Tout savoir sur les changements de la nouvelle directive NIS 2

La directive NIS 2 s'appliquera à toutes les entreprises offrant des services ou activités dans l'Union européenne. Cela concerne les entreprises basées en Europe ou celles fournissant des services aux citoyens européens, y compris celles basées à l'étranger si elles opèrent dans les secteurs visés.

Les critères de taille sont désormais plus précis.

• Les grandes entreprises : plus de 250 employés ou un chiffre d'affaires supérieur à 50 millions d'euros.
• Les moyennes entreprises : entre 50 et 250 employés et un chiffre d'affaires entre 10 et 50 millions d'euros.
• Les petites entreprises : moins de 50 employés et un chiffre d'affaires inférieur à 10 millions d'euros.

Dans la première version de NIS, les États membres désignaient des OSE (Opérateurs de Services Essentiels) et des FSN (Fournisseurs de Services Numériques), qui avaient l’obligation de déclarer leurs systèmes d'information auprès des agences gouvernementales compétentes. Avec NIS 2, l'approche se voit simplifiée : si une entreprise répond aux critères, elle est incluse. Il n'y a ici plus besoin de déclaration spécifique.

Le nouveau texte remplace les OSE et FSN par deux nouvelles désignations : Entité Essentielle et Entité Importante. Les grandes entreprises seront généralement des EE, tandis que les moyennes entreprises seront des EI, à quelques exceptions près.

Comme l'explique Gaël Prado, Consultant senior en réglementation chez Orange Cyberdefense : « Le texte NIS 2 opère un véritable changement en termes de volumétrie. En France, par exemple, environ 300 OSE étaient désignés sous l’égide de NIS 1, mais avec les nouvelles règles de NIS 2, ce nombre pourrait atteindre environ 20 000 entreprises, en prenant les chiffres de l'INSEE et sans prendre en compte les collectivités territoriales qui pourraient s’y ajouter. » 

La nouvelle réglementation européenne élargit considérablement le champ des secteurs d'activité concernés par rapport à NIS 1. Voici les principaux secteurs impactés par cette mise à jour :

Secteurs déjà critiques sous NIS 1 : Tous les secteurs considérés comme hautement critiques dans NIS 1 sont maintenus dans NIS 2. Cela signifie que si une entreprise était déjà catégorisée comme OSE sous NIS 1, elle serait automatiquement concernée par NIS 2.

Secteur spatial : Une nouveauté dans NIS 2 est l'inclusion du secteur spatial, y compris les exploitants d'infrastructures terrestres et les appareils spatiaux.

Secteur alimentaire : Ce secteur couvre la production, la transformation et la distribution de denrées alimentaires, y compris les coopératives et la grande distribution.

Secteur de la fabrication : Il englobe la fabrication industrielle, l'équipement, les machines-outils, les moyens de transport et les dispositifs électroniques et optiques.

Technologies de l'information et de la communication : Une grande nouveauté dans NIS 2 réside dans l'inclusion des plateformes de marché en ligne, y compris les sites e-commerce qui mettent en relation vendeurs et acheteurs, ainsi que les moteurs de recherche et les réseaux sociaux, à condition qu'ils emploient plus de 50 personnes.

Gestion des déchets et eaux usées : Ce secteur rejoint ceux déjà concernés par NIS 1, comme la gestion de l'eau potable.

Production et distribution de produits chimiques : Ce secteur a été séparé de la fabrication et est considéré comme un secteur à part, en raison de réglementations spécifiques.

Administrations locales et régionales : Certaines décisions concernant l'inclusion des administrations locales et régionales sont laissées à la discrétion des États membres, avec une attention particulière aux grandes métropoles et aux communautés de communes.

Recherche et enseignement supérieur : Les organismes de recherche et les établissements d'enseignement supérieur qui effectuent des activités de recherche critique sont inclus, bien que la définition soit encore à préciser.

Services essentiels à la santé publique et à la sécurité : Cette catégorie est laissée à la discrétion des États membres et comprend les services dont la perturbation pourrait avoir un impact significatif sur la santé publique, la sûreté et la sécurité.

Les grandes entreprises, généralement celles avec plus de 250 employés, sont classées comme Entités Essentielles (EE), en particulier dans les secteurs déjà critiques sous NIS 1. Dans le secteur de la Santé, cela inclut les organismes publics ou privés fournissant des soins de santé avec un certain volume d'employés ou de chiffre d'affaires. Les infrastructures numériques, indépendamment de leur taille, sont aussi considérées comme EE, y compris les entreprises gérant des réseaux, des câbles, des points d'échange, etc. De plus, les services d'information et de communication pour les entreprises, comme les fournisseurs de services managés et de sécurité managés, sont classés comme EE. Enfin, toutes les administrations publiques, quels que soient leur taille et leur niveau (local ou régional), entrent également dans cette catégorie.

Les entreprises de taille moyenne, typiquement celles ayant moins de 250 employés mais plus de 50, sont classées comme Entités Importantes (EI). Cela s'applique également à certains nouveaux secteurs intégrés dans NIS 2, tels que le secteur de la Fabrication, qui comprend la production de dispositifs médicaux, de produits informatiques, électroniques, optiques, d'équipements et de machines, et les moyens de transport.

Pour les Entités Essentielles

Les sanctions financières peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial total. De plus, une obligation de notification est imposée en cas de violation ou d'incident cyber, similaire à celle du RGPD. Les EE doivent déclarer ces incidents, même en l'absence de fuite de données personnelles.

Un élément distinctif pour les EE est la possibilité d'une interdiction d'exercice pour les dirigeants en cas de non-conformité.

Les EE sont également sujettes à des contrôles inopinés. Les autorités compétentes pourront effectuer des contrôles de manière similaire à ce qui est pratiqué pour le RGPD avec la CNIL.

Pour les Entités Importantes

Les sanctions financières sont légèrement plus clémentes : jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial total.

Comme pour les EE, les EI ont une obligation de notification en cas d'incident de sécurité. Toutefois, elles ne sont pas sujettes à une interdiction d'exercice pour leurs dirigeants.

Les contrôles pour les EI sont généralement a posteriori, notamment après une notification d'incident. Ces contrôles visent à vérifier que les mesures de sécurité annoncées sont bien mises en œuvre.

À noter aussi que les exigences de conformité sont les mêmes pour les EE et les EI mais avec une certaine proportionnalité, comme l’explique l’ANSSI dans sa FAQ.

Gouvernance et Formation

Une nouveauté de NIS 2 est la responsabilité de la direction dans la gestion des incidents cyber. Concrètement, cela implique que le PDG, mais aussi l'ensemble du comité exécutif (COMEX) doivent être formés et déclarés comme responsables de la cybersécurité au sein de l'entreprise. En cas de non-conformité, notamment pour les entités essentielles, les conséquences peuvent être graves, telles que l'interdiction d'exercer pour les dirigeants ou l'arrêt forcé de la prestation de services de l'entreprise.

Mesure de Gestion des Risques

Les entreprises doivent mettre en place une démarche de gestion des risques, comprenant l'analyse et un plan de traitement des risques. Cela implique de créer et de maintenir un ensemble de politiques et de procédures de cybersécurité, couvrant des domaines tels que la gestion des comptes, le maintien à jour du périmètre de sécurité et la sensibilisation à la cybersécurité. L'exigence d'une approche de gestion des risques 360° montre que la cybersécurité doit être intégrée dans tous les aspects de l'entreprise, de la Recherche et Développement (R&D) aux services supports, en passant par l'infrastructure et les activités industrielles. Les problématiques liées à la continuité des services fournis par les EE et EI doivent être prises en compte dans la stratégie de l'entreprise et pas uniquement au niveau des systèmes d'information.

Notification des incidents

Les entreprises doivent signaler tout incident de cybersécurité majeur à l'autorité nationale compétente, telle que l'ANSSI en France, sous 72 heures. Elles doivent disposer de processus clairs pour évaluer, répondre et se remettre de tels événements. Cela implique d'avoir des moyens techniques et organisationnels afin de détecter, qualifier et réagir aux incidents de sécurité.

NIS 2 étend indirectement ses exigences aux sous-traitants des entités essentielles et importantes, sous certaines conditions. Si un sous-traitant fournit des composants ou des services à une entité essentielle ou importante, il devra probablement adapter ses propres mesures de sécurité pour répondre aux exigences de sécurité de l'entité principale.

De plus, les États membres peuvent inclure dans leur législation nationale des mesures complémentaires de gestion des risques. Par exemple, en se basant sur des guides existants comme le guide d'hygiène de l'ANSSI, ils pourraient exiger des pratiques de sécurité informatique spécifiques, telles que la séparation des comptes pour l'administration des composants ou l'utilisation de réseaux dédiés.