Directive NIS 2 : quels impacts pour les PME et les collectivités territoriales ?

Adoptée par le Parlement européen le 10 novembre 2022, la Directive NIS 2 (Network and Information Systems Directive) vient d’être publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022. Les États membres disposent désormais de 21 mois pour transposer la directive au sein de leur droit national. En France, la nouvelle réglementation devrait entrer en vigueur à partir du mois de septembre 2024. Mais alors pourquoi transposer une nouvelle version de ce texte ? Quelles en sont les principales évolutions de la réglementation ? Comment les PME et collectivités territoriales vont-elles être impactées ? Éléments de réponse dans cet article.

Directive NIS 2 : une nouvelle version pour répondre aux nouveaux enjeux de sécurité.

Ransomware, phishing, arnaque au président, l’année 2022 aura démontré une nouvelle fois qu’aucune entreprise n'est épargnée par les cybermenaces. Après les cyberattaques ayant touché les sociétés Kaseya et SolarWinds en 2021, la tendance des “supply chain attack” ou attaque visant les sous-traitants aura une nouvelle fois été confortée avec la compromission des sociétés Okta (authentification) et Github (plateforme d’hébergement de code source). Plutôt que d’attaquer frontalement les petites, moyennes et grandes entreprises, les cybercriminels ont fait le choix depuis quelques années de cibler les sous-traitants pour se répandre plus facilement dans les réseaux de leurs clients.

De ce fait, comme le démontre notre rapport Security Navigator 2023, toutes les entreprises peuvent être aujourd’hui confrontées à une cyberattaque. Avec une augmentation de 5% du volume de cyberattaques, c’est plus de 99 000 incidents qui ont été traités par nos équipes CyberSOC en 2022. Avec une moyenne de 34 incidents par mois et par client, cela représente pas moins d’un incident par jour et par entreprise, un record. En Europe, l’augmentation du nombre de victimes de cyberattaques atteint les 18% en 2022. Et contrairement aux idées reçues, les TPE et PME sont 4,5 fois plus nombreuses à devenir victimes d’une cyber-extorsion que les moyennes et grandes entreprises réunies. Elles sont notamment la cible de malwares ayant des capacités de chiffrement du système d’information et de destruction des sauvegardes. Un mode opératoire qui a démontré une capacité à entraîner la faillite de l’entreprise dans les cas les plus graves. Le 30 octobre 2022, Hugues Foulon, PDG d’Orange Cyberdéfense affirmait à ce propos que : « 60 % des entreprises victimes de cyberattaque déposent le bilan dans les 6 mois ». Un constat qui incite chaque entreprise à se préparer à l’éventualité d’une attaque.

La directive NIS 1, un bouclier législatif pour les pays membres.

Dans sa première version adoptée en 2016, la directive NIS 1 avait pour objet d’identifier les entreprises des secteurs dits essentiels dont la coupure de service pouvait engendrer un impact significatif dans le fonctionnement des entreprises et des services de l'État. Chaque acteur était ainsi soumis à des obligations et à un accompagnement des services de l’ANSSI dans l'atteinte des standards de sécurité. Les entreprises chargées des infrastructures critiques de 19 secteurs comme le secteur de la santé, de l’énergie ou encore des télécommunications furent alors définies comme OSE (opérateur de services essentiels).

Même si cette première version est une avancée majeure dans l’homogénéisation de la sécurité des principales entreprises européennes, elle ne prend pas en compte les acteurs de sous-traitance et les collectivités territoriales, tous deux lourdement impactés par des incidents de sécurité ces dernières années.

La directive NIS 2 gomme ses erreurs de jeunesse et élargit son champ d’action.

On peut dire que l’article 21 de la Directive NIS2 comporte plus d’exigences que les articles 14 et 16 de la Directive NIS. De mêmes, l’obligation de notification d’incident aux autorités compétentes est plus précise dans NIS2.

Les objectifs de NIS 2 sont multiples :

• Le renforcement du niveau de sécurité des sous-traitants en contact avec des infrastructures critiques.
• L’intégration des collectivités territoriales.
• L’élargissement des secteurs concernés passant de 19 à 35 incluant les secteurs de la gestion des déchets, des services postaux ou de l’agroalimentaire.

À cela s’ajoute une dernière évolution et non des moindres, NIS 2 signe la fin des OSE et crée deux nouvelles typologies d’entreprises : les entités essentielles (EE) et les entités importantes (EI). La distinction entre ces deux typologies se fera au travers de la criticité de l’activité de l’entreprise.

En quoi l’application de NIS 2 pourrait bouleverser certaines TPE/PME et collectivités territoriales en 2024 ?

Le champ d’application de la Directive NIS 2 est plus large. Les secteurs d’activité ciblés passent de 19 à 35 secteurs incluant des secteurs comme le traitement des eaux usées, la fourniture d’eau potable ou la gestion des déchets. Cette nouvelle réglementation s’appliquera donc à l’ensemble des acteurs qui exercent leurs activités au sein de ces secteurs dans l’Union Européenne selon la taille et le secteur d'activité. Il y a une mention dans le dernier paragraphe de la directive à 160000 entités concernées.

Jusqu’à présent, seules les entreprises catégorisées OSE (Opérateur de Services Essentielles), OIV (Opérateurs d’Importance Vitale) et FSN (Fournisseurs de Services Numériques) étaient concernés. Dorénavant, certaines collectivités territoriales et entités publiques, les entreprises de plus de 50 salariés réalisant plus de 10 millions de chiffre d'affaires (et moins de 50 millions d'euros) ainsi que les sous-traitants d’entreprises soumises à cette directive devront s’y conformer.

Quelles sont les obligations des entreprises concernées ?

Les organisations concernées par cette nouvelle version devront anticiper de nouvelles obligations comme :

• Mettre en place des mesures de sécurité pour protéger les réseaux et systèmes d’information contre les cybermenaces.
• Identifier et évaluer les risques cyber.
• Coopérer avec les autorités compétentes en cas d’incident de sécurité.
• Notifier les incidents significatifs de cybersécurité par une alerte auprès du CSIRT (Centre Gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) dans les 24 heures puis par une notification d’incident dans les 72 heures.

L’application d’une telle politique de sécurité implique un investissement financier dans des produits de cybersécurité. Qu’il soit sous la forme de SOC, EDR ou XDR, la réponse à ces exigences peut devenir complexe pour certaines collectivités et PME qui rencontrent un retard dans l’utilisation d’outils de cybersécurité ainsi que dans le recrutement de compétences internes dédiées à leurs utilisations.

Des sanctions sont-elles prévues en cas de non-respect de la Directive NIS 2 ?

La Directive Européenne prévoit des sanctions en cas de non-respect des obligations par les organisations. Ces sanctions peuvent prendre différentes formes telles que des amendes (dont le montant peut atteindre 10 millions d’euros ou 2% du chiffre d’affaires total annuel de l’organisation), des sanctions pénales ou des mesures de réparation. Ces sanctions sont déterminées par les États membres qui veillent à ce que celles-ci soient efficaces, proportionnées et dissuasives.

Pour résumer, NIS 2 est une nouvelle avancée dans l’amélioration de la sécurité des entreprises en lien avec des infrastructures critiques des États membres. Dans un contexte géopolitique incertain, les PME et collectivités territoriales de ces secteurs vont subir un choc de gouvernance et d’organisation dans les prochains mois. Ce choc sera d’ailleurs majeur, puisque selon le député néerlandais Bart Groothuis, c’est plus de 160 000 entités qui devront renforcer leur sécurité. Pour absorber ce choc, ces entreprises devront s’entourer de prestataire qualifié pour les accompagner dans leur transformation.