Le risque cybersécurité est le sujet au cœur des préoccupations des organes de gouvernances européens. Il représente un risque systémique pour la stabilité de toute l’Union européenne.
NIS2 trouve sa genèse dans le constat de l’application de la directive NIS1 qui a révélé que la déstabilisation d’un des acteurs économiques, à l’échelle du marché européen, pourrait engendrer une désorganisation globale des populations et des états.
C’est ainsi que le Parlement européen et le Conseil de l’Union européenne ont respectivement adopté la Directive NIS2, les 10 et 28 novembre 2022, qui est entrée en vigueur le 17 janvier 2023.
NIS2 pour « Network and Information Security » est une évolution majeure et ambitieuse de la directive NIS1 qui a été transposée en France en 2018. Elle vise à renforcer le niveau de cybersécurité et de résilience des entités publiques et privées à l’échelle européenne, en adoptant un nouveau paradigme avec l’augmentation du périmètre d’application, l’obligation d’information et de notification d’incident, le renforcement des mesures de gestion des risques en matière de cybersécurité, l’implication de la direction ainsi que l’instauration de sanctions.
NIS2 sera transposée à la loi française au plus tard au deuxième semestre 2024, précisément le 17 octobre 2024. Cette loi passera par le biais des textes législatifs et réglementaires, décrets d’applications et arrêtés en regard des autres réglementations REC, LPM 2013 et DORA pour assurer une pleine cohérence du paysage de la cybersécurité en France. Elle devra donc suivre un processus législatif obligatoire. L’ANSSI lancera des consultations avec les fédérations professionnelles des différents secteurs, puis le texte sera présenté au Conseil d’Etat. Les débats parlementaires, pour confirmation ou amendement, finaliseront sa promulgation. Le calendrier prévisionnel de transposition est comme suit :
NIS2 élargit son champ d’application par rapport au NIS1. Elle concernera donc 18 secteurs d’activités et différents types d’entités. En France, nous passerons de 300 entités régulées par le NIS1 à 10 000 entités régulées par le NIS2.
Par conséquent, une entité entre dans le champ d’application de NIS2 si :
Les notions « opérateurs de services essentiels » (OSE) et de « fournisseurs de service numérique » (FSN) disparaissent et sont remplacées par deux nouvelles notions « entités essentielles » (EE) et « entités importantes » (EI) :
Le texte précise néanmoins quelques exceptions. En effet, les entités sont catégorisées, quelle que soit leur taille, comme « essentielles ». Par exemple, les fournisseurs de réseaux de communications électroniques publics, les entités identifiées comme critiques au niveau national, les entités de l’administration publique, les prestataires de services de confiance qualifiés et les registres de noms de domaines de premier niveau ainsi que les fournisseurs de services DNS (Domain Name System).
En complément, l’ANSSI pourra également identifier spécifiquement des entités comme « essentielles », « importantes » ou à exclure. Notamment dans des secteurs où peu d’entités sont actives et où une cyberattaque peut avoir un impact néfaste sur la sécurité, la sûreté ou la santé publique.
La catégorisation est assez complexe et pour cela l’ANSSI a déjà lancé des consultations pour préciser le champ d’application. En effet, pour simplifier la catégorisation, l’ANSSI nous propose d’utiliser le tableau suivant :
Concernant les secteurs concernés, ils ont été catégorisés en deux groupes :
Les entités concernées par le NIS2, qu’elles soient essentielles ou importantes, doivent mettre en place un ensemble de mesures d’une manière proportionnée à leurs tailles et moyens.
En plus de répondre aux risques en matière de cybersécurité qui menacent et qui pèsent sur l’activité des entités, ces mesures doivent être fondées sur une approche « tous risques ».
Bien que les exigences précises ne soient pas encore définies par l’ANSSI, elles ne seront certainement pas éloignées des bonnes pratiques et standards du marché, tel que l’ISO 27001 et le NIST. Celles-ci peuvent donc d’ores et déjà être mise en place, en s’appuyant sur ces normes.
Nous listons ci-après le minimum requis pour assurer une conformité NIS2, avec les préconisations de mise en œuvre de Grant Thornton :
La différence entre les entités essentielles et les entités importantes réside principalement dans la rigueur du contrôle et des sanctions. Les entités essentielles seront contrôlées et sanctionnées de manière plus stricte que les entités importantes.
strong>En effet, les violations en matière de mesures de gestion des risques ou de notification d’incident pourront être punies, selon le tableau suivant :
L’ANSSI aura pour rôle de s’assurer et de vérifier que les mesures de sécurité nécessaires ont bien été prises en compte par les entités. Elle pourra par exemple exiger la réalisation d’audits externes réguliers, effectuer des inspections ou solliciter la production de certains documents.
Grâce à NIS2, nous entrons dans une nouvelle ère plus sécurisée et plus coordonnée.
Afin de répondre aux premières sollicitations de nos clients, Grant Thornton a conçu une démarche d’accompagnement éprouvée, en 5 phases, qui peuvent être réalisées individuellement ou de manière intégrée :
Au-delà des activités à réaliser pour chacune de ces phases, nous assurerons un pilotage opérationnel global de nos travaux et proposerons des solutions totalement sur mesure, basées sur nos retours d’expérience.
Les entreprises auront un délai pour être conformes à NIS2 et mettre en place un plan d’action solide, fiable et pragmatique, proportionné à leurs moyens. Cependant, la conformité à la directive ne devant pas être très éloignée des standards actuels, elles peuvent s’y préparer dès maintenant. En effet, identifier les écarts potentiels entre ces normes et l’existant donne plus de chances d’être au rendez-vous le 17 octobre 2024.
