La directive NIS2 décryptée : pour quelles entreprises ?

12 septembre 2023 - 10 min

Le monde numérique est une source d’opportunités sans précédent. Mais il est aussi la cible de cyberattaques de plus en plus sophistiquées. La directive européenne NIS2 vise à améliorer la résilience numérique des entreprises et à protéger l’Europe contre la cybermenace croissante.

La directive NIS2 arrive

Les technologies numériques occupent de plus en plus de place dans notre société. Les réseaux et les systèmes d'information forment le centre névralgique des entreprises modernes. Ce progrès s'accompagne de cyberrisques d’une ampleur sans précédent. La directive sur la sécurité des réseaux et de l'information (‘Network and Information System Directive’ ou NSI) de 2016 protège l’Europe contre les menaces inhérentes à un monde ultra connecté.

 

Ces dernières années, l'évolution numérique est allée en s’intensifiant. Notamment sous l’impulsion de la pandémie de coronavirus, de la guerre entre la Russie et l’Ukraine, qui a également des ramifications dans le cyberespace, et des innovations qui se succèdent toujours plus rapidement. Ces évolutions ont entraîné une augmentation massive des cybermenaces. Il suffit de voir la multiplication des rançongiciels et autres cyberattaques touchant les grandes entreprises et les administrations publiques. L'Europe a donc été contrainte de retravailler ses objectifs dans une nouvelle directive : la directive NIS2.

 

Les États membres de l'UE ont jusqu’au 17 octobre 2024 pour transposer la directive actualisée dans leur législation nationale. Mais rien n’empêche évidemment votre organisation d’anticiper et de mettre d’ores et déjà sa politique de sécurité en ordre. Nous passons en revue avec vous les principales règles.

Directive NIS2 : quelles sont les entreprises concernées ?

La législation initiale était limitée à un petit nombre d'entreprises fournissant des services essentiels à notre société. Comme le secteur financier, par exemple. Les nouvelles normes de sécurité ont été étendues à de nombreux autres secteurs.

 

Pour cette nouvelle directive actualisée, l'Europe a établi une liste de secteurs, répartis en deux catégories :

 

1. Entités essentielles

Les secteurs fournissant des services dont l’Europe estime que la défaillance perturberait fortement l’économie et la société. Les entreprises reprises dans cette catégorie font l'objet d'une surveillance plus stricte. Le respect des règles imposées, par exemple, sera contrôlé avant mais aussi après un éventuel cyberincident.

Cette catégorie concerne les entreprises qui occupent minimum 250 personnes, dont le chiffre d’affaires annuel excède 50 millions d’euros (ou le total du bilan annuel excède 42 millions d'euros) et qui sont actives dans les secteurs suivants : énergie, transport, banque, infrastructure des marchés financiers, santé, eau potable, infrastructure numérique, gestion des services ICT, eaux usées, services publics et espace.


Petite nuance : Dans certains secteurs, les entreprises sont catégorisées comme ‘essentielles’, quelle que soit leur taille. Notamment les entreprises de télécommunication, les fournisseurs de services DNS ou les entités de l’administration publique.

 

2. Entités importantes
Les entités importantes font l’objet d’un contrôle moins rigoureux, et uniquement à postériori, par exemple, en cas de soupçons de non-respect de la loi ou en cas d’incident.

Cette catégorie concerne les entreprises qui occupent minimum 50 personnes ou réalisent un chiffre d'affaires annuel de 10 millions d’euros et qui sont actives dans les secteurs suivants : fournisseurs numériques, services postaux et d’expédition, gestion des déchets, denrées alimentaires, produits chimiques, recherche et industrie manufacturière.

 

Remarque importante : Les récentes cyberattaques partout dans le monde ont mis en évidence l'importance de la continuité au sein des chaînes d'approvisionnement critiques. C'est pourquoi le cadre NIS2 accorde une attention particulière à la chaîne d'approvisionnement. Les entreprises seront responsables de la gestion des cyberrisques au sein de leurs propres chaînes d'approvisionnement.

 

Cette exigence aura un impact sur les entreprises qui n’entrent pas initialement dans le champ d'application de la nouvelle législation européenne. En effet, toute entreprise soumise aux exigences NIS2 peut imposer à ses fournisseurs une maturité minimale en matière de cybersécurité.

Quelles sont les obligations de la nouvelle directive ?

Quelles sont les obligations de la nouvelle directive ?

 

1. Devoir de diligence
Les organisations doivent effectuer elles-mêmes une évaluation des risques. Sur base des résultats, elles doivent prendre des mesures appropriées pour optimiser leurs services et garantir la confidentialité des informations.

 

2. Devoir de notification
La directive européenne impose aux organisations de signaler les incidents dans un délai de 24 heures à l'autorité de contrôle. En Belgique, il s’agit du Centre pour la Cybersécurité Belgique (CCB).

Le devoir de notification doit notamment permettre à l’agence européenne de cybersécurité (ENISA) de se forger une perspective plus claire de la cyberviolence en Europe.

 

3. Surveillance
Les organisation concernées par la directive feront l’objet d’un contrôle, incluant notamment le respect des obligations de la directive, comme le devoir de diligence et de notification.

Que se passe-t-il en cas d'infraction au NIS2 ?

Les sanctions en cas de non-respect des règles de sécurité sont assez conséquentes. Sous la directive NIS1, en cas de pratiques irresponsables, les dirigeants risquaient une peine d'emprisonnement pouvant aller jusqu'à deux ans. Les amendes pour infraction sont elles aussi assez sévères. Contrairement à la première directive, la directive NIS2 donne une indication du montant des amendes administratives. Pour les états membres de l’UE, le montant maximal s’élève à au moins 10 millions ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Comment préparer mon organisation ?

Le cadre NIS2 n'a pas encore été transposé dans la législation belge, mais rien ne vous empêche (et il est même recommandé) de mettre déjà en pratique la philosophie de la nouvelle directive. “La cybersécurité est un état d’esprit”, affirme Bart Loeckx, Head of Solutions chez Telenet Business, qui souligne qu’à chaque décision ou chaque action, il est important de vérifier que tout est bien sécurisé. “Cela commence par se poser les bonnes questions : ‘Suis-je suffisamment protégé contre les menaces ?’ ou encore ‘Quelles sont les procédures en cas de problème ?’” Pour Bart, la directive NIS2 constitue avant tout un cadre pratique pour limiter les risques et pouvoir réagir rapidement en cas d’incident.

Commencez le lobbying en interne

Se mettre en conformité par rapport à la directive NIS2 nécessite des investissements. Commencez dès maintenant la documentation et le lobbying pour expliquer l'importance de ne pas attendre l’implémentation de la législation européenne pour se lancer. Le site web du CCB propose un récapitulatif pratique des points essentiels de la directive.

Dressez l’inventaire des processus critiques

À quels niveaux se situent les processus critiques au sein de votre organisation ? Ces processus sont-ils concernés par la NIS2 ? Ces processus sont-ils sécurisés ? Quels sont les points susceptibles d’être améliorés ? Une évaluation de la sécurité peut aider à identifier les points faibles.

Implémentez un système de gestion des risques

Un système de gestion des risques est une approche structurée permettant aux organisations d’identifier, évaluer et gérer les risques. Il ne suffit pas de délimiter les processus. Il faut aussi définir clairement les responsabilités au sein de l'organisation. Veillez à la continuité des activités. Y a -t-il une gestion claire des sauvegardes ? Existe-t-il une procédure de reprise après sinistre ? Et qui prend la responsabilité en cas de crise ?

Faites de la cybersécurité une priorité au sein de votre organisation

Dans ce monde toujours plus numérique et connecté, le maillon faible reste le facteur humain. Une cyberhygiène élémentaire est essentielle à tous les niveaux de l’organisation. Familiarisez tout le monde avec les solutions d’authentification multifactorielle ou d'authentification continue. Sécurisez les communications vocales, visuelles et écrites au sein de votre entreprise.

Analysez la sécurité au sein de votre chaîne d’approvisionnement

Ce n’est pas parce que tout est parfaitement en ordre chez vous que vous ne risquez plus rien. Passez également au crible la sécurité au sein de votre chaîne d’approvisionnement. Pensez à vos fournisseurs directs, mais aussi, par exemple, aux prestataires de services chargés de l’acquisition, du développement ou de la maintenance des réseaux.

Inscrivez-vous pour plus d'inspiration*

Découvrez des interviews, des podcasts et d'autres contenus

Soyez invité à des webinaires, des salons et des événements de réseautage

Télécharger des livres électroniques et des livres blancs

* Nous vous enverrons régulièrement par e-mail du contenu. Vous ne recevrez pas de messages ou de propositions commerciales. Vous pouvez vous désabonner à tout moment, ou modifier vos préférences grâce au lien figurant au bas de chaque e-mail. En vous inscrivant, vous acceptez la politique de confidentialité de Telenet.