Le guide ultime de la conformité à la norme NIS2
Qui devrait lire ceci : les RSSI, les responsables de la conformité, les membres du conseil d'administration, les responsables informatiques, les équipes juridiques et toute personne responsable de la cybersécurité dans les organisations réglementées par l'UE.
La directive sur les réseaux et les systèmes d'information (NIS2) représente la refonte la plus complète de la réglementation européenne en matière de cybersécurité depuis dix ans. Alors que les organisations de toute l'UE se préparent à se mettre en conformité, comprendre cette directive n'est plus une option, mais un impératif essentiel pour les entreprises. Ce guide constitue votre feuille de route complète pour le NIS2, des concepts fondamentaux à la mise en œuvre et à l'application.
Contrairement aux listes de contrôle prescriptives, le NIS2 établit des principes et des résultats. Il harmonise les exigences en matière de cybersécurité dans les secteurs critiques, impose la responsabilité au niveau du conseil d'administration, établit des délais rapides de signalement des incidents et soumet les organisations à une surveillance réglementaire sans précédent. Pour les RSSI, les équipes de conformité et les membres du conseil d'administration, NIS2 représente à la fois un défi et une opportunité : la possibilité de mettre en place des programmes de cybersécurité résilients et axés sur la gouvernance qui protègent les services essentiels à grande échelle.
Ce guide vous expliquera tous les éléments essentiels du NIS2, expliquera ce qui s'applique à votre organisation et vous indiquera où approfondir des sujets spécifiques. Que vous commenciez tout juste votre parcours de conformité ou que vous peaufiniez votre programme, vous trouverez les réponses ici.
Qu'est-ce que NIS2 et pourquoi est-ce important ?
La directive NIS2 (directive (UE) 2022/2555) est la législation de l'Union européenne établissant un cadre de cybersécurité harmonisé dans tous les États membres. Elle remplace la directive originale sur les réseaux et les systèmes d'information (directive (UE) 2016/1148), communément appelée NIS1.
Le NIS1, promulgué en 2016, ne s'appliquait qu'aux opérateurs de services essentiels dans un ensemble limité de secteurs. Il a créé la première base de référence à l'échelle de l'UE pour la cybersécurité et le signalement des incidents, mais a révélé au fil du temps des lacunes critiques. Le processus d'examen a révélé une importante fragmentation entre les États membres dans la manière dont ils ont défini le champ d'application, mis en œuvre des mesures de sécurité et appliqué les obligations. Entre-temps, le paysage des cybermenaces avait considérablement évolué : les attaques contre la chaîne d'approvisionnement comme SolarWinds, les incidents géopolitiques en Ukraine et les épidémies mondiales de rançongiciels ont démontré que le terme « essentiel » était bien plus large que ne le reconnaissait la directive initiale.
NIS2 corrige directement ces défaillances. Le considérant 5 de la directive fait état de « grandes divergences dans sa mise en œuvre par les États membres », expliquant que le pouvoir discrétionnaire de la directive initiale a créé une « fragmentation du marché intérieur ». La nouvelle directive supprime ce pouvoir discrétionnaire. Il étend le champ d'application aux fournisseurs de services numériques et aux entités critiques de la chaîne d'approvisionnement, introduit la responsabilité obligatoire des conseils d'administration, réduit les délais de signalement des incidents de plusieurs jours à quelques heures et confère aux régulateurs des pouvoirs d'exécution explicites, y compris des amendes pouvant aller jusqu'à 10 millions d'euros.
La base juridique de la directive est l'article 114 du traité sur le fonctionnement de l'Union européenne, qui permet une harmonisation pour soutenir le marché intérieur. Concrètement, le NIS2 garantit que, que votre organisation opère en Allemagne, en France, en Pologne ou au Portugal, vous êtes confrontée à des obligations de cybersécurité et à des mécanismes d'application équivalents.
Pour une comparaison complète entre le NIS1 et le NIS2, y compris les principaux changements qui redéfinissent le champ d'application et les obligations, voir NIS1 contre NIS2 : principales différences.
À qui s'applique le NIS2 ?
Le NIS2 s'applique à deux catégories d'entités : les entités essentielles et les entités importantes. Pour déterminer si votre organisation entre dans le champ d'application, il faut effectuer une analyse en deux étapes : le type et la taille de l'entité.
Type d'entité
Tout d'abord, votre organisation apparaît-elle à l'annexe I ou à l'annexe II de la directive NIS2 ? L'annexe I couvre onze secteurs critiques : la production, la distribution et la fourniture d'énergie ; l'approvisionnement en eau et l'assainissement ; les transports (aérien, ferroviaire, routier, maritime) ; les soins de santé ; les infrastructures numériques (centres de données, cloud computing, DNS) ; l'administration publique ; l'espace ; la production chimique ; la gestion des déchets ; la transformation des aliments ; et les services postaux. L'annexe II couvre les fournisseurs de services numériques : fournisseurs de cloud, réseaux de diffusion de contenu, fournisseurs de services gérés (MSP), places de marché en ligne, moteurs de recherche et plateformes de réseaux sociaux.
Seuil de taille
Deuxièmement, atteignez-vous le seuil de taille ? L'article 2, paragraphe 1, établit une « règle de plafonnement » basée sur les définitions de l'UE figurant dans la Recommandation 2003/361/CE. Les entités entrent généralement dans le champ d'application si elles atteignent le seuil des entreprises de taille moyenne : 250 employés ou plus, un chiffre d'affaires annuel supérieur à 50 millions d'euros ou un total de bilan annuel supérieur à 25 millions d'euros. Il est important de noter que si l'une de ces mesures est dépassée, l'entité est qualifiée pour NIS2.
L'article 2, paragraphe 2, contient toutefois des exceptions critiques. Même les petites entités doivent s'y conformer si les États membres les considèrent comme essentielles au fonctionnement de la société. Un hôpital régional comptant 100 employés, un service d'eau communautaire ou un opérateur DNS essentiel peuvent tous être concernés malgré leur taille. Cette règle « essentielle par désignation » garantit qu'aucune entité véritablement critique n'échappe au seuil de taille.
Pour obtenir des conseils détaillés sur la portée et l'applicabilité, y compris sur la manière de classer votre type d'entité spécifique, lisez Portée et applicabilité du NIS2 : un guide complet.
Secteurs et industries couverts
L'ampleur de NIS2 est sans précédent. En allant au-delà des « opérateurs de services essentiels » pour inclure les « entités importantes » et les fournisseurs de services numériques, la directive couvre désormais une partie importante de l'économie critique de l'Europe. Il est essentiel de comprendre quel secteur s'applique à votre organisation, car les directives spécifiques au secteur et les réglementations déléguées peuvent imposer des exigences supplémentaires.
Secteur de l'énergie
Le secteur de l'énergie couvre la production, le transport et la distribution d'électricité ; la production, le raffinage et la distribution de gaz naturel ; les produits pétroliers et l'approvisionnement en charbon. Cela inclut les fournisseurs d'énergie renouvelable, les opérateurs de réseaux intelligents et les plateformes de négoce d'énergie. Compte tenu de la place centrale que joue l'énergie dans la vie moderne, le secteur est soumis à une surveillance de cybersécurité parmi les plus strictes dans le cadre du NIS2.
Soins de santé
Les soins de santé comprennent les hôpitaux, les prestataires de soins de santé, les fabricants de produits pharmaceutiques et les processeurs de données de santé. Le secteur est particulièrement sensible : les cyberincidents dans le secteur de la santé menacent directement la sécurité des patients. Le NIS2 considère les établissements de santé comme essentiels, ce qui signifie que tous les hôpitaux et les principaux prestataires sont concernés, quelle que soit leur taille.
Infrastructure numérique
Les fournisseurs d'infrastructures numériques (services de cloud computing, centres de données, fournisseurs de services DNS, réseaux de diffusion de contenu) sont explicitement répertoriés à l'annexe II et traités comme intrinsèquement critiques. Ces entités fournissent des services essentiels dans tous les autres secteurs. La directive exige qu'ils maintiennent des niveaux exceptionnels de résilience et de sécurité.
Transport
Le transport couvre l'aviation (aéroports et gestion du trafic aérien), le transport ferroviaire (passagers et marchandises), le transport maritime (opérations maritimes et portuaires) et le transport routier (opérateurs de péage et systèmes de transport intelligents). Chaque sous-secteur est confronté à des cyberrisques et à des cadres réglementaires uniques.
Fournisseurs de services gérés (MSP) et MSSP
Ajout unique et controversé, les MSP et les MSSP (fournisseurs de services de sécurité gérés) sont explicitement couverts par le NIS2 car ils gèrent des systèmes critiques pour le compte d'autres entités. La directive reconnaît que les risques liés à la chaîne d'approvisionnement passent par les prestataires de services et que l'externalisation de la sécurité ne réduit pas la responsabilité réglementaire.
Secteur financier
Le secteur financier (banques, compagnies d'assurance, entreprises d'investissement, processeurs de paiement) est soumis à une double réglementation en vertu de la NIS2 et de la DORA (Digital Operational Resilience Act). Les deux directives s'appliquent simultanément, la DORA fournissant des informations spécifiques au secteur et la NIS2 établissant les exigences de base.
Fabrication
Les entités manufacturières qui produisent des biens critiques (machines, véhicules, équipements) entrent dans le champ d'application du NIS2 si elles dépassent les seuils de taille. Le secteur nécessite à la fois une sécurité informatique (systèmes d'information) et une sécurité OT (technologie opérationnelle et équipements de production).
Alimentation et agriculture
Les installations de transformation des aliments, de distribution en gros et d'entreposage frigorifique sont explicitement couvertes par le NIS2. Le secteur est considéré comme essentiel car la sécurité alimentaire est essentielle à la sécurité publique et à la continuité économique.
Secteurs supplémentaires
Le NIS2 couvre également les entités de l'administration publique (à l'exclusion de celles qui sont principalement impliquées dans la sécurité nationale ou l'application de la loi), les opérateurs d'infrastructures spatiales, les fabricants et transformateurs de produits chimiques et les opérateurs de gestion des déchets. Chaque secteur peut disposer de cadres réglementaires supplémentaires, et l'ENISA et le Groupe de coopération publient des orientations spécifiques au secteur au fur et à mesure de l'avancement de la mise en œuvre du NIS2.
Principales obligations en matière de cybersécurité au titre de l'article 21
L'article 21 de la NIS2 constitue le cœur technique et procédural de la directive. Elle impose aux entités essentielles et importantes de mettre en œuvre des mesures de gestion des risques de cybersécurité proportionnées aux risques, sur la base d'une approche tous risques, en accordant une attention particulière à la sécurité de la chaîne d'approvisionnement. L'article 21 ne prescrit pas de technologies ou de solutions spécifiques. Il établit plutôt dix catégories de mesures que les entités doivent envisager et mettre en œuvre le cas échéant.
Les dix catégories de mesures
L'article 21, paragraphe 1, impose aux entités de mettre en œuvre des mesures couvrant : (1) la gouvernance et l'organisation de la cybersécurité ; (2) la gestion des actifs ; (3) la sécurité des ressources humaines ; (4) le contrôle d'accès ; (5) la cryptographie ; (6) la sécurité physique ; (7) la sécurité des opérations ; (8) la sécurité des communications ; (9) la sécurité des systèmes et des informations ; et (10) la gestion des incidents. Ces catégories reflètent les normes internationales telles que la norme ISO 27001, mais le NIS2 ajoute des exigences réglementaires européennes explicites.
Il est important de noter que l'article 21 (2) exige que les entités mettent en œuvre ces mesures en utilisant une « approche proportionnée et fondée sur les risques ». Ce langage est fondamental : le NIS2 n'exige pas que toutes les entités mettent en œuvre des mesures identiques à un coût identique. La directive exige plutôt que les mesures soient proportionnées aux risques, compte tenu des normes pertinentes les plus récentes et des coûts de mise en œuvre.
Pour obtenir des conseils complets sur les dix catégories et sur la manière de mettre en œuvre les mesures de l'article 21, voir Article 21 du NIS2 : Explication des 10 mesures de cybersécurité obligatoires.
L'approche tous risques
L'article 21, paragraphe 3, exige que les mesures de cybersécurité portent non seulement sur les « attaques » mais également sur toutes les perturbations, qu'elles soient intentionnelles ou non. Cette « approche tous risques » signifie que les organisations doivent se protéger contre les cyberattaques malveillantes, mais également contre les catastrophes naturelles, les pannes matérielles, les erreurs humaines et les perturbations de la chaîne d'approvisionnement. L'implication est profonde : la cybersécurité et la continuité des activités doivent être intégrées et non cloisonnées.
Risques liés à la chaîne d'approvisionnement et aux tiers
L'article 21, paragraphe 4, impose explicitement des mesures de gestion des risques relatives à la sécurité de la chaîne d'approvisionnement et à la dépendance vis-à-vis des tiers. Cela signifie : identifier les fournisseurs et prestataires de services critiques, évaluer leur niveau de sécurité, établir des exigences de sécurité contractuelles et surveiller la conformité continue. La disposition reconnaît que les organisations modernes sont des chaînes d'approvisionnement et que la sécurité ne peut être garantie sans visibilité et sans contrôle des dépendances.
Proportionnalité
L'article 21, paragraphe 2, reconnaît explicitement que les mesures doivent être proportionnées. Le considérant 34 précise : « Pour éviter d'imposer une charge financière et administrative disproportionnée aux entités essentielles et importantes, les mesures de gestion des risques de cybersécurité devraient être proportionnées aux risques auxquels sont exposés le réseau et le système d'information concernés, en tenant compte de l'état de l'art de ces mesures et, le cas échéant, des normes européennes et internationales pertinentes, ainsi que du coût de leur mise en œuvre. »
Cette clause de proportionnalité est essentielle pour les organisations confrontées à des contraintes de ressources. La proportionnalité ne signifie pas « facultatif », mais cela signifie que les régulateurs et les tribunaux doivent tenir compte du contexte, des coûts et de la faisabilité lors de l'évaluation de la conformité.
Gouvernance et responsabilité du conseil d'administration
L'article 20 du NIS2 représente un changement fondamental dans la gouvernance de la cybersécurité. Pour la première fois dans la réglementation de l'UE, la cybersécurité est explicitement une responsabilité au niveau du conseil d'administration, et chaque membre du conseil d'administration peut être tenu personnellement responsable en cas de non-conformité.
Approbation et supervision par l'organe de direction
L'article 20, paragraphe 1, exige que « les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité prises par ces entités afin de se conformer à l'article 21, supervisent sa mise en œuvre et peuvent être tenus responsables des violations de cet article par les entités ».
Ce libellé est clair : l'approbation au niveau du conseil d'administration est obligatoire, elle n'est ni facultative ni déléguée. Le conseil d'administration ne peut pas simplement accepter l'assurance d'un CISO et passer à autre chose. Le conseil d'administration doit participer activement aux décisions concernant la stratégie de cybersécurité, l'allocation des ressources et l'acceptation des risques.
En outre, les conseils d'administration « peuvent être tenus responsables ». Il ne s'agit pas d'un simple langage consultatif. Cela signifie que les membres individuels du conseil d'administration peuvent faire face à des conséquences personnelles, notamment la révocation, des amendes ou d'autres mesures coercitives, si l'organisation omet systématiquement de mettre en œuvre les mesures adéquates prévues par l'article 21. Cette responsabilité personnelle représente un changement radical par rapport à la précédente réglementation de l'UE en matière de cybersécurité.
Formation et compétence
L'article 20 (2) exige que « le personnel exerçant des fonctions de responsabilité en matière de cybersécurité et le personnel de direction reçoivent une formation adaptée aux fonctions de leur poste ». Il ne s'agit pas d'une orientation ponctuelle. Cela nécessite une formation continue et spécifique au rôle, qui évolue en fonction des menaces et des changements réglementaires.
Pour obtenir des conseils sur la responsabilité du conseil d'administration, les structures de gouvernance et la prise de décisions au niveau du conseil d'administration dans le cadre du NIS2, voir Responsabilité et gouvernance du conseil d'administration de NIS2 : responsabilités de l'organe de direction.
Signalement des incidents : 24 à 72 heures
L'article 23 du NIS2 établit le calendrier de signalement des incidents le plus strict de la réglementation de l'UE. Les entités doivent informer les autorités compétentes et les CSIRT des « incidents significatifs » dans les meilleurs délais, mais en tout état de cause dans les 24 heures suivant la prise de connaissance de l'incident. Une notification d'incident complète avec évaluation doit suivre dans les 72 heures.
Le seuil d'incident significatif
L'article 23, paragraphe 5, définit un « incident significatif » comme un incident qui a une incidence importante sur la prestation de services ou entraîne de graves perturbations ou des pertes financières. La directive n'énumère pas les tailles de violation spécifiques (gigaoctets, nombre d'enregistrements ou numéros d'utilisateurs). Il nécessite plutôt une évaluation basée sur l'impact : l'incident affecte-t-il de manière significative votre capacité à fournir des services ? Cela provoque-t-il de graves perturbations opérationnelles ou des pertes financières dépassant les seuils définis ?
Les États membres mettent en œuvre cette définition par l'intermédiaire de leurs autorités compétentes et des directives du CSIRT. La plupart établissent à la fois des seuils qualitatifs (par exemple, « perturbation affectant 10 % ou plus des utilisateurs ») et des niveaux de référence quantitatifs (par exemple, « perte supérieure à 100 000 euros »).
L'alerte précoce 24 heures sur 24
L'article 23 (4) (a) exige une « alerte précoce » dans les 24 heures suivant la prise de connaissance de l'incident. Cette alerte précoce ne doit pas nécessairement être une évaluation technique détaillée. Il doit indiquer : (1) qu'un incident significatif s'est produit, (2) s'il est soupçonné de résulter d'actes illicites ou malveillants, et (3) s'il est susceptible d'avoir un impact transfrontalier.
L'horloge de 24 heures est absolue. Pour la plupart des organisations, cela signifie disposer d'un processus de réponse aux incidents avec des rôles clairement définis, des arbres de décision pour l'évaluation de l'importance et des canaux de contact directs avec les autorités compétentes ou les CSIRT.
La notification complète de 72 heures
L'article 23 (4) (b) exige une « notification d'incident » complète dans les 72 heures. Cette notification met à jour l'alerte précoce avec des informations supplémentaires : évaluation initiale de la gravité et de l'impact, indicateurs de compromission, évaluation préliminaire des causes profondes et mesures correctives en cours. Contrairement à l'alerte précoce, la notification de 72 heures peut être plus technique et détaillée.
Notification des cybermenaces
Au-delà du signalement des incidents importants, l'article 30 oblige les entités à informer les autorités compétentes des « cybermenaces » et des « quasi-accidents ». Il s'agit d'événements à seuil inférieur qui ne déclenchent pas l'horloge de 24 heures mais qui doivent être signalés pour faciliter le renseignement collectif sur les menaces.
Exécution, supervision et sanctions
Le NIS2 confère aux régulateurs des pouvoirs d'exécution explicites qui manquaient aux directives précédentes de l'UE. Les États membres doivent désigner des « autorités compétentes » chargées de superviser les entités essentielles et de veiller à la conformité. Ces autorités ont des pouvoirs d'inspection, d'audit et d'exécution.
Amendes administratives
L'article 26 prévoit des amendes croissantes en cas de violation. Les entités essentielles qui enfreignent l'article 21 (mesures de cybersécurité) ou l'article 23 (signalement des incidents) sont passibles d'amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel de l'entreprise mère, le montant le plus élevé étant retenu. Les entités importantes sont passibles d'amendes pouvant aller jusqu'à 7 millions d'euros, soit 1,4 % du chiffre d'affaires mondial.
Il ne s'agit pas de maximums théoriques. Dans le cadre de l'application du RGPD, les régulateurs ont infligé des amendes de plus de 800 millions d'euros à des organisations individuelles. Les amendes de type NIS 2, bien qu'elles soient actuellement inférieures en termes absolus, suivent la même philosophie d'application : la conformité est attendue, les violations sont coûteuses.
Banques de gestion
L'article 26 autorise également les autorités à bannir des personnes des postes de direction si elles ont gravement enfreint les obligations du NIS2. Il s'agit d'un remède extraordinaire, réservé aux violations flagrantes, mais il témoigne de la responsabilité personnelle attendue des cadres supérieurs.
Modèles de supervision
L'article 32 définit les rôles de surveillance des autorités compétentes à l'égard des entités essentielles. Les autorités doivent effectuer des audits réguliers et peuvent effectuer des audits ad hoc lorsque l'évaluation des risques ou une infraction antérieure le justifient. Les entités importantes sont soumises à une supervision plus légère, généralement uniquement lorsque l'évaluation des risques en révèle le besoin.
Le cadre institutionnel de l'UE
Le NIS2 n'est pas simplement un ensemble de règles imposées aux organisations. Il met en place une architecture institutionnelle complète pour la cybersécurité au niveau de l'UE, y compris les CSIRT, le groupe de coopération, EU-Cyclone et l'ENISA.
Écharpes nationales
Chaque État membre doit mettre en place une équipe nationale de réponse aux incidents de sécurité informatique (CSIRT). Ces équipes reçoivent des notifications d'incidents de la part d'entités essentielles et importantes, coordonnent la réponse aux incidents et partagent des informations sur les menaces. Les CSIRT constituent l'épine dorsale opérationnelle du NIS2, servant de premiers intervenants et de canaux pour le partage d'informations.
Le groupe de coopération
Le groupe de coopération, créé en vertu de l'article 16, est un organe stratégique composé de représentants de chaque État membre, de la Commission européenne et de l'ENISA. Il établit des politiques, coordonne les réponses aux incidents transfrontaliers et élabore des directives communes sur la mise en œuvre du NIS2.
Cyclone de l'UE
EU-Cyclone (Centre de compétences en cybersécurité de l'UE et réseau de centres nationaux) est une nouvelle infrastructure établie dans le cadre du NIS2 pour coordonner la recherche en cybersécurité, le renforcement des capacités et la réponse aux crises à l'échelle de l'UE. Il travaille en étroite collaboration avec le Groupe de coopération et les CSIRT.
Divulgation des vulnérabilités
L'article 15 impose aux États membres de mettre en place des cadres de divulgation des vulnérabilités permettant aux chercheurs et aux professionnels de la sécurité de signaler les vulnérabilités découvertes aux fabricants et aux autorités. Ces cadres protègent les chercheurs de toute responsabilité légale tout en garantissant une remédiation rapide.
Stratégies nationales de cybersécurité
L'article 7 impose à chaque État membre d'élaborer et de mettre à jour une stratégie nationale de cybersécurité portant sur les capacités, la gouvernance et la réponse aux incidents. Ces stratégies sont des documents publics qui façonnent les approches réglementaires nationales.
NIS2 et autres réglementations de l'UE
NIS2 n'existe pas isolément. Il chevauche le RGPD (protection des données), le DORA (résilience opérationnelle du secteur financier) et la directive CER (résilience des entités critiques). Il est essentiel de comprendre ces chevauchements pour garantir une conformité complète.
RGPD et protection des données
Le RGPD, adopté en 2018, établit des exigences en matière de protection des données, y compris la notification des incidents en cas de violation de données personnelles. Le signalement des incidents NIS2 va au-delà de la notification des violations du RGPD : le NIS2 exige la notification des incidents importants, que des données personnelles soient impliquées ou non. Les deux régimes coexistent, ce qui signifie que les organisations doivent souvent informer les autorités dans le cadre des deux cadres. L'article 5 de la NIS2 précise que la directive ne remplace pas le RGPD mais fonctionne en parallèle.
DORA et CER
La loi sur la résilience opérationnelle numérique (DORA) s'applique aux entités du secteur financier. Il établit des exigences de résilience opérationnelle détaillées qui reflètent largement le NIS2 mais ajoutent des détails spécifiques au secteur. La directive CER (Critical Entities Resilience) établit un troisième régime pour les entités essentielles à la sécurité nationale. Ces trois régimes (NIS2, DORA et CER) s'appliquent simultanément à des populations qui se chevauchent.
Juridiction, normes transfrontalières et techniques
Champ d'application territorial et établissement principal
Le NIS2 s'applique aux entités du type figurant à l'annexe I ou II qui « fournissent leurs services ou exercent leurs activités au sein de l'Union », conformément à l'article 2, paragraphe 1. Cela inclut les organisations non européennes qui servent des clients de l'UE ou ont des activités dans les États membres de l'UE.
Pour les organisations présentes dans plusieurs États membres, l'article 3 traite de « l'établissement principal », c'est-à-dire le lieu où se trouve l'administration centrale d'une entité ou le lieu où les décisions en matière de cybersécurité sont principalement prises. La relation de supervision d'une entité découle de son établissement principal.
Infrastructure Internet : DNS et WHOIS
L'article 21, paragraphe 4, mentionne spécifiquement la sécurité du DNS (système des noms de domaine) et le WHOIS (informations des registres de domaines) comme des domaines nécessitant une attention particulière. Les fournisseurs de DNS doivent garantir leur résilience face aux attaques par déni de service distribué. Les informations du WHOIS doivent être protégées contre les abus et l'exploitation.
Cryptographie et chiffrement
L'article 21, paragraphe 1, impose des mesures de cryptographie adaptées aux risques. La directive permet aux États membres d'établir des exigences en matière de chiffrement, de gestion des clés et d'algorithmes cryptographiques. Cependant, l'article 24 précise que le NIS2 ne restreint pas le chiffrement et n'exige pas de portes dérobées, conformément aux engagements de l'UE en matière de confidentialité.
Normes et certification
La directive encourage l'utilisation de normes européennes et internationales (ISO 27001, directives du NIST, etc.) et impose aux autorités compétentes de soutenir l'élaboration de normes sectorielles. L'article 21, paragraphe 3, stipule que « les États membres doivent, sans imposer ni discriminer en faveur de l'utilisation d'un type particulier de technologie, encourager l'utilisation de normes européennes et internationales ».
Préparation à la conformité à la norme NIS2
Pour la plupart des organisations, la conformité à la norme NIS2 n'est pas un projet avec une date de fin. Il s'agit d'un parcours de maturité qui nécessite un investissement et une évolution soutenus. Cependant, les mesures immédiates sont claires.
Évaluez votre portée
Tout d'abord, déterminez si votre organisation est concernée. Collaborez avec vos équipes juridiques et de conformité pour cartographier votre type d'entité par rapport aux annexes I et II, confirmer votre taille par rapport aux seuils de l'UE pour les moyennes entreprises et confirmer si vous avez été désigné comme essentiel par votre État membre.
Dressez l'inventaire de vos actifs et de vos systèmes
Réaliser un inventaire complet des réseaux et des systèmes d'information essentiels à la prestation de services. Comprenez les dépendances : quels systèmes prennent en charge quels services ? Quels sont ceux qui sont essentiels à la sécurité ou à la continuité ?
Réaliser une évaluation des lacunes
Comparez votre niveau de maturité actuel en matière de cybersécurité aux dix catégories de l'Article 21. Utilisez des cadres tels que le NIST Cybersecurity Framework ou ISO 27001 pour effectuer des analyses de référence. Identifiez les lacunes en matière de gouvernance, de gestion des actifs, de contrôle d'accès, de réponse aux incidents et dans d'autres domaines.
Construisez votre structure de gouvernance
Assurez-vous que votre conseil d'administration est engagé et comprend les risques de cybersécurité et les obligations de l'article 20. Établissez des rôles et des processus décisionnels clairs. Documentez les approbations de cybersécurité au niveau du conseil d'administration. Mettre en œuvre des programmes de formation pour les membres du conseil d'administration et le personnel.
Développer les capacités de réponse aux incidents
Votre processus de réponse aux incidents doit respecter les délais d'alerte précoce de 24 heures et de 72 heures de notification. Cela nécessite : des critères de classification des incidents clairs, des canaux de communication directs avec votre autorité compétente ou le CSIRT, des procédures documentées et une formation régulière.
Gérez votre chaîne d'approvisionnement
Identifiez les fournisseurs, les prestataires de services et les dépendances critiques. Évaluez leur niveau de sécurité. Établir des exigences de sécurité contractuelles. Mettre en œuvre une surveillance continue et une réévaluation périodique.
Principaux points à retenir
NIS2 représente un changement fondamental dans la gouvernance européenne de la cybersécurité :
- Champ d'application étendu: NIS2 couvre bien plus d'organisations que NIS1, y compris les fournisseurs de services numériques, les établissements de santé élargis et tous les MSP. La plupart des organisations des secteurs critiques sont désormais concernées.
- Responsabilité du conseil: Pour la première fois, la cybersécurité est explicitement une responsabilité au niveau du conseil d'administration en vertu de l'article 20. Les membres individuels du conseil d'administration peuvent être tenus personnellement responsables des violations.
- Chronologies agressives: Le délai de notification des incidents de 24 à 72 heures prévu à l'article 23 est l'un des délais de notification les plus serrés de la réglementation mondiale.
- Résilience à tous les risques: L'approche tous risques de l'article 21 nécessite l'intégration de la cybersécurité, de la sécurité physique, de la continuité des activités et de la gestion des risques liés à la chaîne d'approvisionnement.
- Proportionnée mais obligatoire: Si les mesures de l'article 21 doivent être proportionnées aux risques, proportionnalité ne signifie pas qu'elles sont facultatives. Les organisations doivent documenter l'évaluation des risques et justifier le choix des mesures.
- Pouvoir d'exécution: Le NIS2 confère aux régulateurs un pouvoir d'exécution explicite, y compris des amendes pouvant aller jusqu'à 10 millions d'euros pour les entités essentielles, des interdictions de gestion et des pouvoirs d'ordre.
- Réponse coordonnée de l'UE: Le NIS2 met en place une architecture institutionnelle (CSIRT, Groupe de coopération, EU-Cyclone) pour une réponse coordonnée aux cyberincidents transfrontaliers et systémiques.
La conformité à la norme NIS2 n'est pas un exercice de case à cocher. Elle nécessite l'intégration de la gouvernance, de la gestion des risques, des opérations, de la réponse aux incidents et de la gestion de la chaîne d'approvisionnement. Pour les RSSI et les équipes de conformité, NIS2 représente à la fois une obligation et une opportunité : la possibilité d'intégrer la cybersécurité en tant que fonction commerciale essentielle, intégrée à la stratégie, à la gestion des risques et aux opérations.
Commencez par une évaluation du périmètre, élaborez votre structure de gouvernance et utilisez les conseils de cet article comme référence lors de l'élaboration et de l'évolution de votre programme de conformité.
