La directive NIS2 : qu’est-ce que c’est et quelles sont les entreprises et administrations réunionnaises concernées ?

Vous l’ignorez sans doute, mais en coulisses, l’Union Européenne concocte une recette pour protéger les Etats-membres et vous protéger, vous, contre les cybermenaces les plus graves.

Le 16 décembre 2020, la Commission européenne avait présenté une proposition de réforme de l’actuelle directive NIS (Network and Information System Security). Celle-ci vise à maintenir un niveau élevé de cybersécurité au sein de l’Union européenne, en particulier pour les infrastructures critiques. Le 17 février de cette année, les organes de l’Union Européenne ont entamé un nouveau cycle de négociations qui devrait aboutir à l’accouchement de la directive NIS2 dans sa version finale.

Découvrez les tenants et aboutissants de cette NIS2, et quelles sont ses implications pour les entreprises établies à La Réunion.

Qu’est-ce que la directive NIS ?

La publication de la directive 2016/1148, c’est-à-dire, la directive NIS a eu lieu en 2016. Son objectif était d’établir un cadre règlementaire pour instituer une coopération en matière de cybersécurité entre les différents membres de l’Union Européenne.

Pour résumer, elle pose les conditions pour assurer le maintien des activités économiques et sociétales les plus essentielles en cas de cyberattaques.

Pourquoi une seconde mouture ?

L’explosion des cybermenaces

La pandémie de coronavirus a obligé les organisations du monde entier à accélérer leur transition numérique. De nombreuses entreprises sont ainsi passées à des solutions cloud pour améliorer leur flexibilité et être en mesure de répondre aux besoins accrus en connectivité des salariés en télétravail.

Mais les équipes informatiques des entreprises n’ont pas toujours bien maîtrisé cette évolution, ce qui s’est traduit par la multiplication des failles de sécurité dans les systèmes informatiques. De nombreux gangs et individus malveillants les ont exploitées pour lancer des cyberattaques. On a assisté à une explosion des incidents de cybersécurité au plan mondial.

En parallèle, la crise sanitaire a développé le recours massif au commerce électronique et aux paiements sans numéraire (paiements sans contact et paiements en ligne), eux aussi plus vulnérables aux cyberattaques et aux violations de la cybersécurité. Les vols de données ou d’argent en ligne ont aussi été multipliés.

Les pirates n’hésitent plus à s’attaquer aux infrastructures et institutions de nations entières. En avril 2007, l’Estonie est devenue le premier pays victime d’une cyberattaque de grande ampleur. En 2020, une cyberattaque visant un hôpital de Düsseldorf (Allemagne) a même provoqué la mort d’une patiente.

Dans ce contexte, la NIS1 avait exposé ses insuffisances, et notamment son incapacité à apporter une réponse collective en cas de cyberattaques de grande envergure sur le territoire européen.

Les évolutions prévisibles

Les évolutions prévisibles dans le domaine numérique devraient renforcer les tendances actuelles.

La connectivité du monde est appelée à se développer encore davantage, tant du point de vue du nombre d’utilisateurs, que de celui des appareils connectés, en raison des avancées de l’internet des objets (IoT). On s’attend ainsi à recenser 22,3 milliards d’appareils connectés d’ici 2024.

Des divergences d’interprétation entre Etats-membres

Certaines cyberattaques peuvent traverser les frontières et se propager rapidement dans d’autres pays. En conséquence, la lutte contre les cybermenaces doit reposer sur une approche transfrontière cohérente.

La NIS1 avait aussi montré ses limites dans ce domaine, en raison d’un trop grand flou qui avait conduit les États membres à leurs propres interprétations. Cela s’était traduit par des divergences, notamment en matière de catégorisation des agents économiques.

Les apports de la NIS2

Un champ d’application étendu

La NIS1 avait établi une distinction entre des “opérateurs de services essentiels” (OES) et des “fournisseurs de services numériques” (FSN). L’Agence nationale de la sécurité des systèmes d’information (ANSSI) définit les OSE de la manière suivante :

  • “Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société”.
  • Les FSN, quant à eux, sont définis comme étant des personnes morales fournissant “tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services”.

Ces derniers sont regroupés sous trois catégories :

  1. Les marchés en ligne (“qui permettent à des consommateurs ou à des professionnels de conclure des contrats de vente ou de service en ligne avec des professionnels, soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne”),
  2. Les moteurs de recherche,
  3. Les fournisseurs de services cloud.

La NIS2 a supprimé cette distinction en fusionnant ces deux concepts. Désormais, on parle d’”entités essentielles et importantes”. Dans le même temps, le champ d’application de la directive a été élargi pour englober de nouveaux secteurs :

  • Les télécommunications ;
  • Les plateformes de médias sociaux ;
  • L’administration publique ;
  • Certains prestataires de soins de santé et opérateurs de l’industrie pharmaceutique ;
  • Certaines organisations impliquées dans la chaîne alimentaire ;
  • Les gestionnaires de déchets et de l’eau ;
  • Certains opérateurs d’infrastructures terrestres et de services spatiaux de soutien.

En conséquence, toutes les organisations de taille moyenne et grande actives dans le périmètre déterminé par la NIS2 devront se conformer aux règles de sécurité prescrites par cette directive.

En revanche, les petites entreprises ou microentreprises (c’est-à-dire les entreprises de moins de 50 employés dont le chiffre d’affaires annuel ou le bilan total sont inférieurs à 10 millions d’euros) en sont exclues.

Le renforcement des mesures de gouvernance

Non seulement, les organisations incluses dans le périmètre devront mettre en œuvre des mesures techniques et organisationnelles pour répondre aux cybermenaces (formation des employés à la cybersécurité, recours au chiffrement, gestion des accès, sécurisation des chaînes d’approvisionnement, etc.), mais de plus, elles devront également impliquer leurs cadres supérieurs dans cette démarche. Ils devront s’assurer de l’efficacité des mesures déployées, les améliorer le cas échéant, et superviser leur mise en œuvre.

La directive NIS2 oblige également ces organisations à mettre en place une analyse des risques. Pour ce faire, elles devront définir des procédures pour leur prévention et leur détection, mais aussi pour réagir de manière appropriée en cas de survenance d’un incident de cybersécurité.

Des obligations alourdies en matière de divulgation des incidents de cybersécurité

La directive NIS1 avait déjà institué l’obligation de rapporter les incidents de cybersécurité susceptibles d’affecter sensiblement la capacité opérationnelle de l’organisation concernée. Mais elle définissait l’importance de cet impact par le nombre total d’utilisateurs touchés.

La directive NIS2 supprime cette précision. Désormais, un incident est jugé significatif dès qu’il génère (ou a le potentiel de générer) une grave perturbation du service, des pertes financières pour l’entité concernée ou d’autres personnes physiques ou morales.

De plus, elle réduit sensiblement le délai de notification aux autorités compétentes, le faisant passer de 72 heures à 24 heures. À la suite de cette divulgation, l’organisation concernée par l’incident disposera d’un mois pour soumettre un rapport final.

La réforme NIS2 envisage également d’imposer une communication aux bénéficiaires des services de l’organisation concernée voire, au grand public pour les incidents les plus graves.

Le durcissement des sanctions

La directive NIS1 laissait toute latitude à chaque État membre pour déterminer la nature et l’importance des sanctions prises à l’encontre des contrevenants.

La NIS2 précise que ces sanctions s’élèveront à la plus grande des 2 valeurs entre un montant fixe de 10 millions d’euros et l’équivalent d’au moins 2 % du chiffre d’affaires mondial pour les organisations fournissant des biens ou services essentiels (il serait question de ramener le montant fixe minimum à 4 millions d’euros).

La NIS2 prévoit également la possibilité pour les autorités de surveillance de mener des inspections sur place, d’effectuer des audits de sécurité, et d’imposer l’amélioration des procédures établies le cas échéant.

La directive NIS2 en France

En France, c’est l’Agence Nationale pour la Sécurité des Systèmes Informatiques (ANSSI) qui a été chargée de la transposition de la directive NIS dans le droit français en concertation avec les instances gouvernementales.

L’ANSSI accompagne les entreprises dans leur parcours d’acquisition des bonnes pratiques de cybersécurité en leur fournissant des recommandations, du conseil. Elle intervient aussi dans la formation de la réglementation et la mise en œuvre des textes de lois.

Par ailleurs, un autre organisme étatique, Cybermalveillance.gouv.fr, est plus spécifiquement chargé de la lutte contre les cybermenaces. Il est à l’origine du Label ExpertCyber, décerné à des entreprises et professionnels experts en cybersécurité et capables d’assurer des prestations d’installation, de maintenance et d’assistance en cas d’incident de cybersécurité.

Quelles sont les organisations concernées par la directive NIS2 à La Réunion ?

Nous l’avons vu, toutes les entreprises actives dans les secteurs inclus dans le champ d’action de la NIS2 comportant un effectif d’au moins 50 personnes et réalisant un chiffre d’affaires ou un total de bilan de 10 millions d’euros sont concernées par la directive NIS2.

D’un autre côté, les administrations étatiques centrales sont vouées à être catégorisées “opérateurs de services essentiels“, mais les choses sont un peu moins claires pour les collectivités territoriales. Il faudra sans doute attendre la transposition de la directive dans le droit français pour en savoir plus.

Cependant, il semble évident que les grandes villes, départements et régions, ainsi que les syndicats informatiques et autres fournisseurs de services mutualisés assurant des prestations sensibles (hébergement, archivage, services informatiques…) devraient aussi entrer dans le champ d’application de NIS2. Donc, pour simplifier, les conseils régional et départemental de La Réunion, la préfecture de La Réunion, ainsi que la ville de St Denis, devraient être concernés.

La question se pose pour les collectivités plus modestes (quid des arrondissements et des communautés d’agglomération ?), qui pourraient éprouver des difficultés à en œuvre mettre les mesures imposées. Elles devront probablement s’en remettre à des prestataires privés accrédités.

À La Réunion, Youtell est détenteur du Label ExpertCyber. Nous proposons une gamme complète de services et de solutions de cybersécurité pour vous permettre de respecter la Directive NIS2. Simplifiez-vous votre mise en conformité avec cette directive en vous offrant les services d’un prestataire péi ! Nous vous garantissons notre expertise, des prestations adaptées à vos besoins, mais surtout, le bénéfice incomparable de notre proximité et de notre approche proactive pour éviter la survenance de tout incident. Contactez-nous dès aujourd’hui pour entamer cette démarche.

Vous êtes à la recherche d'accompagnement pour votre entreprise ?