En fin d’année 2022, la nouvelle réglementation sur la sécurité des réseaux et des systèmes d’information (NIS2) a été publiée au Journal officiel de l’Union européenne (UE). NIS2 succède à NIS1, initialement publié en 2016, et apporte des évolutions et améliorations significatives aux lois et règlements en matière de cybersécurité dans l’ensemble de l’UE.
NIS2 met en place des réglementations plus strictes, similaires à celles du RGPD, en matière d’obligations de cybersécurité, en mettant l’accent sur la déclaration et les notifications, ainsi qu’en prévoyant des mesures d’application plus rigoureuses et des sanctions plus importantes en cas de violation de ses clauses.
NIS2 est entrée en vigueur le 16 janvier 2023 en tant que directive européenne et doit être transposée dans les droits nationaux de tous les États membres d’ici le 17 octobre 2024, tandis que NIS1 sera officiellement abrogée le 18 octobre 2024.
Comprendre NIS2
La directive NIS (directive 2016/1148/UE), également connue sous le nom de NIS1, avait pour objectif de protéger les infrastructures de cybersécurité essentielles de l’UE. NIS2 s’appuie sur le cadre juridique précédent et met l’accent sur la gestion commune des risques cyber, la déclaration des incidents et les obligations de partage d’informations au sein de l’UE.
La mise en place de la directive NIS2 vise à remédier aux limites de son prédécesseur. Cette nouvelle directive prévoit plusieurs mesures visant à atteindre un niveau élevé de cybersécurité dans l’UE. Ces mesures comprennent des obligations pour les États membres, notamment :
- L’adoption de stratégies nationales de cybersécurité,
- L’établissement d’autorités compétentes et d’autorités de gestion de crise en matière de cybersécurité,
- La désignation de points de contact uniques en matière de cybersécurité,
- La création d’équipes d’intervention en cas d’incident de sécurité informatique (CSIRT),
- Le respect des nouvelles réglementations concernant le partage d’informations sur la cybersécurité.
NIS2 met également l’accent sur les mesures de gestion des risques liés à la cybersécurité et des obligations de déclaration pour les secteurs essentiels et importants.
Différences entre NIS1 et NIS2
NIS1 visait à renforcer les capacités de cybersécurité dans l’ensemble de l’Union européenne, en faisant face aux menaces pesant sur les réseaux et les systèmes d’information essentiels pour les secteurs clés, tout en garantissant la continuité de la fourniture de ces services en cas d’incident. La directive NIS1 avait pour objectif ultime de contribuer à la sécurité générale de l’UE et de permettre lle bon fonctionnement de son économie et de sa société.
Après la mise en œuvre de NIS1 en mai 2018, la Commission européenne a procédé à une évaluation et à une révision de la directive en raison des difficultés rencontrées par plusieurs États membres lors de sa mise en œuvre. L’évaluation de la Commission a porté sur la cohérence, la pertinence, la valeur ajoutée pour l’UE, l’efficacité et l’efficience de la directive NIS1. L’évaluation a révélé que la portée de NIS1 était trop limitée en termes de secteurs couverts, principalement en raison de la numérisation accrue et de l’interconnexion constatées ces dernières années. La directive originale ne couvrait plus tous les secteurs numérisés qui fournissent des services clés à l’économie et à la société dans leur ensemble. De plus, le manque de compréhension commune des principales menaces a entraîné une mise en œuvre incohérente dans les différents Etats de l’Union européenne.
En réponse cette mise en œuvre incohérente et fragmentée de NIS1, la Commission européenne a introduit la directive NIS2, qui apporte des changements significatifs et de grande envergure, en ciblant spécifiquement les entités des secteurs essentiels.
Les principaux domaines d’attention de NIS2
NIS2 vise à remédier aux lacunes de son prédécesseur et apporte des changements significatifs à six niveaux principaux.
1. Extension de la portée
La directive NIS2 introduit une approche révisée pour déterminer les entités réglementées en mettant en œuvre une règle de seuil de taille. Cette règle repose sur la recommandation de la Commission du 6 mai 2003, qui définit les micro, petites et moyennes entreprises. Selon cette règle, toutes les entreprises de taille moyenne et grande qui opèrent ou fournissent des services dans les secteurs couverts par NIS2 relèvent de son champ d’application. Cependant, les petites entreprises et les micro-entreprises ne sont incluses dans NIS2 que dans des circonstances exceptionnelles. Par exemple, elles peuvent être incluses si elles sont le seul fournisseur d’un service essentiel pour maintenir des activités sociétales ou économiques critiques au sein d’un État membre, ou si elles proposent des services d’enregistrement de noms de domaine.
De plus, NIS2 étend la couverture de NIS1 pour englober de nouveaux secteurs et entités classées comme entités essentielles et importantes. Ainsi, NIS2 élimine la distinction entre les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) présente dans la directive précédente. Au lieu de cela, NIS2 établit des règles distinctes pour les entités essentielles et les entités importantes.
Note: NIS2 ne s’applique pas pour les entités exerçant des activités liées à la défense, à la sécurité nationale, à la sécurité publique et à l’application de la loi, ainsi qu’à la justice, aux parlements et aux banques centrales.
2. Responsabilité
Selon les dispositions de NIS2, les États membres ont désormais l’obligation explicite de veiller à ce que leurs organes de direction approuvent les mesures de gestion des risques en matière de cybersécurité, supervisent leur mise en œuvre et puissent être tenus responsables en cas de violation. Les États membres sont également tenus de participer à des programmes de formation spécialisés en matière de cybersécurité.
Les entités relevant de NIS2 sont tenues de réaliser des évaluations de la sécurité de leur chaîne d’approvisionnement. Ces entités doivent également adopter des “mesures techniques et organisationnelles appropriées et proportionnées” pour gérer efficacement les risques de sécurité liés aux réseaux et aux systèmes d’information qu’elles utilisent pour fournir leurs services.
3. Information
NIS2 prévoit des dispositions plus détaillées concernant la procédure et les délais de déclaration des incidents, y compris des incidents significatifs, aux CSIRT. Il introduit également des mesures de supervision renforcées pour les autorités nationales et impose des exigences d’application plus strictes.
Concrètement, NIS2 établit une approche séquentielle des obligations de déclaration. La notification initiale, appelée avertissement précoce, doit être fournie dans les 24 heures suivant la prise de conscience d’un incident significatif. Après l’avertissement précoce, une notification d’incident doit être soumise dans les 72 heures, en fournissant des détails supplémentaires sur l’incident. Enfin, un rapport final détaillé doit être soumis dans un délai d’un mois après la soumission de la notification d’incident. Ces mesures visent à assurer une déclaration rapide et efficace des incidents aux autorités compétentes.
4. Accent mis sur la cybersécurité proactive
NIS2 souligne l’importance d’adopter une approche proactive de la cybersécurité et affirme que la capacité de partager et de comprendre efficacement les informations sur les menaces, les alertes sur les activités cybernétiques et les mesures de réponse est primordiale pour favoriser une approche unifiée dans la prévention, la détection, l’atténuation et la neutralisation des attaques contre les réseaux et les systèmes d’information.
Comme le considérant 57 le précise, “plutôt que de réagir de manière réactive, la protection active contre les cybermenaces consiste en la prévention, la détection, la surveillance, l’analyse et l’atténuation des violations de la sécurité des réseaux de manière active […]”.
5. Importance de l’open source
Avec du code source ouvert intégré à 97% des applications dans le monde, il serait impossible pour le Conseil européen d’ignorer l’importance de l’open source en matière de cybersécurité. NIS2 souligne que l’open source facilite un processus de vérification plus transparent des outils de cybersécurité et permet une approche communautaire de l’identification des vulnérabilités. En adoptant des normes ouvertes, l’interopérabilité entre les outils de sécurité peut être améliorée, ce qui profite à la sécurité globale des acteurs industriels.
Le considérant 52 indique : “Les politiques favorisant l’introduction et l’utilisation durable des outils de cybersécurité open source revêtent une importance particulière pour les petites et moyennes entreprises qui sont confrontées à des coûts importants de mise en œuvre, qui pourraient être réduits en réduisant la dépendance à l’égard d’applications ou d’outils spécifiques”.
6. Sanctions en cas de non-conformité
Conformément à la directive NIS2, les États membres sont habilités à imposer des sanctions en cas de non-conformité, similaires aux amendes prévues dans le règlement général sur la protection des données (RGPD). L’ampleur de ces sanctions varie en fonction de la catégorisation de l’entité comme étant essentielle ou importante. Les sanctions en cas de non-conformité pour les entités essentielles peuvent atteindre un maximum de 10 millions d’euros ou un maximum de 2% du chiffre d’affaires annuel mondial total de l’entreprise de l’exercice précédent. En revanche, les sanctions en cas de non-conformité pour les entités importantes peuvent atteindre un maximum de 7 millions d’euros ou un maximum de 1,4% du chiffre d’affaires annuel mondial total de l’entreprise de l’exercice précédent.
Secteurs impactés par NIS2
La portée de NIS2 englobe à la fois les entités publiques et privées qui répondent aux critères de classification en tant qu’entreprises de taille moyenne, employant moins de 250 personnes et ayant un chiffre d’affaires annuel n’excédant pas 50 millions d’euros. Il est important de noter que NIS2 s’applique principalement aux entités qui fournissent leurs services ou exercent leurs activités au sein de l’UE et dépassent les seuils définis pour les entreprises de taille moyenne.
Comme mentionné précédemment, NIS2 catégorise les secteurs comme étant essentiels et importants.
Vous pouvez trouver la liste complète des secteurs essentiels et importants et des entités correspondantes à l’annexe 1 de la directive.
Comment se préparer à NIS2
Nous ne pouvons souligner assez l’urgence de prévoir des ajustements budgétaires obligatoires pour se conformer à la directive NIS2. “Nous n’avons pas le budget nécessaire pour investir dans la cybersécurité” n’est plus un argument recevable compte tenu des strictes conséquences juridiques.
La première étape pour se préparer à la directive NIS2 consiste à discuter avec vos équipes techniques en charge de la sécurité et des opérations.
- Identifier les dispositions qui s’appliquent à votre organisation et dans quelle mesure
- Auditer votre infrastructure de sécurité et identifier les changements nécessaires
- Ajuster votre budget de cybersécurité en conséquence
Investir dans des outils de “Threat Intelligence” actionnables et une cybersécurité proactive
Adapter les budgets de cybersécurité est une chose, mais prendre des décisions éclairées sur les outils dans lesquels vous devez investir en est une autre, surtout compte tenu de l’urgence que NIS2 impose, non seulement en matière de cybersécurité, mais de cybersécurité proactive.
CrowdSec est une entreprise de cybersécurité moderne et collaborative engagée dans la protection proactive de vos actifs numériques. C’est l’outil de prévention ultime pour protéger vos serveurs exposés. Contrairement aux outils de post-intrusion tels que les SIEM, CrowdSec offre une réponse proactive avant qu’une intrusion ne se produise.
- Gérer les risques pesant sur la sécurité des réseaux et des systèmes d’information.
CrowdSec vous aide à maintenir votre position en matière de sécurité dans le temps et à vous adapter en permanence aux menaces émergentes.
- Informer rapidement vos CSIRT et vos clients de tout incident significatif.
Recevez des alertes en temps réel sur les incidents de sécurité et les violations, avec des rapports détaillés qui vous aideront à communiquer sur tout incident.
- Prévenir activement, détecter, surveiller, analyser et atténuer les violations de la sécurité des réseaux.
Les informations dynamiques et globales de la CTI CrowdSec permettent une détection rapide et une neutralisation des menaces. Avec son mécanisme proactif pour anticiper les attaques et s’adapter en temps réel aux menaces émergentes, les entreprises bénéficient d’un avantage en matière de cybersécurité. Avec l’interface API, les utilisateurs ont accès à un ensemble d’informations détaillées, notamment les systèmes autonomes, le pays d’origine, l’agressivité et les types d’attaques effectuées par une adresse IP.
- Profitez des technologies open source pour réduire vos coûts.
Le CrowdSec Security Engine est et restera gratuit et open source, vous offrant une solution facile et immédiate pour identifier et bloquer les comportements malveillants. Codé en Golang, il n’utilise que peu de ressources et peut être déployé dans n’importe quel environnement : conteneurs, sur site, cloud ou hybride. Le moteur de sécurité CrowdSec vous offre une multitude d’analyses, de détections et de composants de remédiation pour intégrer rapidement et facilement la solution aux différents éléments de votre infrastructure de sécurité. Et si votre infrastructure est trop importante pour une solution open source, avec CrowdSec, vous pouvez toujours payer au fur et à mesure de votre croissance pour accéder à plus de ressources en fonction de vos besoins.
Calendrier de NIS2 et pourquoi il faut agir dès maintenant
La directive NIS2 est entrée en vigueur le 16 janvier 2023 et tous les États membres doivent adopter et divulguer publiquement les mesures nécessaires pour assurer la conformité avec cette directive d’ici le 17 octobre 2024. À partir du 18 octobre 2024, ces mesures doivent être activement appliquées. Par conséquent, les entités et les secteurs relevant de la portée de NIS2 doivent rapidement prendre note de ses dispositions et s’efforcer de les mettre en œuvre dès que possible.
La non-conformité à NIS2 n’étant pas une option, les budgets de cybersécurité des entités concernées pour 2024 devront être ajustés. Étant donné que la plupart des organisations devront prendre des décisions budgétaires au cours du troisième et du quatrième trimestre 2023, maintenant le moment idéal pour concevoir de manière proactive un plan d’ajustement des systèmes de sécurité existants, des méthodes et des budgets pour se conformer à NIS2.