La directive NIS2 est entrée en vigueur depuis le 17 octobre 2024. Celle-ci renforce la culture de la cybersécurité au sein des entreprises européennes. En d’autres termes, il s’agit de renforcer la cyber résilience des organisations, notamment celle des infrastructures essentielles et/ou critiques.
Concrètement, deux groupes d’entités sont concernés par NIS 2 : lesquels et qu’est-ce que cela implique pour eux ? Infolegale fait le point sur la récente directive européenne.
NIS 2 c’est la directive vers laquelle de nombreuses entités ont les yeux tournés depuis plusieurs mois. En effet, la fin de l’année 2024 et le début de l’année 2025 ont été marqués par des évolutions majeures en termes de cybersécurité. La nouvelle directive NIS 2 vient remplacer NIS 1 et renforcer un certain nombre d’obligations pour les entreprises concernées.
L’objectif de la directive NIS 2 est de reprendre la directive NIS 1 de 2016 afin d’harmoniser et de renforcer davantage les obligations des États membres de l’Union Européenne.
En effet, NIS 2 se différencie de la première directive du même nom, notamment en termes de couverture, sanctions et obligations. Les sanctions en cas de non-conformité sont bien plus sévères pour les entités concernées par NIS 2. De la même manière, le champ d’application se voit élargi, puis qu’à présent la directive ne s’applique plus uniquement aux opérateurs de services essentiels.
NIS 2 concerne à présent toutes les entreprises qui fournissent des services essentiels ou importants, ce qui représente un certain nombre de secteurs d’activité.
Enfin, NIS 2 s’avère beaucoup plus exigeante que son ancêtre en termes d’obligations :
Cette évolution de la directive européenne fait suite à la recrudescence des attaques cyber à haute échelle. Depuis le Covid-19, les techniques des hackers ne font qu’évoluer et les entreprises de toutes tailles sont régulièrement visées par des cyberattaques pouvant fortement perturber, voire stopper complètement, leur activité.
L’objectif des pirates informatiques étant de viser une supply chain, en passant par les maillons les plus faibles pour pouvoir accéder aux plus grandes entreprises susceptibles de leur apporter un maximum de revenus.
De toute évidence, NIS 2 s’inscrit dans une démarche de cadrage plus strict de la cybersécurité au sein des entreprises dans les pays européens. Pourquoi ? Parce que cela permet en cas d’attaque d’assurer la continuité des activités des entités essentielles et importantes.
Toutes les entreprises ne sont pas forcément concernées par NIS 2, bien qu’une très grande majorité d’organisations puissent se retrouver dans les secteurs d’activité déterminés par l’ANSSI. En effet, le régulateur évoque deux types d’entités : les entités essentielles et les entités importantes.
NIS 2 s’applique aux administrations publiques, collectivités territoriales et aux entreprises faisant partie de secteurs clés, considérés comme essentiels voire critiques. Ces deux groupes d’entités sont les entités essentielles (EE) et les entités importantes (EI).
Les entités essentielles, sont les entités considérées comme hautement critiques :
Les entités importantes, quant à elles, sont également considérées comme critiques, mais à un moindre niveau :
Au-delà des secteurs d’activité, entrent aussi en compte la taille et le statut juridique des entreprises. Toutes les entreprises de distribution de denrées alimentaires ne doivent pas, par exemple, se conformer à NIS 2. Attention toutefois, car les petites entreprises peuvent être concernées !
|
💡Vous ne savez pas si votre entreprise correspond à l’un des groupes d’entités concerné par NIS 2 ? L’ANSSI met à disposition des entreprises un simulateur en ligne : https://monespacenis2.cyber.gouv.fr/simulateur |
Les entreprises concernées par NIS 2 sont celles de plus de 50 salariés ou avec un chiffre d’affaires supérieur ou égal à 10 M€. À noter que les prestataires et fournisseurs critiques de ces structures, sont également inclus dans les obligations de NIS 2, et ce y compris dans les chaînes de sous-traitance.
Concrètement, qu’est-ce que cela veut dire ? Que les sociétés avec qui travaillent les entreprises concernées par NIS 2, donc par exemple une entité essentielle, doivent, elles aussi, pouvoir montrer « patte blanche » en termes d’actions mises en place pour la cybersécurité. Pour s’assurer de cela, les entreprises visées soumise à la réglementation par NIS 2 doivent notamment faire un audit de leurs tiers afin de mesurer leur cyber vulnérabilité.
|
Le saviez-vous ? Une TPE peut être concernée par NIS 2 Oui ! D’autant plus que les TPE et PME sont les typologies d’entreprises les plus visées par les cyberattaques puisque celles-ci sont souvent moins bien préparées en termes de cybersécurité et sont donc des portes d’entrée faciles vers de plus gros groupes. |
Les entreprises concernées par NIS 2 doivent répondre à un certain nombre d’obligations. Comme évoqué précédemment, elles doivent répondre à un code de conduite en matière de gouvernance, gestion des risques et surveillance des incidents liés à la cybersécurité.
Dans un premier temps, ceux concernés par la directive NIS 2 se doivent de mettre en place une gouvernance en matière de gestion des risques cyber. Cela passe notamment par la formation des collaborateurs aux problématiques de cybersécurité.
Les dirigeants doivent évidemment être impliqués dans le processus, également via la formation puisque leur responsabilité pénale peut être engagée dans le cas où il y aurait un incident majeur ou en cas de contrôle par l’ANSSI.
Concrètement, les entités essentielles et importantes qui sont concernées par NIS 2 doivent s’armer face à la menace cyber croissante, sous peine de potentielles lourdes sanctions par le régulateur, en France l’Agence Nationale de la Sécurité des Systèmes d’Information.
L’autre grand pilier en termes d’obligations vis-à-vis de NIS 2 est la surveillance proactive des tiers dans le but de pouvoir détecter au plus vite d’éventuels incidents impactant la chaîne d’approvisionnement et donc y répondre efficacement.
Cela s’inscrit également dans le processus de signalement des incidents cyber obligatoire. Les entités concernées par NIS 2 doivent :
Comment faire ? Tout simplement en évaluant régulièrement la sécurité de son organisation et surtout de ses tiers. Il est plus simple de mettre en place des processus de vérification et de formation en interne pour pouvoir assurer sa propre cyber résilience, mais il est tout aussi important de le faire pour ses partenaires, fournisseurs et clients.
De toute évidence, chaque maillon de la supply chain est aujourd’hui interconnecté, puisque nous évoluons dans un monde 100% digital. Pourvoir s’assurer qu'il n'y aura pas de cyberattaque sur les tiers
à cause de leur vulnérabilité, c’est donc l’une des portes d’entrées à la mise en conformité NIS 2.
Évaluer la cyber vulnérabilité de ses tiers est l’une des priorités dans le cadre de sa mise en conformité avec NIS 2. Les relations d’affaires sont effectivement des portes d’entrées pour les cyberattaques, notamment lorsque les partenaires commerciaux sont peu matures à ce niveau. Pouvoir évaluer la cyber hygiène de ses tiers, c’est donc assurer sa propre cyber résilience.
L’actualité récente montre que certains tiers sont les portes d’entrée parfaites pour les cyberattaques de plus grande envergure. Les hackers visent les maillons les moins bien préparés de la supply chain pour essayer d’atteindre les plus grosses structures, avec les données les plus sensibles et susceptibles de payer de plus grandes rançons.
C’est pour cette raison que la directive NIS 2 comprend un volet sur l’évaluation de la sécurité des sous-traitants et fournisseurs critiques.
|
📌 Attaque cyber de la société Octave : de lourdes conséquences La société Octave a été visée en août 2024 par un ransomware. Cela a eu bien sûr un fort impact sur la société elle-même, dont le service informatique s’est retrouvé piégé, sans pouvoir résoudre la situation. De nombreuses données à caractère personnel ont été mises en péril, obligeant les partenaires de la société à alerter rapidement la CNIL pour la protection de leurs données. La conséquence de cette cyberattaque ? De nombreuses boutiques en ligne partenaires d’Octave étaient hors service pendant plusieurs jours, les obligeant à honorer les commandes des clients par téléphone et à la main. Quelques mois plus tard, une fois le ransomware démantelé, Octave entre en liquidation judiciaire, incapable de se relever de cette cyberattaque qui aura eu trop d’impact financier sur la structure. |
L’audit de ses partenaires commerciaux du point de vue cyber peut parfois s’avérer compliqué. En effet, des questionnaires peuvent être envoyés, couplés du « zero trust » en exigeant un certain nombre de garanties (certifications de cybersécurité, par exemple). Quoi qu’il en soit, cela demande aux services concernés du temps et des ressources humaines.
C’est pourquoi, des outils existent pour faciliter les process des entreprises souhaitant se conformer à NIS 2 et assurer la cyber résilience de leur entreprise. Le produit Infolegale Cyber, développé en partenariat avec SecurityScorecard permet de surveiller proactivement la surface d’attaque des tiers, notamment via un scoring de vulnérabilité cyber.
De cette manière, l’évaluation des partenaires commerciaux se fait en temps réel, aidant fortement à la priorisation des actions correctrices.
Récapitulons quand et comment se mettre en conformité avec NIS 2 pour les entreprises concernées.
Les entreprises concernées par la directive NIS 2 doivent :
| 💡 Bien que l’application définitive de NIS 2 ne soit que dans quelques mois, il convient de s’y prendre à l’avance pour être certain de pouvoir mettre en place tous les correctifs et toutes les actions de mise en conformité. |
NIS 2 n’est pas une conformité ponctuelle : il s’agit d’une vigilance sur la durée. Les entités concernées par NIS 2 doivent donc mettre en place un plan d’action sur le long terme. Voilà pourquoi les outils permettant d’opérer une surveillance en continu et en temps réel ont tout leur sens dans ce processus de mise en conformité.
De plus, le produit Cyber permet également d’avoir un suivi de ses tiers en termes de vulnérabilité cyber et de voir les améliorations ou au contraire des évolutions négatives dans leur note. Les entreprises peuvent ainsi s’inscrire dans un process d’amélioration continue et surtout peuvent à tout moment prouver aux régulateurs leur investissement dans l’évaluation cyber de leurs tiers.
Quelles sont les questions les plus fréquentes sur la directive NIS 2 ?
Les entreprises exemptées par NIS 2 sont :
Par ailleurs, les micro-entreprises et les petites entreprises ne sont généralement pas directement concernées mais attention : des exceptions sont prévues par NIS 2, notamment pour les TPE/PME collaborant avec de plus grandes structures considérées, elles, comme EE ou EI.
NIS 1 est la première version de la directive qui devient, aujourd’hui NIS 2. La directive NIS 1 visait notamment les Opérateurs de Services Essentiels (OSE) ainsi que les Fournisseurs de Services Numériques (FSN). NIS 2 quant à elle élargi beaucoup plus son champ d’application pour inclure davantage de secteurs d’activité. Aussi, au niveau national, la directive NIS 2 prend beaucoup plus d’ampleur que son ancêtre.
| 💡 La réglementation DORA est également entrée en vigueur depuis janvier 2025. Cette réglementation à échelle européenne également concerne tout particulièrement le secteur bancaire et nécessite aussi d’opérer une surveillance proactive de ses tiers. |
Une entreprise non conforme à NIS 2 risque des sanctions plus ou moins lourdes :
Les entreprises doivent avoir mis en place des processus pour être conformes à NIS 2 depuis le 17 octobre 2024.