La nouvelle directive européenne de cybersécurité NIS 2 doit entrer en vigueur le 18 octobre 2024. De nombreuses PME et ETI peuvent être concernées selon leur secteur d’activité, leur chiffre d’affaires ou leurs contrats de sous-traitance. C’est pourquoi nous vous conseillons d’anticiper maintenant l’impact que NIS 2 pourrait avoir pour votre entreprise et vos fournisseurs. Voici l’analyse de l’équipe cybersécurité de Naitways, et un point sur notre propre conformité en tant que fournisseur de service numérique.
Qu’est-ce que NIS 2 ?
La directive européenne NIS 2 (Network and Information Security) concerne la sécurité des réseaux et des systèmes d’information des infrastructures critiques. Son objectif est d’accroître le niveau global de résilience en matière de cybersécurité dans les 27 pays membres de l’Union Européenne.
NIS2 a été publiée au Journal Officiel de l’Union européenne en décembre 2022. À partir du 18 octobre 2024, NIS 2 remplacera l’ancienne directive NIS de 2016, dont elle élargit les objectifs et le périmètre d’application pour renforcer la cyber sécurité.
En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) assurera la régulation de NIS 2. Elle précisera également les détails de l’application locale. L’ANSSI mettra ainsi prochainement en ligne un service enregistrement NIS 2.
Qui est concerné par NIS 2 ?
Les organismes publics et privés, les grandes entreprises, les ETI, et même les PME peuvent être concernés par l’obligation NIS 2. Selon l’ANSSI, plus de 10 000 entités de 600 types différents devront se conformer au renforcement des normes de cybersécurité.
NIS 2 parle en fait d’« entités essentielles » (EE) et d’ « entités importantes » (EI). Ces deux nouvelles appellations remplacent et étendent la notion d’ « opérateurs de services essentiels » (OSE) dont font partie les fournisseurs de services numériques (FSN). Précisons que les « opérateurs d’importance vitale » (OIV) conservent leur appellation et devront aussi se conformer à NIS 2.
Les entités essentielles sont les entités de taille intermédiaire ou grande parmi 11 secteurs hautement critiques. Elles emploient plus de 250 personnes ou ont un CA excédant 50M€ ou un bilan excédant 43 M€.
Certaines ETI et PME peuvent être considérées comme « entités importantes » par NIS 2 si elles remplissent 3 critères d’emplacement, de taille ou d’industrie.
- Emplacement : si elles fournissent des services ou des activités dans tout pays de l’Union Européenne.
- Taille : plus de 50 employés et plus de 10 millions d’euros de recettes.
- Industrie : si elles font partie d’un des 18 secteurs critiques listés par NIS 2. En conséquence, de « petits » acteurs de la chaîne d’approvisionnement, sous-traitants ou prestataires de services peuvent être concernés par NIS 2.
Les 18 secteurs d’activité critiques selon NIS 2
11 secteurs hautement critiques | 7 autres secteurs critiques |
Secteurs déjà soumis à NIS 1 – Énergie – Transports – Secteur bancaire – Infrastructures des marchés financiers – Santé – Eau potable – Infrastructure numérique – Gestion des services TIC (interentreprises) Périmètre étendu NIS 2 – Eaux usées – Administration publique – Espace | Périmètre étendu NIS 2 – Services postaux et d’expédition – Gestion des déchets – Fabrication, production et distribution de produits chimiques – Production, transformation et distribution de denrées alimentaires – Fabrication (dont la fabrication de produits informatiques et électriques) – Fournisseurs numériques – Recherche |
Quelles sont les exigences réglementaires de NIS 2 ?
NIS 2 impose à un plus grand nombre d’organisations et entreprises de mettre en place un cadre complet de gestion des risques. Les trois obligations majeures pour les entités concernées seront de :
- Fournir certaines informations à l’ANSSI. Un premier niveau d’enregistrement sera bientôt demandé via un site d’auto-enregistrement en ligne. L’entreprise devra aussi mettre en place une organisation pour répondre aux futures demandes et audits de l’ANSSI.
- Mettre en place des mesures de gestion des risques adaptées. Ceci concerne la sécurité de l’entité elle-même ainsi que de sa chaîne d’approvisionnement (fournisseurs/prestataires). NIS 2 demande de mettre en œuvre des moyens pour assurer la continuité des activités avec les sauvegardes, Plan de Reprise d’Activité (PRA), et la gestion des crises. Des technologies comme le chiffrement et l’authentification multifacteur sont aussi préconisées. Enfin, la formation des équipes à la cybersécurité est considérée comme faisant partie des pratiques « de base ». Les détails techniques seront fixés par la Commission Européenne d’ici octobre 2024.
- Déclarer ses incidents de sécurité. Une alerte précoce devra être effectuée dans les 24 heures et une notification formelle dans les 72 heures. Un rapport d’avancement et un rapport final devront également être fournis. Soyez vigilant, car une absence de notification dans les délais sera un motif de sanction dès le 18 octobre 2024.
En cas de manquement, des sanctions financières pourront être imposées. Pour les entités essentielles, le montant maximal des amendes sera d’au moins 10 millions d’euros ou au moins 2 % du chiffre d’affaires annuel total. Pour les entités importantes, les amendes seront au maximum d’au moins 7 millions d’euros ou au moins 1,4 % du chiffre d’affaires annuel total.
Comment se préparer à la conformité NIS 2 ?
Les organismes et entreprises concernées disposeront d’un délai de plusieurs mois avant l’application des exigences réglementaires de NIS 2. L’ANSSI prévoirait même 3 ans avant d’appliquer des sanctions pour accompagner les organismes et les entreprises vers la conformité NIS 2.
Mais le renforcement des normes de sécurité n’est pas qu’une obligation réglementaire. C’est aussi une opportunité pour permettre à plus d’organismes et d’entreprises, en particulier les ETI et PME, de mieux se protéger des cybermenaces.
Dans un premier temps, nous vous conseillons de vérifier si votre entité est concernée par la directive NIS 2, avec le simulateur en ligne de l’ANSSI.
Dans un second temps, une cartographie de vos activités et services ainsi que de vos systèmes d’information vous permettra d’identifier des chantiers cybersécurité à prioriser. Les équipes Naitways peuvent vous accompagner pour réaliser cette cartographie, mener un audit de sécurité et piloter une stratégie de cybersécurité conforme à NIS 2.
De plus, nous vous conseillons de mettre en place un Plan de Sauvegarde Restauration (PRA) ou un Plan de Continuité d’Activité (PCA). Cette stratégie vous permettra de limiter les conséquences négatives d’une cyberattaque en assurant la continuité de vos activités et en protégeant vos données. Les équipes Naitways accompagnent chaque année des centaines de PME et ETI pour mettre en place leur PRA/PCA sur mesure, et surtout le tester régulièrement pour rester serein le jour d’un déclenchement.
Enfin, NIS 2 amène une réflexion étendue face aux cybermenaces. Elle inclut ainsi plus de secteurs d’activité ainsi que les chaines d’approvisionnement, partenaires et fournisseurs. Il est donc également important de vérifier la conformité de vos partenaires et prestataires vis-à-vis des normes de sécurité déjà en vigueur et leurs plans pour la conformité NIS 2.
Comment Naitways prépare sa conformité NIS 2
Naitways est déjà soumise aux obligations issues de la directive NIS 1, en tant que fournisseur de services numériques (cloud, sauvegardes, PRA/PCA et cybersécurité). Nous serons soumis à l’obligation NIS 2 comme entité importante et selon d’autres critères. En effet, l’ANSSI peut aussi requalifier une entreprise comme Naitways selon le principe de dépendance de tiers jugés critiques.
Nos services respectent déjà les obligations de gestion des risques cyber énoncés pour NIS 2. En effet, Naitways opère un cloud français souverain, certifié ISO 27001. Cela implique le respect des normes les plus strictes de cybersécurité. De plus, nous garantissons la sécurité des données sensibles de l’ensemble de nos clients avec la certification Hébergeur de Données de Santé (HDS).
La gestion des risques est au cœur de notre métier avec une expertise reconnue dans le domaine des PRA/PCA et de la cybersécurité. Enfin, notre accompagnement est adapté à la réalité des PME et ETI, dont nous comprenons les contraintes.
Toutes les exigences techniques et méthodologiques pour NIS 2 seront fixées par la Commission européenne au plus tard le 17 octobre 2024. Nos équipes suivent donc ce dossier pour garantir la conformité de notre propre dispositif de cybersécurité et ceux de nos clients.