La directive Network and Information System (NIS2) est un texte législatif adopté par le Parlement et le Conseil de l’Union européenne le 14 décembre 2022. Elle remplace et abroge la directive NIS1, et a pour but de renforcer la cybersécurité des réseaux et des systèmes d’information au sein de l’Union européenne.
Elle impose des obligations minimales en matière de cybersécurité et de déclaration d’incidents aux opérateurs de services essentiels (OSE) ainsi qu’aux fournisseurs de services numériques (FSD).
Ces obligations devront être mises en œuvre avant janvier 2024 sous peine d’amendes sévères.
La directive NIS2 amène les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau Cyber Crisis Liaison Organisation Network (CyCLONe) qui rassemble l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et ses homologues européens.
Quelles sont
les obligations ?
L’élargissement du type d’organisations concernées :
De 19 à 35 secteurs. (Services postaux, gestion des déchets, production et distribution de produits chimiques, secteurs agricoles et alimentaires…) pour toute entreprise employant plus de 250 personnes, dont le chiffre d’affaires annuel dépasse 50 millions d’euros et/ou dont le bilan annuel est supérieur à 43 millions d’euros. Concernant les fournisseurs de réseaux publics de communications électroniques, ils devront appliquer ces mesures quelle que soit leur taille.
Le renforcement
des exigences en matière de sécurité
Le renforcement des exigences de sécurité impose de :
1
Fournir une liste minimale d’éléments de sécurité à appliquer
2
Notifier les incidents (24 heures suivant la découverte de l’incident)
3
Utiliser un chiffrement fort
4
Assurer la sécurité de leur réseau et de leurs systèmes d’information
5
Réaliser une évaluation des risques et mettre en place des politiques de sécurité des systèmes d’information suffisantes
6
Prévenir, détecter et réagir rapidement aux incidents
7
Fournir une liste minimale d’éléments de sécurité à appliquer
8
Mettre en place des politiques et des procédures permettant d’évaluer l’efficacité du management de la sécurité informatique
9
Assurer la sécurité de leur supply chain
NIS2 exige une gestion particulièrement rigoureuse des risques liés à la supply chain.
Une collaboration accrue
Création du réseau européen des organisations de liaison en cas de cybercrise (EU CyCLONe), spécifiquement dédié à ces initiatives. Une mesure qui vise à améliorer la collaboration entre les États membres de l’UE, en renforçant la confiance et en facilitant le partage d’informations pour mieux coordonner la gestion des crises
Des rapport d’incident plus rapide
Exigence de communication des entités concernées aux équipes nationales respectives de réponse aux incidents de sécurité informatique (CSIRT) de tout incident ayant un effet majeur sur leurs services :
Des rapport d’incident plus rapides
Exigence de communication des entités concernées aux équipes nationales respectives de réponse aux incidents de sécurité informatique (CSIRT) de tout incident ayant un effet majeur sur leurs services :
Envoi d’une alerte rapide dans les 24 heures suivant la prise de connaissance de l’incident, indiquant si l’incident pourrait résulter d’actes malveillants ou avoir une incidence transfrontalière ;
Envoi d’un rapport intermédiaire à la demande du CSIRT ou de l’autorité compétente ;
Envoi d’une notification d’incident dans les 72 heures, comprenant une première analyse de l’incident, de son ampleur et de ses conséquences ;
Envoi d’un rapport final au plus tard un mois après la notification de l’incident, détaillant la cause probable de l’incident, les mesures d’atténuation mises en œuvre et les éventuelles répercussions transfrontalières de l’incident.
Les sanctions financières potentielles en cas de non-application :
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total pour un Opérateur de Services Essentiels (OES)
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total pour un DSP (Fournisseur de Services Numériques)
