ISGroup Conseil en Cybersécurité

En quoi la directive NIS2 diffère-t-elle de la directive NIS1 ?

La directive NIS2 représente une évolution significative par rapport à la directive NIS1. Si vous souhaitez comprendre quel est l’objectif principal de la directive NIS2, il est utile de commencer par les différences structurelles par rapport au cadre précédent.

[Callforaction-NIS2]

Voici une analyse des principales différences :

Champ d’application élargi et seuils dimensionnels

  • La directive NIS2 élargit considérablement le nombre de secteurs et d’entités soumis à ses réglementations en matière de cybersécurité. Alors que la NIS1 se concentrait sur sept secteurs critiques, la NIS2 étend la couverture à onze secteurs considérés comme « hautement critiques » et ajoute sept autres « secteurs critiques ». Cet élargissement reflète la numérisation et l’interconnexion croissantes de divers secteurs ainsi que leur impact sur l’économie et la société de l’UE.
  • En outre, la NIS2 introduit un seuil dimensionnel, imposant à toutes les entreprises de taille moyenne et grande dans les secteurs désignés de respecter ses réglementations. Ce changement garantit une approche plus complète de la cybersécurité, reconnaissant que les menaces peuvent émerger d’entités de toute taille. Toutefois, les États membres conservent la flexibilité d’identifier et d’inclure également des entités plus petites présentant des profils de risque potentiellement élevés.

Classification des entités et régimes de supervision

  • La NIS2 abandonne la distinction précédente entre « opérateurs de services essentiels » et « fournisseurs de services numériques ». Elle met en œuvre un système de classification plus rationalisé basé sur l’importance de l’entité : « entités essentielles » et « entités importantes ». Cette catégorisation permet des régimes de supervision plus ciblés et appropriés, alignant la surveillance réglementaire sur l’impact potentiel des incidents de cybersécurité.

Exigences de sécurité et de signalement renforcées et simplifiées

  • La NIS2 favorise une plus grande cohérence et une plus grande rigueur dans les mesures de sécurité et le signalement des incidents entre les États membres, répondant ainsi à une limite importante de la directive NIS1. La directive impose une approche de gestion des risques qui définit une base minimale d’éléments de sécurité fondamentaux que toutes les entreprises doivent adopter. Ceux-ci incluent la gestion des incidents, la sécurité de la chaîne d’approvisionnement, la gestion et la divulgation des vulnérabilités, ainsi que l’utilisation de la cryptographie (et du chiffrement, le cas échéant). Pour les organisations qui doivent structurer ou vérifier leur parcours de mise en conformité, le support à la conformité NIS2 peut aider à identifier les écarts par rapport aux exigences minimales et à planifier les interventions nécessaires.
  • La directive introduit une approche multi-étapes du signalement des incidents, trouvant un équilibre entre un signalement rapide et une analyse approfondie. Les entreprises disposent désormais de 24 heures pour soumettre un « avertissement précoce » initial au CSIRT (Computer Security Incident Response Team) ou à l’autorité nationale compétente une fois qu’un incident est détecté. Une notification détaillée doit suivre dans les 72 heures, aboutissant à un rapport final présenté dans un délai d’un mois après l’incident.

Renforcement de l’application et du régime de sanctions

  • Reconnaissant l’application incohérente des sanctions prévue par la NIS1, la NIS2 établit un cadre plus solide et harmonisé pour les sanctions dans tous les États membres. Elle introduit une liste minimale de sanctions administratives en cas de non-respect des obligations de gestion des risques et de signalement, notamment :
    • Instructions contraignantes
    • Mise en œuvre obligatoire des recommandations issues des audits de sécurité
    • Ordres de mise en conformité des mesures de sécurité avec les exigences de la NIS2
    • Sanctions administratives

Renforcement de la coopération et du partage d’informations

  • La NIS2 renforce la coopération stratégique et opérationnelle entre les États membres, reconnaissant l’interconnexion croissante des cybermenaces et la nécessité d’une réponse coordonnée. Elle élargit le rôle du Groupe de coopération, facilitant des décisions politiques stratégiques plus solides et un échange d’informations entre les autorités nationales de cybersécurité.
  • Elle renforce le réseau CSIRT, améliorant la coopération opérationnelle entre les CSIRT nationaux pour garantir des réponses rapides et efficaces aux incidents transfrontaliers. De plus, la NIS2 établit EU-CyCLONe (European Cyber Crisis Liaison Organisation Network), qui joue un rôle crucial dans la coordination de la gestion des incidents et des crises de cybersécurité à grande échelle dans toute l’UE.

Focus sur la sécurité de la chaîne d’approvisionnement

  • La NIS2 aborde un aspect crucial de la cybersécurité souvent négligé dans les réglementations précédentes : la sécurité de la chaîne d’approvisionnement. Elle impose que les entreprises traitent individuellement les risques informatiques au sein de leurs chaînes d’approvisionnement et de leurs relations avec les fournisseurs. En outre, elle permet aux États membres, en collaboration avec la Commission et l’ENISA, de mener des évaluations coordonnées des risques de sécurité des chaînes d’approvisionnement critiques au niveau de l’UE, en s’appuyant sur le modèle utilisé pour la cybersécurité des réseaux 5G.

Divulgation coordonnée des vulnérabilités et base de données des vulnérabilités de l’UE

  • Pour promouvoir une approche plus proactive de la cybersécurité, la NIS2 établit un cadre pour la divulgation coordonnée des vulnérabilités, impliquant les principales parties prenantes dans toute l’UE. Ce cadre permet le signalement et la gestion responsable des vulnérabilités nouvellement découvertes dans les produits et services TIC. De plus, la NIS2 prévoit la création d’une base de données des vulnérabilités de l’UE gérée par l’ENISA, centralisant les informations sur les vulnérabilités publiquement connues afin d’améliorer la sensibilisation et la préparation globale en matière de cybersécurité.

Questions fréquentes

  • Comment savoir si mon entreprise entre dans le périmètre NIS2 ?
  • Le périmètre dépend du secteur d’activité et de la taille de l’organisation. La NIS2 s’applique généralement aux moyennes et grandes entreprises des secteurs « hautement critiques » et « critiques » énumérés par la directive. En Italie, l’ACN gère le processus d’inscription et de notification : vous pouvez consulter les indications de l’ACN sur la liste NIS2 et les délais de conformité pour vérifier les critères applicables à votre organisation.
  • Quelle est la différence pratique entre « entité essentielle » et « entité importante » ?
  • La distinction ne concerne pas seulement l’étiquette : les entités essentielles sont soumises à une surveillance ex ante plus stricte, tandis que les entités importantes sont contrôlées principalement ex post. Les sanctions maximales applicables diffèrent entre les deux catégories. Le texte intégral de la directive est consultable dans le document officiel de la directive NIS2.
  • Que se passe-t-il si une entreprise ne notifie pas un incident dans les délais prévus ?
  • Le non-respect des délais établis (avertissement précoce sous 24 heures, notification détaillée sous 72 heures) expose l’organisation aux sanctions administratives prévues par la NIS2, qui incluent des instructions contraignantes, des ordres de mise en conformité et, dans les cas les plus graves, des sanctions pécuniaires significatives. Le respect des délais de signalement est l’une des obligations vérifiées par les autorités compétentes.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *