ISGroup Conseil en Cybersécurité

Quelles sont les principales différences entre les directives NIS1 et NIS2 ?

La directive NIS2 représente une évolution significative par rapport à la directive NIS1, visant à surmonter ses limites et à s’adapter au paysage en constante évolution de la cybersécurité. Si vous souhaitez savoir si votre organisation entre dans le périmètre et ce qu’il faut faire concrètement, le point de départ est de vérifier les obligations prévues par le parcours de conformité à la directive NIS2.

[Callforaction-NIS2]

Voici une analyse détaillée des principales différences :

Champ d’application élargi et seuils basés sur la taille

  • NIS1 : Elle se concentrait sur sept secteurs critiques : énergie, transports, banques, infrastructures des marchés financiers, eau potable, santé et infrastructures numériques. Seules les entités désignées comme « opérateurs de services essentiels » (OSE) au sein de ces secteurs entraient dans le champ d’application de la directive.
  • NIS2 : Elle élargit considérablement le champ d’application en incluant des secteurs supplémentaires cruciaux pour l’économie et la société, en fonction de leur niveau de numérisation et d’interconnexion. Ceux-ci incluent :
  • Secteurs hautement critiques : énergie (élargi pour inclure le chauffage et le refroidissement urbains, le pétrole, le gaz et l’hydrogène), transports (couvrant l’aérien, le ferroviaire, l’eau et la route), banques, infrastructures des marchés financiers, santé (y compris la production pharmaceutique, notamment les vaccins), eau potable, eaux usées, infrastructures numériques (élargi pour inclure les points d’échange internet, les fournisseurs de services DNS, les registres de noms TLD, les fournisseurs de cloud computing, les fournisseurs de centres de données, les réseaux de distribution de contenu, les fournisseurs de services de confiance, les fournisseurs de réseaux de communications électroniques publics et les services de communications électroniques accessibles au public), gestion des services TIC (y compris les fournisseurs de services gérés et les fournisseurs de services de sécurité gérés), administration publique et espace.
  • Autres secteurs critiques : services postaux et de messagerie, gestion des déchets, produits chimiques, alimentation, fabrication de dispositifs médicaux, ordinateurs, électronique, machines, véhicules à moteur, remorques et autres équipements de transport, fournisseurs numériques (y compris les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux), et organismes de recherche.
  • Seuils basés sur la taille : La NIS2 introduit une règle basée sur la taille, incluant automatiquement toutes les entreprises de taille moyenne et grande dans les secteurs sélectionnés. Elle accorde également aux États membres la flexibilité de désigner des entités plus petites présentant des profils à haut risque qui devraient être soumises aux obligations de la directive. Cela représente un changement par rapport à l’approche plus ciblée de la NIS1, qui reposait sur les États membres pour identifier des entités spécifiques.

Classification des entités : des OSE et FSD aux entités essentielles et importantes

  • NIS1 : Elle distinguait les « opérateurs de services essentiels » (OSE) des « fournisseurs de services numériques » (FSD), en appliquant des exigences réglementaires différentes à chaque catégorie.
  • NIS2 : Elle élimine cette distinction, classant plutôt les entités comme « essentielles » ou « importantes » en fonction de leur importance. Cette classification simplifiée vise à offrir plus de clarté et de cohérence entre les secteurs.

Exigences de sécurité renforcées et rationalisées

  • NIS1 : Elle exigeait des OSE qu’ils effectuent des évaluations des risques de cybersécurité et mettent en œuvre des mesures de sécurité appropriées, mais fournissait des indications moins spécifiques sur leur mise en œuvre.
  • NIS2 : Elle renforce et rationalise les exigences de sécurité en imposant une approche plus explicite de la gestion des risques. Elle introduit une liste de dix éléments clés de sécurité que toutes les entités couvertes doivent intégrer dans leurs politiques de gestion des risques de cybersécurité. Ceux-ci incluent des exigences pour :
  • Analyse des risques et politiques de sécurité : Mener des évaluations régulières des risques, développer et mettre à jour des politiques de sécurité, et les aligner sur des normes reconnues et les meilleures pratiques.
  • Gestion des incidents : Établir des procédures claires pour le signalement, la communication, l’escalade et la réponse aux incidents, garantissant une approche rapide et coordonnée pour minimiser les dommages et les temps d’arrêt.
  • Continuité des activités et gestion de crise : Mettre en œuvre des mesures pour assurer la résilience opérationnelle, telles que des processus de sauvegarde et de reprise après sinistre, et développer des plans de gestion de crise, y compris des stratégies de communication.
  • Sécurité de la chaîne d’approvisionnement : Évaluer et atténuer les risques associés aux fournisseurs et prestataires de services, en tenant compte de leurs pratiques de sécurité et de leur posture globale en matière de cybersécurité.
  • Sécurité dans l’acquisition, le développement et la maintenance des systèmes de réseau et d’information : Intégrer des considérations de sécurité tout au long du cycle de vie des systèmes TIC, de l’approvisionnement et du développement au déploiement, à la maintenance et à la mise hors service.
  • Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques de cybersécurité : Établir des mécanismes pour évaluer régulièrement l’efficacité des contrôles de sécurité mis en œuvre par le biais d’audits, de tests d’intrusion et d’autres formes d’évaluation de la sécurité.
  • Politiques sur l’utilisation de la cryptographie et du chiffrement : Protéger les données sensibles, qu’elles soient en transit ou au repos, en mettant en œuvre des contrôles cryptographiques appropriés, notamment le chiffrement, les protocoles de communication sécurisés et les signatures numériques.
  • Sécurité des ressources humaines : Mettre en œuvre des mesures de sécurité relatives aux ressources humaines, y compris des vérifications des antécédents pour les employés occupant des postes critiques, une formation à la sensibilisation à la sécurité et des mesures de contrôle d’accès.
  • Utilisation de l’authentification multifacteur ou de l’authentification continue : Améliorer la sécurité des accès en mettant en œuvre des mécanismes d’authentification robustes qui vont au-delà des simples mots de passe, tels que l’authentification multifacteur ou des méthodes d’authentification continue.
  • Politiques et procédures pour assurer la sécurité physique des systèmes de réseau et d’information : Traiter les risques de sécurité physique pour les infrastructures et les systèmes critiques, y compris des mesures pour contrôler l’accès aux salles serveurs, aux centres de données et à d’autres emplacements sensibles.

Procédures de signalement des incidents plus détaillées

  • NIS1 : Exigeait le signalement des « incidents graves », mais avec des indications moins détaillées sur les délais et le contenu du signalement.
  • NIS2 : Introduit un processus de signalement des incidents plus précis avec des délais clairs et des exigences de contenu spécifiques. Cela inclut une approche en plusieurs étapes :
  • Alerte précoce : Dans les 24 heures suivant la prise de connaissance d’un incident significatif, les entités doivent envoyer une alerte précoce à leur CSIRT ou à l’autorité nationale compétente, permettant une intervention précoce et une atténuation potentielle.
  • Notification d’incident : Cette notification initiale doit être suivie d’une notification plus complète dans les 72 heures, fournissant des détails supplémentaires sur l’impact de l’incident et les actions de réponse entreprises.
  • Rapport final : Un rapport final est requis au plus tard un mois après la notification initiale, offrant une analyse détaillée de l’incident, de sa cause profonde et des leçons apprises pour prévenir des incidents similaires à l’avenir.

Supervision, application et sanctions harmonisées plus strictes

  • NIS1 : Reposait fortement sur les États membres pour la supervision et l’application, conduisant à une application incohérente des sanctions dans toute l’UE.
  • NIS2 : Renforce les mesures de supervision, impose une application plus rigoureuse et cherche à harmoniser les régimes de sanctions dans tous les États membres.
  • Pouvoirs de supervision renforcés : Fournit aux autorités nationales une liste minimale d’outils de supervision, notamment des audits réguliers et ciblés, des inspections sur place, des demandes d’informations et l’accès à la documentation.
  • Régimes de supervision différenciés : Établit des approches de supervision distinctes pour les entités « essentielles » et « importantes », en adaptant la supervision à leurs profils de risque et à leur impact potentiel.
  • Cadre de sanctions harmonisé : Introduit une liste minimale de sanctions administratives pour les violations des exigences de la directive, y compris des instructions contraignantes, des audits de sécurité obligatoires et des amendes administratives.
  • Amendes administratives significatives : Pour les entités « essentielles », la NIS2 prévoit des amendes administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités « importantes », l’amende maximale est d’au moins 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial.
  • Responsabilité de la haute direction : Introduit des dispositions pour tenir les individus occupant des postes de haute direction responsables des violations de la directive, favorisant une culture de responsabilité aux plus hauts niveaux des organisations.

Gestion améliorée des crises cyber et coopération au niveau de l’UE

  • NIS1 : Manquait de dispositions spécifiques pour une gestion coordonnée des crises cyber au niveau de l’UE.
  • NIS2 : Renforce la coopération au niveau de l’UE et introduit des mécanismes pour améliorer la prévention, la gestion et la réponse aux crises cyber :
  • Autorités nationales de gestion des crises cyber : Oblige chaque État membre à désigner une autorité nationale responsable de la gestion des crises cyber, garantissant des lignes claires de responsabilité et de coordination.
  • Plans nationaux de réponse aux crises cyber : Exige des États membres qu’ils développent des plans nationaux complets pour répondre aux incidents et crises de cybersécurité à grande échelle, en définissant les rôles, les responsabilités, les protocoles de communication et les procédures d’escalade.
  • EU-CyCLONe : Institue le Réseau européen des organisations de liaison pour les crises cyber (EU-CyCLONe) pour fournir un soutien opérationnel à la gestion coordonnée des incidents et crises de cybersécurité à grande échelle entre les États membres.

Traiter la cybersécurité dans les chaînes d’approvisionnement

  • NIS1 : Ne traitait pas spécifiquement les risques de cybersécurité dans les chaînes d’approvisionnement.
  • NIS2 : Inclut des exigences pour que les entités traitent les risques de cybersécurité au sein de leurs chaînes d’approvisionnement et de leurs relations avec les fournisseurs. Cela inclut la réalisation d’évaluations des risques des fournisseurs critiques, la mise en œuvre de contrôles de sécurité dans les processus d’approvisionnement et la promotion du partage d’informations et de la coopération sur les questions de cybersécurité tout au long de la chaîne d’approvisionnement.

Rôle renforcé du groupe de coopération et partage d’informations

  • NIS1 : A établi le Groupe de coopération pour faciliter la coopération stratégique et l’échange d’informations entre les États membres.
  • NIS2 : Renforce le rôle du Groupe de coopération dans l’élaboration des décisions stratégiques de politique de cybersécurité et favorise un partage d’informations et une coopération plus systématiques entre les autorités des États membres. Cela inclut le partage d’informations sur les menaces, les vulnérabilités, les incidents, les meilleures pratiques et les approches réglementaires.

Divulgation coordonnée des vulnérabilités et base de données des vulnérabilités de l’UE

  • NIS1 : N’incluait pas de dispositions pour la divulgation coordonnée des vulnérabilités.
  • NIS2 : Établit un cadre pour la divulgation coordonnée des vulnérabilités, définissant des procédures pour le signalement des vulnérabilités aux fournisseurs et coordonnant les pratiques de divulgation responsable. Elle oblige également à la création d’une base de données des vulnérabilités de l’UE, maintenue par l’ENISA, pour suivre les vulnérabilités publiquement connues dans les produits et services TIC.

En résumé, la directive NIS2 s’appuie sur les fondations posées par la NIS1, en élargissant son champ d’application, en renforçant ses exigences et en introduisant de nouveaux mécanismes de coopération et d’application pour relever les défis de cybersécurité auxquels l’UE est confrontée. Pour approfondir le cadre réglementaire complet, vous pouvez consulter le document officiel de la directive NIS2, ou lire quel est l’objectif principal de la directive NIS2. Si votre organisation est déjà inscrite sur la liste ACN, vous pouvez également trouver des indications opérationnelles sur ce qu’implique la conformité NIS2 dans les délais ACN.

Questions fréquentes sur la directive NIS2

  • Mon entreprise entre-t-elle dans le périmètre NIS2 même si elle n’était pas soumise à la NIS1 ?
  • C’est possible. La NIS2 élargit considérablement le périmètre par rapport à la NIS1, en incluant de nouveaux secteurs et en appliquant des seuils dimensionnels automatiques : toutes les moyennes et grandes entreprises des secteurs couverts entrent dans les obligations, indépendamment d’une désignation explicite comme c’était le cas avec la NIS1. Il est donc nécessaire de vérifier le secteur d’appartenance et la taille de l’entreprise.
  • Quelles sont les sanctions prévues pour ceux qui ne respectent pas la NIS2 ?
  • Pour les entités classées comme « essentielles », les sanctions administratives peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (la valeur la plus élevée s’applique). Pour les entités « importantes », le maximum est de 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. La NIS2 introduit également la responsabilité personnelle de la haute direction.
  • D’ici quand les organisations doivent-elles se conformer à la NIS2 en Italie ?
  • La transposition italienne de la directive NIS2 a eu lieu avec le décret législatif 138/2024. Les délais opérationnels pour l’enregistrement et la mise en conformité sont gérés par l’ACN (Agence pour la cybersécurité nationale), qui a défini les fenêtres temporelles pour l’inscription sur la liste des sujets NIS et les obligations de conformité ultérieures.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *