TL;DR

NIS2 est la nouvelle loi européenne sur la cybercriminalité pour les secteurs critiques - champ d'application plus large, règles plus strictes. Elle exige une sécurité de base (correctifs, chaîne d'approvisionnement, contrôle d'accès), un signalement rapide des incidents (24 heures) et une responsabilité au niveau de l'exécutif.

Si vous êtes une entité "essentielle" ou "importante" dans l'UE, la mise en conformité n'est pas négociable d'ici octobre 2024. Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

Résumé de la fiche d'évaluation de la directive NIS2 :

• Effort du développeur : Modéré (nécessite la mise en œuvre de contrôles techniques spécifiques, de pratiques SDLC sécurisées axées sur la gestion des vulnérabilités et la sécurité de la chaîne d'approvisionnement, et la prise en charge d'une détection et d'un signalement rapides des incidents).
• Coût de l'outillage : Modéré à élevé (dépend de la maturité de base ; peut nécessiter un investissement dans des outils de gestion des risques, un meilleur contrôle/enregistrement, la gestion de la vulnérabilité, l'AMF, le cryptage, les outils de sécurité de la chaîne d'approvisionnement).
• Impact sur le marché : Très élevé (obligatoire pour un grand nombre d'entités opérant dans l'UE ; relève considérablement le niveau des attentes en matière de cybersécurité et de leur mise en œuvre).
• Souplesse : Modérée (impose des mesures de sécurité minimales mais autorise la proportionnalité en fonction du risque et de la taille/criticité de l'entité).
• Intensité de l'audit : Élevée (les autorités nationales superviseront et appliqueront la législation ; implique des audits potentiels, des inspections et des preuves de conformité, en particulier pour les entités essentielles).

Qu'est-ce que la directive NIS2 ?

La directive NIS2 (directive (UE) 2022/2555) est une loi européenne sur la cybersécurité qui abroge et remplace la directive originale de 2016 sur la sécurité des réseaux et de l'information (NIS). Son objectif est d'atteindre un niveau commun plus élevé de cybersécurité dans les États membres de l'UE. Elle remédie aux lacunes de la première directive NIS en élargissant son champ d'application, en clarifiant les exigences, en renforçant les obligations en matière de sécurité et en introduisant des mesures de supervision et d'application plus strictes.

Aspects clés de la directive NIS2:

• Champ d'application élargi : Couvre davantage de secteurs essentiels à l'économie et à la société. Il fait la distinction entre :
  
  • Entités essentielles (annexe I) : Comprend des secteurs tels que l'énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques (IXP, DNS, registres de TLD, fournisseurs de cloud, centres de données, CDN, services de confiance), l'administration publique et l'espace.
  • Entités importantes (annexe II) : Comprend les services postaux/courriers, la gestion des déchets, les produits chimiques, la production/transformation/distribution de denrées alimentaires, la fabrication (dispositifs médicaux, ordinateurs, électronique, machines, véhicules), les fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux) et la recherche.
  • S'applique généralement aux moyennes et grandes entreprises de ces secteurs, mais les États membres peuvent inclure des entités plus petites présentant un profil de risque élevé en matière de sécurité.
• Exigences plus strictes en matière de sécurité : Les entités sont tenues de mettre en œuvre des "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées" pour gérer les risques liés à la cybersécurité (article 21). Ces mesures comprennent un minimum de 10 mesures de base couvrant l'analyse des risques, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement, le traitement et la divulgation des vulnérabilités, les tests, la cryptographie et le chiffrement, la sécurité des ressources humaines, le contrôle d'accès et la gestion des actifs, ainsi que l'utilisation de l'AMF et des communications sécurisées.
• Responsabilité de la direction : Rendre explicitement les organes de direction responsables de l'approbation, de la supervision et de la formation aux mesures de gestion des risques liés à la cybersécurité. Le non-respect de ces mesures peut engager la responsabilité personnelle des dirigeants.
• Obligations de déclaration d'incidents : Introduction d'un système de notification en plusieurs étapes pour les incidents significatifs :
  
  • Alerte rapide 24 heures sur 24 au CSIRT (Computer Security Incident Response Team) ou à l'autorité compétente.
  • Notification d'un incident dans les 72 heures avec une évaluation initiale.
  • Rapport final dans un délai d'un mois.
• Sécurité de la chaîne d'approvisionnement : Les entités sont tenues de prendre en compte les risques de cybersécurité dans leurs chaînes d'approvisionnement et dans leurs relations avec les fournisseurs directs.
• Harmonisation et mise en œuvre : vise une application plus cohérente dans les États membres, renforce les pouvoirs de contrôle des autorités nationales et introduit des amendes administratives significatives en cas de non-respect.

Les États membres doivent transposer le NIS2 dans leur législation nationale d'ici le 17 octobre 2024.

Pourquoi est-ce important ?

Le NIS2 représente une avancée majeure dans la réglementation de l'UE en matière de cybersécurité :

• Impact plus large : Par rapport à la directive NIS initiale, elle touche un éventail beaucoup plus large de secteurs et d'entreprises opérant dans l'UE. De nombreuses entreprises technologiques (fournisseurs d'informatique en nuage, centres de données, fournisseurs numériques) entrent directement dans le champ d'application.
• Une base de sécurité plus élevée : impose un ensemble plus concret de mesures de sécurité minimales, rehaussant ainsi le niveau de cybersécurité dans tous les secteurs couverts.
• Responsabilité accrue : La responsabilité directe (et la responsabilité potentielle) de la surveillance de la cybersécurité incombe à la direction de l'entreprise.
• Une réponse plus rapide aux incidents : Des délais de déclaration stricts poussent les organisations à accélérer les capacités de détection et de réponse.
• L'accent sur la chaîne d'approvisionnement : Reconnaît et traite les risques importants provenant de la chaîne d'approvisionnement, obligeant les entreprises à regarder au-delà de leur propre périmètre.
• Une application plus stricte : Des amendes importantes et des pouvoirs de surveillance signifient que le non-respect des règles a des conséquences graves.
• Cohérence transfrontalière : vise à réduire la fragmentation des exigences et de la supervision en matière de cybersécurité dans l'UE.

Pour les entités essentielles et importantes, la conformité au NIS2 n'est pas facultative ; il s'agit d'une exigence légale pour opérer sur le marché de l'UE.

Quoi et comment mettre en œuvre (technique et politique)

La mise en œuvre du NIS2 nécessite une approche structurée axée sur la gestion des risques et les mesures de sécurité minimales prescrites (article 21) :

1. Confirmation du champ d'application : Déterminez si votre organisation fait partie des entités "essentielles" ou "importantes" sur la base des critères de secteur et de taille définis dans la directive et les transpositions nationales.
2. Évaluation des risques et politiques (article 21, paragraphe 2 bis) : Procéder à des évaluations approfondies des risques afin d'identifier les menaces pesant sur les réseaux et les systèmes d'information. Élaborer et mettre en œuvre les politiques de sécurité des systèmes d'information correspondantes.
3. Traitement des incidents (article 21, paragraphe 2 ter) : Établir des procédures pour la détection, l'analyse, le signalement (dans le respect des délais de 24 heures/72 heures/1 mois) et la réaction aux incidents de cybersécurité. Nécessité d'une surveillance et d'une journalisation rigoureuses.
4. Continuité des activités et gestion des crises (article 21, paragraphe 2, point c)) : Élaborer des plans de continuité des activités (gestion des sauvegardes, reprise après sinistre) et de gestion des crises afin de garantir la résilience opérationnelle pendant/après des incidents majeurs.
5. Sécurité de la chaîne d'approvisionnement (article 21, paragraphe 2, point d)) : Évaluer et traiter les risques liés aux fournisseurs directs et aux prestataires de services (y compris les CSP). Mettre en œuvre les exigences de sécurité dans les contrats avec les fournisseurs. Faire preuve de diligence raisonnable.
6. Sécurité des systèmes et traitement des vulnérabilités (article 21, point 2e)) : Mettre en œuvre la sécurité dans l'acquisition, le développement et la maintenance des réseaux/systèmes d'information. Établir des processus de traitement et de divulgation des vulnérabilités (par exemple, utilisation de scanners de vulnérabilités, gestion des correctifs). Ce point recoupe largement les pratiques du SDLC sécurisé (comme le NIST SSDF).
7. Test d'efficacité (article 21, paragraphe 2, point f)) : Élaborer des politiques et des procédures permettant d'évaluer régulièrement l'efficacité des mesures de gestion des risques liés à la cybersécurité mises en œuvre (par exemple, au moyen d'audits internes/externes, de tests de pénétration).
8. Hygiène et formation en matière de cybersécurité (article 21, paragraphe 2, point g)) : Mettre en œuvre des pratiques d'hygiène cybernétique de base (mots de passe robustes, correctifs) et organiser régulièrement des formations de sensibilisation à la cybersécurité à l'intention de l'ensemble du personnel.
9. Cryptographie et chiffrement (article 21, paragraphe 2, point h)) : Définir et mettre en œuvre des politiques concernant l'utilisation de la cryptographie et du chiffrement, le cas échéant (par exemple, pour les données au repos et en transit).
10. Sécurité des ressources humaines, contrôle d'accès, gestion des actifs (article 21, paragraphe 2, point i)) : Mettre en œuvre des procédures de sécurité pour le personnel (vérification des antécédents si nécessaire), des politiques de contrôle d'accès rigoureuses (moindre privilège, RBAC), et tenir un inventaire/gérer les actifs en toute sécurité.
11. Authentification multifactorielle (AMF) et communications sécurisées (article 21, paragraphe 2, point j)) : Utiliser des solutions d'authentification multifactorielle ou continue, des communications vocales/vidéo/textes sécurisées et des systèmes de communication d'urgence sécurisés, le cas échéant.

La mise en œuvre nécessite une combinaison de contrôles techniques robustes (pare-feu, IDS/IPS, EDR, SIEM, MFA, cryptage, scanners de vulnérabilité, outils de gestion des correctifs) et de politiques, procédures et programmes de formation bien documentés.

Les erreurs courantes à éviter

Les organisations qui se préparent à NIS2 doivent éviter ces pièges :

1. Sous-estimation du champ d'application : Supposer à tort que le NIS2 ne s'applique pas en raison du secteur ou de la taille, ou ne pas identifier toutes les unités d'affaires/systèmes pertinents dans le champ d'application.
2. Ignorer les risques liés à la chaîne d'approvisionnement : se concentrer uniquement sur la sécurité interne et négliger l'obligation d'évaluer et de gérer les risques liés aux fournisseurs directs.
3. Capacité insuffisante de signalement des incidents : Absence de surveillance, de détection, d'analyse et de processus internes permettant de respecter les délais stricts de signalement 24/72 heures.
4. Manque d'adhésion et de contrôle de la part de la direction : Traiter le NIS2 uniquement comme une question de technologie de l'information ou de sécurité sans impliquer la direction dans l'approbation des politiques, la supervision de la mise en œuvre et la formation nécessaire.
5. Se concentrer uniquement sur la technologie : Négliger les aspects cruciaux de processus, de politique, de formation et de gouvernance requis par la directive.
6. Documentation inadéquate : L'évaluation des risques, les politiques, les procédures, le traitement des incidents et les preuves de la mise en œuvre des contrôles ne sont pas correctement documentés en vue d'une éventuelle supervision par les autorités nationales.
7. Attendre trop longtemps : Retarder la préparation jusqu'à l'échéance d'octobre 2024, en sous-estimant le temps nécessaire à l'analyse des lacunes, à la mise en œuvre et aux changements de processus (souvent estimés à ~12 mois).

Ce que les auditeurs/autorités pourraient demander (Developer Focus)

Bien que les audits formels ne soient pas encore définis comme SOC 2, les autorités de contrôle nationales seront habilitées à vérifier la conformité. Les questions susceptibles d'avoir un impact sur les équipes de développement pourraient porter sur les points suivants :

• (Art. 21(2e)) Traitement des vulnérabilités : "Quel est votre processus d'identification, d'évaluation et de correction des vulnérabilités découvertes dans votre logiciel ou ses dépendances ? Démontrez que des correctifs ont été apportés récemment.
• (Art. 21(2e)) Développement sécurisé : "Comment garantissez-vous que la sécurité est prise en compte pendant le cycle de vie du développement du logiciel ? Pouvez-vous démontrer l'existence de pratiques de codage sécurisées ou de tests de sécurité (SAST/SCA) ?"
• (Art. 21(2d)) Chaîne d'approvisionnement (dépendances) : "Comment évaluez-vous la sécurité des bibliothèques open-source ou des composants tiers utilisés dans votre logiciel ?"
• (Art. 21(2b)) Soutien à la gestion des incidents : "Comment la journalisation de votre application facilite-t-elle la détection et l'analyse des incidents de sécurité ?"
• (Art. 21(2h)) Cryptographie : "Où le chiffrement est-il utilisé dans votre application (données en transit, données au repos) ? Comment les clés sont-elles gérées ?"
• (Art. 21(2i)) Contrôle de l'accès : "Comment l'accès aux environnements de développement, au code source et aux filières de déploiement est-il contrôlé ?"
• (Art. 21(2j)) Authentification : "L'AMF est-elle utilisée pour l'accès des développeurs aux systèmes critiques ou aux référentiels de code ?

Les autorités rechercheront des preuves de l'existence de processus établis, de contrôles techniques et de documents attestant du respect des mesures de sécurité prescrites.

Des gains rapides pour les équipes de développement

Les équipes de développement peuvent contribuer à la préparation à NIS2 en se concentrant sur les fondamentaux :

1. Donner la priorité à la gestion des vulnérabilités : Mettre en œuvre des analyses SCA et SAST robustes dans les pipelines CI/CD et établir des accords de niveau de service clairs pour la correction des vulnérabilités critiques/de haute gravité. (Aligné sur l'art. 21(2e))
2. Renforcer la sécurité CI/CD : Sécuriser l'accès au pipeline, utiliser la gestion des secrets et analyser les artefacts de construction. (Prend en charge plusieurs mesures de l'article 21)
3. Améliorer la journalisation : Veiller à ce que les applications génèrent des journaux d'événements de sécurité significatifs et les transmettent de manière centralisée afin de faciliter la détection des incidents. (Aligné sur l'article 21, paragraphe 2b). 21(2b))
4. Appliquer l'AMF : Sécuriser l'accès des développeurs aux référentiels de code, aux consoles en nuage et aux systèmes CI/CD avec l'AMF. (Aligné sur l'art. 21(2j))
5. Examiner les dépendances : Examiner et gérer activement la posture de sécurité des bibliothèques tierces. (Aligné sur les articles 21(2d) et 21(2e)). 21(2d), 21(2e))
6. Formation de base au codage sécurisé : Rafraîchir les connaissances de l'équipe sur les vulnérabilités courantes (OWASP Top 10) et les pratiques de codage sécurisé. (Aligné sur l'art. 21(2g))

Ignorez ceci et... (Conséquences de la non-conformité)

Le non-respect du NIS2 est passible de sanctions importantes appliquées par les autorités nationales :

• Lourdes amendes :
  
  • Entités essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
  • Entités importantes : Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
• Ordres correctifs : Les autorités peuvent émettre des instructions contraignantes pour remédier aux déficiences.
• Audits et inspections : Les organisations non conformes font l'objet d'une surveillance accrue et d'audits de sécurité obligatoires.
• Suspension des certifications/autorisations : Dans certains cas, les certifications ou les autorisations d'exploitation pertinentes peuvent être suspendues.
• Divulgation publique : Les autorités peuvent nommer publiquement les organisations qui ne respectent pas les règles.
• Responsabilité de la direction : Les membres de l'organe de direction peuvent être tenus personnellement responsables et risquent de se voir interdire temporairement d'exercer des fonctions de direction en cas de négligence grave.
• Atteinte à la réputation : Les amendes et la divulgation publique nuisent gravement à la confiance des clients et à la réputation de la marque.

FAQ

Qui doit se conformer à la directive NIS2 ?

Les moyennes et grandes organisations opérant au sein de l'UE dans des secteurs spécifiques énumérés à l'annexe I ("Entités essentielles") et à l'annexe II ("Entités importantes"). Il s'agit de domaines tels que l'énergie, les transports, la santé, les infrastructures numériques (fournisseurs de services en nuage, centres de données, DNS, etc.), les fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), l'industrie manufacturière, les services postaux, et bien d'autres encore. Pour en savoir plus, consultez la directive et les transpositions nationales.

Quelle est la date limite pour la mise en conformité avec le NIS2 ?

Les États membres de l'UE doivent adopter et publier les mesures nécessaires pour se conformer à la directive NIS2 d'ici le 17 octobre 2024. Les organisations entrant dans le champ d'application de la directive doivent s'y conformer avant que les lois nationales ne prennent effet.

Quelle est la principale différence entre NIS1 et NIS2 ?

Le NIS2 élargit considérablement le champ d'application (plus de secteurs, obligatoire pour les moyennes/grandes entités), impose des exigences plus strictes en matière de sécurité et de déclaration (y compris des mesures minimales spécifiques et des délais serrés), renforce la supervision et l'application (amendes plus élevées, responsabilité de la direction) et vise à une meilleure harmonisation entre les États membres.

Quel est le lien entre le NIS2 et le GDPR ?

Ils sont complémentaires. Le GDPR se concentre sur la protection des données personnelles. Le NIS2 se concentre sur la cybersécurité des réseaux et des systèmes d'information utilisés pour fournir des services essentiels/importants (qui traitent souvent des données à caractère personnel). Le respect des exigences de sécurité du NIS2 contribue à protéger les systèmes contenant des données couvertes par le GDPR. Le rapport sur les violations du NIS2 se concentre sur l'interruption des services, tandis que le GDPR se concentre sur les risques pour les personnes en cas de violation des données personnelles.

Quel est le lien entre le NIS2 et le DORA ou la loi sur la cyber-résilience (CRA) ?

Ils font partie de la stratégie numérique plus large de l'UE, se chevauchent souvent mais ont des objectifs différents :

• NIS2 : Large base de cybersécurité pour les secteurs essentiels/importants.
• DORA : Exigences spécifiques en matière de résilience opérationnelle numérique pour le secteur financier. Le DORA est une lex specialis, ce qui signifie que les entités financières suivent le DORA lorsqu'il y a chevauchement avec le NIS2.
• CRA : se concentre sur les exigences en matière de cybersécurité pour les produits comportant des éléments numériques (matériel/logiciel) mis sur le marché de l'UE tout au long de leur cycle de vie. Ils visent à collaborer pour créer des couches de sécurité.

Existe-t-il une certification NIS2 ?

La directive encourage l'utilisation de systèmes européens de certification en matière de cybersécurité (basés sur la loi européenne sur la cybersécurité) pour démontrer la conformité, mais elle n'impose pas de "certificat NIS2" spécifique. La conformité sera supervisée et appliquée par les autorités nationales compétentes.

Qu'est-ce qu'un "incident significatif" devant être signalé dans le cadre du NIS2 ?

Un incident est considéré comme significatif s'il

a) entraîne ou est susceptible d'entraîner une grave perturbation opérationnelle ou une perte financière pour l'entité concernée ;

b) affecte ou est susceptible d'affecter d'autres personnes physiques ou morales en leur causant un préjudice matériel ou moral considérable.

Les autorités nationales fourniront des orientations supplémentaires.