de base et la formation à la cybersécurité, l’utilisation efficace de la cryptographie, la sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs. La cybersécurité de la chaîne d’approvisionnement pour les technologies clés de l’information et de la communication est renforcée. Les obligations de signalement des incidents sont renforcées avec des processus de signalement, un contenu et des délais plus précis. |
Les changements supplémentaires inclus dans la directive NIS 2 sont :
- Obligations renforcées pour les entités essentielles et importantes de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles pour gérer les risques
- Expansion significative des exigences de signalement des incidents
- Sanctions plus strictes en cas de non-conformité à la directive NIS 2
Exigences de conformité NIS 2 : Actions, signalement et implications juridiques
La directive NIS 2 crée un certain nombre d’obligations et de responsabilités pour les entités couvertes et spécifie des processus juridiques détaillés pour la surveillance et le maintien de la conformité. Il est notable que la directive NIS 2 ne spécifie pas explicitement de changements technologiques à mettre en œuvre. Elle décrit plutôt des concepts et des bonnes pratiques pour améliorer la posture de sécurité des organisations.
Mesures de sécurité techniques et organisationnelles
- Mettre en place des mesures techniques, opérationnelles et organisationnelles proportionnées correspondant aux risques de l’entité (par ex. taille, exposition, probabilité et impact).
- Formaliser et maintenir des politiques pour les systèmes de sécurité ainsi que pour l’identification, l’évaluation et le traitement des risques.
- Définir des processus de gestion des incidents, des rôles, des outils et des protocoles (« playbooks ») pour détecter, trier, contenir, éradiquer et récupérer après des incidents.
- Développer des plans de continuité des activités et de gestion de crise pour assurer la restauration rapide des services critiques.
- Évaluer et gérer les risques provenant de tiers (par ex. les fournisseurs directs et les prestataires de services).
- Établir des politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques (par ex. les tests, métriques et audits).
- Maintenir des niveaux élevés de cyberhygiène, tels que la gestion des correctifs, le durcissement (« hardening »), le principe du moindre privilège et la journalisation des événements.
- Mener régulièrement des formations de sensibilisation à la cybersécurité et aux risques pour tous les utilisateurs.
- Créer des règles pour l’utilisation de la cryptographie (par ex. les données au repos ou en transit et la gestion des clés).
- Employer et appliquer un processus d’arrivée, de mouvement et de départ (« joiner–mover–leaver ») avec un contrôle approprié au rôle, une formation obligatoire à la sécurité, des obligations de confidentialité et des mesures disciplinaires définies.
- Appliquer le principe du moindre privilège et des restrictions d’accès basées sur le besoin d’en connaître avec l’authentification multifacteur (MFA), le contrôle d’accès basé sur les rôles (RBAC), les revues périodiques des accès, la gestion des accès privilégiés (PAM) pour les administrateurs et l’accès à distance sécurisé.
- Maintenir un inventaire des actifs matériels, logiciels et de données sur site, dans le cloud et dans les applications SaaS. De plus, attribuer des propriétaires et des classifications pour tous les actifs, et suivre leur cycle de vie.
- Sécuriser les canaux de communication (par ex. e-mail, voix, vidéo et SMS).
Ce qui doit être signalé
Les incidents significatifs doivent être signalés. Cela inclut tout incident ayant causé, ou pouvant causer, une perturbation opérationnelle grave ou une perte financière, ou qui pourrait nuire à autrui ou perturber les services.
Délais de signalement
Le compte à rebours commence lorsque l’entité prend connaissance d’un incident. Dans les 24 heures, une alerte précoce doit être envoyée au CSIRT ou à l’autorité compétente indiquant la cause suspectée et l’impact transfrontalier potentiel.
Une notification d’incident, incluant l’évaluation initiale, la gravité, l’impact et les indicateurs de compromission (IoC), doit être déposée dans les 72 heures. Un rapport final (ou une mise à jour si l’incident est en cours) doit être déposé dans un délai d’un mois après le dépôt de la notification d’incident.
Ce qui constitue un incident significatif
Avec la directive NIS 2, l’importance d’un incident est une évaluation qualitative de la gravité, de la perturbation, de la perte financière ou du préjudice causé à autrui. Cependant, il existe plusieurs seuils stricts, notamment :
- Perte financière — ≥ 500 000 € ou 5 % du chiffre d’affaires annuel (le montant le plus bas étant retenu)
- Indisponibilité — > 30 minutes de panne complète pour le cloud, les CDN et les MSP/MSSP (d’autres règles spécifiques aux entités peuvent varier)
- Disponibilité dégradée — service limité pour > 5 % des utilisateurs de l’UE ou > 1 million d’utilisateurs pendant > 1 heure
- Compromission de données — intégrité, confidentialité ou authenticité compromises
- Accès non autorisé — capable de causer une perturbation grave ou des incidents récurrents
Qui notifier et comment fonctionne la coordination
- Notifier le CSIRT national ou l’autorité compétente
- Pour les incidents touchant plusieurs États membres, le CSIRT, l’autorité compétente ou le point de contact unique national (SPOC) doit informer les autres États membres concernés et l’Agence de l’Union européenne pour la cybersécurité (ENISA) sans délai injustifié
- Lorsque cela est nécessaire dans l’intérêt public (par ex., pour prévenir ou gérer un incident en cours), les autorités peuvent informer le public ou exiger des entités qu’elles le fassent
- Le SPOC de chaque pays soumet des résumés trimestriels avec des rapports agrégés et anonymisés à l’ENISA
Attentes en matière de gouvernance et de documentation
Gouvernance
- Surveillance et responsabilité du conseil d’administration, la direction approuvant formellement le programme de cyber-risques, examinant les résultats au moins annuellement, et après des incidents majeurs
- Rôles définis avec des propriétaires nommés
- Politiques et normes régulièrement révisées et mises à jour selon les besoins
- Déclarations de tolérance au risque et lignes directrices d’acceptation du risque
- Inclusion de tous les tiers dans les politiques
Évaluation des risques
- Méthodologie documentée exécutée au moins annuellement et lors de changements significatifs (par ex., nouveau système, fournisseur ou incident)
- Processus d’analyse des risques basés sur les menaces
- Registre des risques avec propriété, dates cibles, traitements choisis et liens vers des contrôles spécifiques
Documentation
- Documents fondamentaux du programme, incluant la politique de sécurité de l’information, la politique de gestion des risques, les protocoles de gestion des actifs et des configurations, les règles d’identité et de contrôle d’accès, et les processus de gestion du changement
- Plan de réponse aux incidents pouvant inclure des « playbooks »
- Plans de sauvegarde et de récupération
- Règles de cycle de vie de développement logiciel sécurisé (SDLC)
- Règles de gestion des fournisseurs
- Registres de formation à la sécurité et à la sensibilisation aux risques
Audit
Les entités essentielles font face à des audits et inspections proactifs, tandis que les entités importantes sont contrôlées après des incidents ou des plaintes. Notez que les autorités peuvent ordonner des inspections sur site ou hors site, des scans de sécurité technique et des audits indépendants ciblés. Les considérations d’audit NIS 2 incluent :
- Cycle annuel d’audits internes, de tests techniques (par ex., scans de vulnérabilité et conformité de configuration) et de tests d’intrusion indépendants
- Enregistrements de métriques et preuves de conformité, telles que politiques, évaluations des risques, inventaires d’actifs, registres d’incidents, tests de reprise après sinistre, journaux de formation, diligence raisonnable des fournisseurs, et artefacts de changement, de correctifs, de gestion des identités et des accès, et de cryptographie
Responsabilités de la direction
La directive NIS 2 tient la direction responsable de :
- S’assurer que les évaluations des risques de cybersécurité sont effectuées
- Mettre en œuvre des mesures de sécurité techniques et organisationnelles
- Gérer les risques de manière appropriée
- Soutenir la cybersécurité par le biais de programmes de formation et de gestion des risques
Comment relever les défis concrets de mise en œuvre de la directive NIS 2
Voici plusieurs étapes recommandées pour se préparer à mettre en œuvre les exigences de cette directive.
Adopter une approche proactive de la sécurité
Effectuez continuellement des analyses de risques pour identifier les menaces potentielles de manière proactive. Cette approche permet de traiter les vulnérabilités en amont et de mieux répondre aux exigences de conformité de la directive.
Chiffrer toutes les données critiques
Pour répondre aux exigences strictes de la directive NIS 2, le chiffrement doit être généralisé. Il doit couvrir les bases de données, les communications, les documents, les serveurs et les infrastructures critiques.
Favoriser une culture axée sur la sécurité
La haute direction doit faire de la cybersécurité une priorité pour l’ensemble de l’organisation. Une culture de cybersécurité efficace commence par le leadership et se diffuse dans tous les départements. La formation à la sécurité doit être adaptée aux rôles et responsabilités de chaque employé. Elle permet de comprendre l’impact individuel sur la sécurité globale de l’organisation.
Identifier les services, processus et actifs critiques liés au service essentiel tel que défini dans la directive NIS 2
Déterminer ce qui nécessitera des protections supplémentaires pour assurer la conformité peut se faire en menant une analyse d’impact. Cela aide à identifier quels systèmes et processus entrent dans le champ d’application de la directive NIS 2.
Mettre en œuvre des systèmes de gestion des risques et de la sécurité de l’information conformes pour répondre aux exigences de la directive NIS 2
De nombreuses organisations constatent qu’elles doivent mettre à niveau ou changer leurs systèmes de gestion de la sécurité de l’information pour se conformer à la directive NIS 2. L’organisation doit être capable de :
- Démontrer des responsabilités clairement définies
- Garantir le fonctionnement des processus clés de sécurité
- Assurer la gestion des incidents, de la continuité d’activité et des risques tiers
- Former les employés à la cybersécurité
- Identifier, corriger et surveiller les risques de sécurité
Rendre l’authentification multifacteur obligatoire pour tous les utilisateurs
La mise en œuvre de l’authentification multifacteur (MFA) pour sécuriser tous les comptes, au lieu des mots de passe seuls, joue un rôle intégral dans la protection des actifs et le respect des exigences de la directive NIS 2.bb
Se préparer au signalement des incidents
En cas d’incident, le temps est compté pour la conformité NIS 2. Les étapes pour assurer une réponse rapide à un incident incluent :
- Préparer des modèles pour les rapports de 24 heures, 72 heures et 30 jours
- Avoir une fiche de contact de l’équipe de réponse aux incidents de sécurité informatique (CSIRT)
- Définir la « prise de conscience » en interne, puisque le compte à rebours commence après que l’évaluation initiale confirme un incident significatif
- Mener des formations pour toutes les parties qui seront engagées dans l’exécution du plan de réponse aux incidents
Comprendre les exigences de la directive NIS 2 et se préparer à les respecter
Cela signifie prendre le temps d’étudier les exigences et d’évaluer l’état de préparation de l’organisation à s’y conformer. Cela inclut l’identification des lacunes et la mise en place de plans pour les combler avant la date limite de conformité.
Une autre composante de la préparation est d’obtenir le soutien de la direction, l’adhésion des parties prenantes, ainsi que le budget et les ressources nécessaires. Commencer tôt est impératif car les retards sont presque inévitables, et les délais ne permettront pas de retards.
Exemples concrets de conformité NIS 2 dans l’UE
Conformité NIS 2 transfrontalière
Pour les entités transfrontalières, la conformité NIS 2 repose sur un principe d’« établissement principal », où un État membre de l’UE agit en tant que régulateur principal. Cependant, les réseaux de coopération (par ex., EU-CyCLONe et le groupe de coopération NIS) garantissent que les incidents affectant plusieurs pays sont gérés de manière cohérente, évitant une application fragmentée. L’exemple suivant d’un fournisseur de services cloud illustre comment la conformité NIS 2 transfrontalière se déroule dans l’UE.
Un fournisseur cloud dont le siège est aux États-Unis et possédant des centres de données en Allemagne, en France et en Irlande est soumis à la directive NIS 2 en tant qu’entité essentielle. Dans ce cas, le fournisseur doit désigner son établissement principal dans l’UE (par ex., le siège en Irlande) comme juridiction principale. Ensuite, le régulateur irlandais deviendrait l’autorité de surveillance principale. Cela inclut la coordination de la gestion des incidents et de la surveillance avec les autorités allemandes et françaises. Par exemple, si un incident de sécurité en Allemagne perturbe les services à travers l’UE, le fournisseur signale via le point de contact unique (SPOC) de l’Irlande, qui partage l’information avec les autres États membres.
Coordination avec les fournisseurs tiers pour la conformité NIS 2
La gestion des risques liés aux tiers et à la chaîne d’approvisionnement est une partie essentielle de la directive NIS 2. Sous NIS 2, les entités restent responsables de la sécurité même lorsqu’elles externalisent. Cela signifie que des évaluations robustes des fournisseurs, des garanties contractuelles, une surveillance et des obligations de signalement doivent être en place pour les fournisseurs tiers. Le rôle des tiers dans les chaînes d’approvisionnement manufacturières est démontré dans l’exemple suivant.
Un fabricant de dispositifs médicaux, classé comme entité importante, s’approvisionne en composants IoT auprès de multiples fournisseurs à travers l’UE. Le fabricant est tenu de cartographier l’ensemble de l’écosystème de fournisseurs pour identifier les dépendances critiques et d’avoir un plan de continuité des activités qui inclut des accords d’approvisionnement alternatifs si un fournisseur est compromis. De plus, les fournisseurs doivent adhérer aux normes ISO/IEC 27001 ou équivalentes et fournir des rapports d’audit de cybersécurité.
La directive NIS 2 : une tendance croissante
La directive NIS 2 établit un socle de cybersécurité obligatoire et harmonisé dans toute l’UE. Elle élargit l’éventail des secteurs couverts, fixe des obligations de gestion des risques et de signalement plus strictes, et tient la direction responsable de la conformité.
La directive NIS 2 représente une tendance croissante visant à intégrer la cybersécurité et la cyber-résilience dans la législation. Avec la directive NIS 2, chaque État membre de l’UE est tenu de l’adopter comme loi.
La directive NIS 2 a une portée étendue sur les organisations de tous types avec l’intention de renforcer les défenses contre l’escalade des cybermenaces. La bonne nouvelle concernant la directive NIS 2 et les initiatives similaires est qu’elles aident les organisations à améliorer leur posture globale de cybersécurité, ce qui a des impacts positifs sur tous les aspects des opérations.
AVIS DE NON-RESPONSABILITÉ : LES INFORMATIONS CONTENUES DANS CET ARTICLE SONT FOURNIES À TITRE INFORMATIF UNIQUEMENT, ET RIEN DE CE QUI EST TRANSMIS DANS CET ARTICLE N’EST DESTINÉ À CONSTITUER UNE QUELCONQUE FORME DE CONSEIL JURIDIQUE. SAILPOINT NE PEUT PAS FOURNIR DE TELS CONSEILS ET VOUS RECOMMANDE DE CONTACTER UN CONSEILLER JURIDIQUE CONCERNANT LES QUESTIONS JURIDIQUES APPLICABLES.
