La directive NIS 2 vise à renforcer les dispositions prévues par la NIS 1 en vue d’instaurer un niveau satisfaisant de cybersécurité dans les pays de l’Union européenne. Quelles en sont les implications concrètes ? Qui est concerné ? Comment faire face aux contraintes qu’elle impose ? Autant de questions que peuvent se poser les chefs d’entreprise quant à la directive NIS 2 et à ses conséquences, alors que s’opère une réelle prise de conscience en matière de cybersécurité des organisations. Faites le point avec DropCloud.
La directive NIS 2 : Rappel
La directive Network and Information System Security (NIS) a été adoptée par les instances européennes le 6 juillet 2016. Sa transposition en droit français a eu lieu en 2018. Son objectif principal est le renforcement de la sécurité des systèmes d’information dans l’espace européen. Elle désigne des opérateurs de services essentiels (OSE), soumis à certaines obligations en matière de cybersécurité. Elle prône également la coopération entre États, et défend la gouvernance des États membres en la matière.
Selon un processus de révision classique, les États européens ont réévalué la NIS à partir de janvier 2022. Ce travail a abouti à l’élaboration d’une nouvelle directive, dite NIS 2, qui élargit le champ d’application de la première. Elle durcit également les obligations des OSE et prévoit des contrôles renforcés. En France, l’application de la NIS s’opère sous la houlette de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Qui est concerné par la directive NIS 2 ?
Mais au fait, qui sont les OSE ? Qui est concerné par la NIS 2 ? Les OSE sont les organisations et les entreprises dont l’activité est essentielle à la vie économique et sociale du pays. La première directive NIS déterminait sept secteurs concernés. Parmi ceux-ci, la santé, l’énergie, l’eau potable, le transport, les télécommunications, la banque. En France, pour chaque secteur, il revient au Premier ministre de désigner les OSE. Il s’appuie pour cela sur plusieurs critères, dont la taille de l’entreprise ou son rôle dans son secteur économique. Entrent également en ligne de compte la taille de son marché et l’impact économique et sécuritaire d’un éventuel incident de sécurité.
Aux sept secteurs d’origine, la NIS 2 en a ajouté huit autres. Ainsi, l’alimentation, le transport, les eaux usées, les fournisseurs d’accès à internet, les datacenters, les services de gestion des déchets, certaines entreprises industrielles, les services postaux, le secteur spatial et les administrations publiques viennent allonger la liste.
Par ailleurs, le chapitre II de la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des fournisseurs de service numérique (FSN). Il s’agit pour l’essentiel des services de stockage en ligne, des moteurs de recherche et des marketplaces réalisant plus de 10 millions de chiffre d’affaires ou employant au moins 50 salariés.
Enfin, précisons que la protection des systèmes d’information d’intérêt vital (SIIV) par les organismes d’intérêt vital (OIV) est organisée en France par la loi de programmation militaire (LPM).
Quels impacts pour les entreprises concernées ?>
Les entreprises désignées comme OSE vont devoir s’adapter à cette nouvelle réglementation. Elles disposent toutefois d’un certain délai. Il faut en effet que la transposition de la nouvelle directive en droit français s’opère. Cela devrait intervenir autour d’avril 2024. Les nouveaux OSE doivent mettre à profit cette période pour prendre leurs dispositions. Que doivent-ils mettre en place ?
La Nis comporte deux volets de mesures prévues. Le premier concerne la prévention des cyberattaques. Le second s’attache au traitement des incidents.
Les entreprises désignées comme OSE ont l’obligation de déployer des mesures techniques et organisationnelles pour protéger leurs systèmes d’information essentiels (SIE). En premier lieu, elles doivent désigner dans un délai de deux mois un représentant auprès de l’ANSSI. Ensuite, elles disposent de trois mois pour identifier et déclarer leurs SIE auprès de l’agence. Elles doivent par ailleurs mettre en œuvre les différentes règles de sécurité imposées par la NIS. Pratique régulière d’audits de sécurité, analyse des risques, procédures d’authentification sont au menu. La sécurité physique des systèmes est également capitale, tout comme les possibilités d’accès distant. Enfin, un programme de maintien en condition de sécurité est nécessaire.
Que faire en cas d’incident ? Les FSN sont tenus de déclarer à l’ANSSI tout problème de sécurité d’une ampleur significative. Surtout si la continuité des services est menacée.
Les OSE doivent par ailleurs rester attentifs aux alertes et aux informations relayées par l’ANSSI. Ils ont également l’obligation de se soumettre aux éventuels contrôles de l’Agence.
S’adapter, une nécessité
Pour les entreprises désignées comme OSE, les contraintes sont nombreuses. Néanmoins, un tel effort de sécurité est nécessaire. Tout d’abord parce que les mesures prises par chacun contribuent à élever le niveau global de cybersécurité en Europe, et c’est bien l’un des objectifs de la NIS. Ensuite, parce que l’organisation contrevenante s’expose à des amendes, qui peuvent aller jusqu’à 125 000 euros. Enfin, parce que la cybersécurité est dans l’intérêt même de l’entreprise. Une cyberattaque réussie se termine trop souvent par un dépôt de bilan. Et si l’entreprise y survit, sa réputation en souffre durablement. Ses secrets professionnels sont éventés, la confiance de ses clients perdue.
Avec DropCloud, les entreprises désignées comme OSE peuvent trouver de nombreuses solutions aux obligations qu’elles doivent remplir quant à la directive NIS 2 et à ses conséquences. Connexion sécurisée, accès distants, stockage en ligne, transferts de fichier volumineux… DropCloud propose tout un panel de solutions adaptées.
About the Author: Rostom BENARIBI
