La Directive NIS 2 : impacts et enjeux pour la cybersécurité

La cybersécurité s’inscrit au cœur de l’évolution du paysage numérique mondial. Dans un monde de plus en plus interconnecté, où les avancées technologiques ouvrent des portes à l’innovation, elles créent simultanément des vulnérabilités susceptibles d’être exploitées par des acteurs malveillants. Face à cette dynamique constante, la nécessité de réguler et de renforcer la résilience numérique est devenue plus que nécessaire. 

Dans ce contexte, la Directive NIS 1 (Network and Information System) a joué un rôle précurseur en établissant les premiers jalons pour la protection des infrastructures critiques et des services numériques au sein de l’Union Européenne. Cette directive a marqué le début d’une ère réglementaire en matière de cybersécurité, contraignant les États membres de l’Union Européenne à prendre des mesures pour garantir un niveau élevé de sécurité. 

Alors que la directive NIS 1 a posé les fondements, l’Union Européenne s’apprête à franchir une nouvelle étape cruciale avec l’introduction de la Directive NIS 2, adoptée et publiée fin décembre 2022. Cette évolution législative vise à renforcer les mécanismes de protection existants, anticipant les défis émergents et consolidant les acquis pour mieux répondre aux menaces cybernétiques en constante mutation. L’annonce de la Directive NIS 2, et son entrée en vigueur le 17 octobre 2024, suscite naturellement une série de questionnements et soulève des enjeux stratégiques majeurs, tant pour les acteurs du secteur de la cybersécurité que pour l’écosystème numérique dans son ensemble. 

Directive NIS 2 vs Directive NIS 1

Présentation de la directive NIS 1

Adoptée en juillet 2016 et transposée par les états membres en juillet 2018, la directive NIS 1 constitue le socle initial de la régulation européenne de la cybersécurité. Sa mise en place était axée sur la protection des infrastructures critiques et des services numériques sensibles (OSE et OIV), instaurant des mécanismes visant à renforcer la sécurité des réseaux et des systèmes d’information. À travers ses dispositions, la directive NIS 1 a jeté les bases d’une approche proactive et collaborative face aux menaces numériques. 

La directive NIS 1 implique la nécessité de mettre en place des mesures de sécurité robustes pour protéger les réseaux et systèmes d’information. Cela inclut l’identification et la gestion des risques de sécurité, la détection et la réponse aux incidents, ainsi que la mise en œuvre de bonnes pratiques de sécurité.  

Analyse des principales nouveautés introduites par la Directive NIS 2

La Directive NIS 2 représente une évolution significative, adaptant la réglementation aux réalités changeantes du cyberespace. Les changements majeurs incluent une extension du champ d’application pour englober de nouvelles catégories d’entités, ainsi que la redéfinition des obligations et responsabilités des acteurs du secteur numérique. 

Comparaison des différences clés entre les deux directives.

  1. Élargissement du champ d’application :
  • NIS 1 : Dans la directive NIS 1, l’accent était mis sur la protection des opérateurs de services essentiels (exemple : EDF, Crédit Agricole, SNCF…) et des fournisseurs de services numériques (exemples : Orange, Cap Gemini, Cdiscount…). Ces entités étaient considérées comme les piliers essentiels du paysage numérique européen en raison de leur impact significatif sur la continuité des services essentiels et la stabilité des réseaux numériques. 
  • NIS 2 : La Directive NIS 2 marque un changement significatif en élargissant très fortement le champ d’application réglementaire. En plus des opérateurs de services essentiels et des fournisseurs de services numériques, la directive NIS 2 inclut désormais les plateformes en ligne et d’autres acteurs qui n’étaient pas initialement pris en compte. Cela signifie que des services numériques plus diversifiés, y compris les plateformes en ligne fournissant des services tels que le commerce électronique, les réseaux sociaux, et les services de cloud computing, entrent désormais dans le périmètre de la réglementation.  

Concrètement et selon l’ANSSI, 300 opérateurs de services essentiels étaient concernés par la directive NIS 1, 10 000 entités le seront par NIS 2, 30 fois plus !

Les secteurs hautement critiques11 secteurs  

  • Energie
  • Transport
  • Secteur bancaire
  • Infrastructure des marchés financiers
  • Santé
  • Eaux potables et usées
  • Infrastructures numériques
  • Administration publique
  • Espace

Les secteurs critiques7 secteurs 

  • Services postaux d’expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques 
  • Fabrication, production et distribution de denrées alimentaires
  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche et réseaux sociaux)
  • Centres et organismes de recherche 


Cette extension du champ d’application vise à garantir une protection adéquate contre les menaces émergentes pour l’ensemble du paysage numérique, reflétant la réalité changeante du cyberespace et l’importance croissante de nouveaux acteurs dans la fourniture de services numériques.
 

Les 3 critères nécessaires pour être concernés par la directive NIS 2 : 

  1. 1 – Compter plus de 50 employés 
  2. 2 – Générer un chiffre d’affaires annuel de plus de 10 millions € 
  3. 3 – Exercer dans un des secteurs critiques cités ci-dessus.
     
  4. Obligations et responsabilités renforcées :
  • NIS 1 : cette directive a établi des mécanismes de prévention et de gestion des incidents, mettant l’accent sur la nécessité pour les entités concernées de mettre en place des mesures de sécurité pour prévenir les incidents de cybersécurité autant que possible. Cependant, ces obligations étaient souvent moins spécifiques, laissant aux entités une certaine latitude dans la mise en œuvre des mesures de sécurité. 
  • NIS 2 : La directive NIS 2 va au-delà en renforçant ces obligations, par l’évaluation des risques cyber pour chaque structure concernée en introduisant des critères plus précis qui obligent les entités à adopter des mesures de sécurité proportionnées à leur niveau de risque : 

– Mise en place d’outils dans le but d’améliorer le chiffrement des données, 

–  Contrôle d’accès renforcé avec des solutions d’identification plus complexes : IAM [ Identity Access Management ] – PAM [Privileged Access Management] 

– Mécanismes de détection avancés,  

– Tests réguliers pour évaluer l’efficacité des mesures et solutions déployées  

– Notification rapide des incidents et sécurisation des chaînes d’approvisionnement…

 

Découvrez PROVE IT, notre solution de PAM-BASTION


Impacts sur les entreprises et organisations

  • Renforcement des obligations de sécurité : Les entreprises seront soumises à des obligations de sécurité plus strictes, nécessitant des investissements dans des mesures de protection avancées pour leurs réseaux et systèmes d’information : procédure de contrôle d’accès (IAM – Identity Access Management / PAM – Privileged Access Management), protection du SI et des données, détection et protocoles de réponses aux incidents, gestion des risques et de crise … 
  • Élargissement du champ d’application : La directive NIS 2 pourrait élargir le champ d’application pour inclure de nouveaux secteurs ou services numériques, obligeant davantage d’entreprises à se conformer aux normes de cybersécurité de cette directive.
  • Exigences de signalement renforcées : la directive renforcera les exigences de signalement des incidents de sécurité, obligeant les entreprises à signaler rapidement les incidents et à coopérer avec les autorités compétentes : ANSSI pour la France… 
  • Coopération et partage d’informations : La coopération entre les entreprises et les autorités compétentes devrait être renforcée, favorisant le partage d’informations sur les menaces et les incidents de cybersécurité.
  • Sanctions accrues : le pouvoir de contrôle sera accru pour autoriser des audits des opérateurs essentiels. Quant aux opérateurs importants, ils feront l’objet de contrôle. Des sanctions sont prévues, avec des amendes dont le montant peut aller jusqu’à 2% du chiffre d’affaires de l’entité ciblée ou 10 millions d’euros.
  • Adaptation Continue : Les entreprises seront tenues d’adopter une approche continue d’adaptation aux menaces émergentes, encourageant ainsi une culture de cybersécurité dynamique. 

  

Évaluation des coûts et des avantages potentiels pour les organisations

Évaluation des coûts et des avantages potentiels pour les organisations

L’évaluation des coûts de la mise en œuvre de la Directive NIS 2 peut varier en fonction de plusieurs facteurs, tels que la taille et la complexité des entreprises ou des États, le niveau actuel de préparation en matière de cybersécurité, et la nature des services numériques fournis.  


Les coûts :

  • Investissements « technologiques » : Les entreprises devront investir dans des technologies de cybersécurité avancées, telles que des solutions de détection des intrusions, des pares-feux de nouvelle génération, des solutions de gestion des comptes à privilèges, des solutions de bastion informatique (telle notre appliance logicielle PROVE IT), des outils de gestion des incidents 
  • Formation et sensibilisation : Des programmes de formation seront nécessaires pour sensibiliser le personnel (administrateurs comme utilisateurs) aux nouvelles mesures de cybersécurité, garantissant ainsi une utilisation adéquate des technologies et une réponse efficace aux incidents. 
  • Conformité réglementaire : Les coûts liés à l’adaptation des politiques, procédures et processus pour se conformer aux nouvelles exigences réglementaires. 
  • Audit et Certification : Certains secteurs nécessiteront des audits de sécurité indépendants pour garantir la conformité, entraînant des coûts supplémentaires.

 

Les avantages potentiels pour les organisations : 

  • Résilience améliorée : La mise en œuvre des mesures de cybersécurité renforcées va accroître la résilience des organisations face aux cyberattaquants, minimisant ainsi des interruptions d’activité
  • Confiance des clients et partenaires : Les organisations conformes à la Directive NIS 2 renforcent la confiance de leurs clients et partenaires, démontrant leur engagement envers la protection des données et la sécurité numérique. 
  • Réduction des risques financiers : En minimisant les risques d’incidents de sécurité, les organisations vont réduire les coûts financiers associés à une cyberattaque. 
  • Positionnement sur le marché : Être conforme à des normes de cybersécurité plus strictes, avoir des certifications comme le Visa de Sécurité CSPN ANSSI peut devenir un avantage concurrentiel sur le marché, renforçant la réputation de l’entreprise. 
  • Collaboration transfrontalière : Pour les États membres, la mise en œuvre de la directive NIS 2 va favoriser la collaboration transfrontalière en matière de cybersécurité, renforçant ainsi la sécurité à l’échelle européenne. 

 

 

PROVE IT est certifié Visa de Sécurité CSPN

 

Les engagements législatifs pour la Cybersécurité en Europe 

Les engagements législatifs pour la Cybersécurité en Europe

La directive NIS 2 se coordonne avec d’autres projets et directives comme : 

Projet de directive sur la résilience des entités critiques : Ce projet s’attaque à la résilience des entités critiques, non seulement face aux menaces numériques mais également physiques, assurant la continuité des services essentiels en cas de menaces diverses, y compris celles d’origine physique. 

Projet de règlement DORA (Digital Operational Resilience Act) : Il se concentre spécifiquement sur la cybersécurité des acteurs de services financiers, imposant des exigences de sécurité numérique pour garantir la robustesse opérationnelle et la résilience des services financiers numériques

Cybersecurity Act : entré en vigueur le 27 juin 2019, se concentre sur 2 sujets principaux :

1 – le renforcement du rôle de l’ENISA (l’European Union Agency for Cybersecurity, création en 2014) qui dispose d’un mandat permanent pour la mise en place et le maintien d’un cadre européen de certification de cybersécurité.

  1. 2 – la définition d’un cadre européen de certification en cybersécurité et la fixation de règles pour le développement de schémas de certification pour différentes catégories de produits, services et processus des TIC. Ces certifications visent à assurer et à contrôler la robustesse face aux risques cyber, suite à une évaluation menée par un tiers reconnu et assermenté

Le 31 janvier dernier, la Commission Européenne a annoncé l’adoption du premier schéma de certification européen : EUCC (EU Common Criteria)  

Règlement sur la cyber-résilience ou Cyber resilience act : Il visera à promouvoir la cyber-résilience dans son ensemble, en adoptant des mesures complètes pour renforcer la sécurité des matériels et logiciels commercialisés en Europe. L’approbation formelle du parlement européen et du Conseil est attendue en 2024, avec une mise en œuvre concrète à partir de 2027. 

La coordination entre ces initiatives est cruciale pour assurer une approche cohérente de la cybersécurité, en évitant les chevauchements et en permettant une collaboration efficace entre les autorités compétentes, les acteurs concernés et les secteurs touchés. 

 

Conclusion

 

La Directive NIS 2 représente une avancée majeure dans le paysage réglementaire de la cybersécurité européenne, établissant de nouvelles normes pour renforcer la résilience numérique. Alors que la NIS 1 a posé les bases, la directive NIS 2 répond à l’évolution constante des menaces numériques en élargissant son champ d’application et en renforçant les obligations des acteurs numériques. 

La comparaison entre la NIS 1 et la NIS 2 révèle une transformation significative. L’élargissement du champ d’application, notamment pour inclure les plateformes en ligne, reflète la reconnaissance des nouveaux acteurs dans le paysage numérique et la nécessité de les soumettre à des normes de cybersécurité rigoureuses. Les obligations et responsabilités renforcées, avec des critères plus précis, montrent l’engagement envers une approche proactive et personnalisée. 

Les impacts sur les entreprises et organisations sont importants, avec des obligations de sécurité plus strictes, un élargissement du champ d’application, des exigences de signalement renforcées et des sanctions accrues. Cependant, les avantages potentiels incluent une résilience accrue, la confiance des clients et partenaires, une réduction des risques financiers et un positionnement favorable sur le marché. 

Enfin, nous reviendrons vers vous prochainement avec un nouvel article qui présentera en quoi la directive NIS 2 promeut les solutions de PAM – Bastion informatique, comme celle proposée par Rubycat : PROVE IT. En effet notre solution logicielle permet le renforcement du contrôle et la traçabilité des utilisateurs à privilèges dans le SI des organisations : identification, authentification, autorisation, répondant au principe du moindre privilège.