Qu'est ce que la NIS2 ?
La NIS2 est la deuxième version de la "Network and Information Systems Directive" (Directive sur les réseaux et les systèmes d’information).
Elle succède à la NIS 1, qui historiquement se veut comme une réponse à l’augmentation des cyberattaques et menaces numériques dans l’espace européen. (Si je vous dis Russie, Chine, ça vous parle ?)
Elle avait été publiée en 2016 et transposée en 2018 en France. Elle peut se targuer d’être le premier texte réglementaire adopté par l’UE en matière de cybersécurité.
Ses objectifs étaient d’imposer un socle minimal decybersécurité, de gouvernance et de déclaration d’incidents aux acteurscritiques européens, tout en organisant la coopération entre États membre del’UE.
Nous allons voir maintenant quelles étaient ses dispositions et comme la France y a répondu.
Quelles sont les dispositions de la NIS ?
- Le premier Pilier (non je ne parle pas de Demon Slayer) consiste à identifier les acteurs critiques de chaque état membre.
La NIS1 les distingues en 2 catégories :
Les OSE – Opérateurs de ServicesEssentiels
Dans des secteurs comme :
· Énergie
· Transports
· Santé
· Eau
· Banque / finance
· Infrastructures numériques
Les FDS – Fournisseurs de services numériques
· Cloud
· Marketplaces
· Moteurs de recherche
En France, les OSE et FSD ont été désignés par arrêté du Premier ministre, sur proposition sectorielle.
- Le deuxième pilier consiste àappliquer/implémenter les obligations de sécurité (article 14)
Les entités doivent mettre en place :
· Des mesures techniques et organisationnellesappropriées
· Une politique de gestion des risques
· Des moyens de prévention, détection, réaction
En France, l’ANSSI nous a éclairé en définissant :
· Des règles d’hygiène SSI
· Des exigences d’architecture
· Des modèles de segmentations réseau
· Des modèles de supervision
· La mise en place de PRA / PCA
- Le troisième pilier consiste à mettre en placeun processus de notification des incidents
· Les Etats membres sont tenu de déclarer toutincident ayant un impact significatif à l’autorité nationale compétente et dansun délai approprié
· L’objectif est d’assure à l’UE une visionglobale des menaces et une capacité de réaction coordonnée
En France, la notification des événements s’effectue auprès de l’ANSSI en cas de :
· cyberattaque
· crise majeure
· indisponibilité critique
- Le quatrième pilier consiste à mettre en place une coopération européenne
En créant des :
· CSIRT nationaux
· Groupe de coopération NIS
· Mécanismes d’échange d’informations optimisés
L’objectif étant de transposer une stratégie nationale à une stratégie européenne.
En France le CERT -FR est opéré par l’ANSSI
- Sanctions et Contrôle
Il faut reconnaître que pour qu’une règle, loi, directive soit respectée, elle doit s’accompagner de contrôles et de sanctions (l’humain réagit presque toujours à la peur)
L’ANSSI réserve le droit :
- D’auditer les OSE et FDS
- D’exiger des preuves auprès de ses OSE ET FDS
- Imposer des correctifs
En cas de non-conformité les sanctions prévues par la NIS pouvaient monter jusqu’à 100 000 €
Le problème majeur de cette première ébauche était que la NIS 1 était limitée :
· La notion « d’incident » n'était pas suffisamment précise car incidents non qualifiés
· Les sanctions étaient peu dissuasives
· Dès les première années les disparités d'application entre pays étaient significatives
· La responsabilité des dirigeants n’était pas engagée
Il faut mettre an avance l’expertise à la française ! Nous étions déjà de bons élèves de l’UE en France (Cocorico). La NIS1 était plus une extension qu’une réelle révolution.
Bon ça fait beaucoup d’informations mais c’était nécessaire pour comprendre l’intérêt de la NIS2. Alors on va pouvoir répondre maintenant à la question :
Qu’est ce que la NIS 2 vient apporter de nouveau ?
- 1er pilier (j’ai vraiment hâte que le prochain film demon slayer sorte…), le périmètre :
Avec la NIS1 quelques centaines d’entités étaient concernées, maintenant se sont plusieurs centaines de milliers.
De plus les catégories d’identification de ces entités ontchangées :
On trouve maintenant les Entités essentielles (EE) et Entités importantes (EI) et la liste des secteurs concernés s’allonge.
Il serait plus simple ne vous citer les secteurs non concernés queels secteurs concernés.
- 2ème pilier, la responsabilité des dirigeants :
Les dirigeants doivent approuver la politique cyber, être formés/sensibilisés et serons tenus responsables des manquements.
Ils peuvent par conséquent faire l’objet de sanctions telles que des amendes, des sanctions administratives etc…
- 3ème pilier, le fouet :
Les sanctions sont clairement plus dissuasives, cela peutmonter jusqu’à 10 M€ ou 2 % du CA mondial de l’entité sanctionnée et lessanctions sont appliquées par l’ANSSI.
Ces sanctions positionnent la directive au niveau desréglementations comme DORA, le RGPD par exemple
- 4ème pilier, consiste à appliquer/implémenter les obligations de sécurité :
Contrairement au chapitre 14 de la NIS1, la NIS2 liste nous met à disposition des points de contrôles précis qui couvrent les thèmes suivants :
· gestion des risques
· politique de sécurité
· gestion des incidents
· continuité d’activité
· sécurité de la supply chain
· chiffrement
· MFA
· contrôle d’accès
· sécurité RH
· journalisation
· audit régulier
- 5ème pilier, les modalités et délais de notification d’incident se précisent :
· Un incident doit être notifié dans les 24h après détection.
· Après 72h avoir fait l’objet d’une qualification et unrapport final doit être transmis sous 1 mois.
· Le rapport doit contenir la cause de l’incident, les impactset les mesures correctives
En conclusion la NIS1 disait « Protégez-vous s’il-vous-plaît », la NIS2 dit « Protégez-vous sinon on vous poignarde avec un opinel dans une rue sombre »
Pour votre culture, et attendant la sortie de la transposition de la NIS2 en droit national voici les lien d‘accès vers les directives NIS1 et NIS2.
Directive (UE) 2016/1148 — version légale officielle
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016L1148
Directive (UE) 2022/2555 du 14 décembre 2022 (NIS2) —version officielle en françaishttps://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32022L2555
