Qu’est-ce que la directive NIS2 ?

La directive NIS2 est la directive actualisée de l’Union européenne en matière de cybersécurité qui vise à améliorer la législation globale de la cybersécurité dans l’UE.

La directive NIS2 s’appuie sur la directive NIS précédente de 2016 en élargissant son champ d’application, en introduisant des exigences plus strictes et en renforçant les mesures d’exécution.

Bien que la directive NIS2 soit axée sur l’UE, elle s’applique également aux entreprises qui ne sont pas basées dans l’UE et qui fournissent des services essentiels à l’économie européenne.

Ainsi, toutes les organisations concernées par le marché de l’UE doivent comprendre les exigences de la directive NIS2 en matière de conformité.

Il est possible de consulter le PDF de la directive NIS2 via ce lien (en anglais), ou vous référer à notre article pour avoir un résumé des exigences de la directive NIS2.

La formation à la cybersécurité commence ici

Démarrer l’évaluation gratuite

Votre évaluation gratuite fonctionne comme suit :

  • Prenez rendez-vous avec nos experts en cybersécurité afin qu’ils évaluent votre environnement et déterminent votre exposition aux menaces.
  • Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
  • Découvrez nos technologies en action !
  • Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.

Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.

Un représentant de Proofpoint vous contactera sous peu.

Qu’est-ce que la directive NIS2 ? Définition

La directive NIS2 est un ensemble de réglementations et d’exigences en matière de cybersécurité applicables à un large éventail d’organisations et d’entités dans l’Union européenne, y compris les opérateurs de services essentiels, les fournisseurs de services numériques, les fournisseurs de technologies critiques et les entités de l’administration publique.

Les principaux objectifs de la directive NIS2 sont les suivants :

  • Établir un ensemble standard d’exigences en matière de cybersécurité dans tous les États membres de l’UE.
  • Élargir le champ d’application de la directive pour couvrir davantage de secteurs et d’entités.
  • Introduire des obligations de déclaration d’incidents et des mesures d’application plus strictes.
  • Promouvoir une meilleure collaboration et un meilleur partage de l’information entre les États membres.
  • Garantir un niveau élevé de résilience en matière de cybersécurité en tant que norme dans l’ensemble de l’UE.

La directive NIS2 remplace la précédente directive NIS et vise à remédier aux lacunes et à la fragmentation observées dans sa mise en œuvre au sein de l’UE.

Elle introduit une approche plus globale et harmonisée de la cybersécurité afin de protéger les infrastructures critiques, les services numériques et les citoyens de l’UE contre la menace croissante des cyberincidents et des cyberattaques.

Directive NIS2 : qui est concerné ?

La directive NIS2 concerne une large gamme d’organisations, incluant les secteurs de l’énergie, des transports, de la santé, des banques, de l’eau potable, des services numériques, des administrations publiques et d’autres secteurs clés.

Les entreprises et organisations considérées comme opérateurs de services essentiels ou fournisseurs de services numériques sont particulièrement visées.

La directive NIS2 établit deux catégories principales d’entités soumises à ses exigences en matière de cybersécurité : les entités “essentielles” et les entités “importantes”.

Les entités essentielles de la directive NIS2

Les entités essentielles sont des organisations jugées essentielles au fonctionnement de l’économie et de la société européennes. Cette catégorie comprend :

  • Opérateurs dans les secteurs de l’énergie, des transports, de la banque, de l’infrastructure des marchés financiers, de la santé, de l’eau potable, des eaux usées et de l’infrastructure numérique.
  • Fournisseurs de réseaux et de services de communications électroniques publics.
  • Prestataires de services fiduciaires qualifiés et TLD (domaine de premier niveau).
  • Les entités de l’administration publique au niveau du gouvernement central.
  • Entités désignées comme “entités critiques” en vertu de la directive européenne sur la résilience des entités critiques (CER).

Les entités essentielles sont soumises à des exigences de surveillance plus strictes et à des amendes potentielles plus élevées en cas de non-respect que les entités “importantes”.

Les entités importantes de la directive NIS2

Bien qu’elles ne soient pas aussi critiques que les entités essentielles, les entités importantes sont des organisations qui jouent encore un rôle important dans l’économie et la société européennes.

Cette catégorie comprend :

  • Prestataires de services postaux et de messagerie
  • Entités de gestion des déchets
  • Fabricants de produits chimiques, de produits alimentaires, d’appareils médicaux, d’équipements électriques et d’autres produits
  • Les fournisseurs de services numériques tels que les places de marché en ligne, les moteurs de recherche et les plateformes de réseaux sociaux
  • Organismes de recherche (à l’exclusion des établissements d’enseignement)

Les entités importantes sont soumises à une approche de surveillance ex-post plus souple, dans le cadre de laquelle les autorités peuvent prendre des mesures si elles reçoivent des preuves de non-conformité.

La distinction entre les entités essentielles et les entités importantes repose sur des facteurs tels que la taille de l’entité, son secteur et l’impact potentiel d’une perturbation. Les grandes organisations des secteurs à haut risque sont plus susceptibles d’être classées comme essentielles, tandis que les entités plus petites ou moins critiques sont considérées comme importantes.

Notamment, la directive NIS2 peut également s’appliquer à des entités non européennes qui fournissent des services essentiels ou importants au marché européen, même si elles ne sont pas physiquement situées dans l’UE.

Quel est l’objectif de la directive européenne NIS2 ?

L’objectif principal de la directive NIS2 est d’établir un niveau normalisé de résilience en matière de cybersécurité dans l’ensemble de l’UE.

Les principaux objectifs de la directive NIS2 sont les suivants :

  • Renforcer le dispositif de cybersécurité des fournisseurs de services essentiels : La directive vise à renforcer les capacités de cybersécurité et la préparation à la réponse aux incidents des organisations qui fournissent des services essentiels à l’UE.
  • Rationaliser la cyber-résilience grâce à des exigences et à une application plus strictes : Le NIS2 introduit des exigences de sécurité plus détaillées et harmonisées pour les entités du champ d’application, ainsi que des mesures d’application plus strictes et des sanctions en cas de non-conformité.
  • Améliorer l’état de préparation général de l’UE face aux cyberattaques : En imposant des pratiques de sécurité communes, le signalement des incidents et le partage des informations, la directive vise à renforcer la capacité collective de l’UE à prévenir et à détecter les cybermenaces majeures et à y répondre.
  • Remédier aux lacunes de la précédente directive NIS : La directive NIS2 vise à remédier à la fragmentation et aux incohérences observées lors de la mise en œuvre de la directive NIS initiale dans les États membres.

L’objectif principal de la directive NIS2 est d’améliorer la résilience de base en matière de cybersécurité dans l’UE, de protéger les infrastructures et les services essentiels et de permettre une réponse plus coordonnée et plus efficace aux cyberincidents susceptibles de perturber l’économie et la société européennes.

Exigences de la norme européenne NIS2

La directive NIS2 introduit un ensemble complet d’exigences et d’obligations en matière de cybersécurité auxquelles les organisations du champ d’application doivent se conformer avant la date limite du 17 octobre 2024.

Évaluation et gestion des risques

Les organisations doivent procéder à des évaluations régulières des risques liés à leur réseau et à leurs systèmes d’information et mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour gérer ces risques.

Il s’agit notamment de :

  • Politiques et procédures pour l’analyse des risques et la sécurité des systèmes d’information
  • Procédures de traitement et de divulgation des vulnérabilités
  • Utilisation efficace de la cryptographie et du chiffrement

Réponse aux incidents et rapports

Le NIS2 impose des exigences strictes en matière de signalement des incidents. Les organisations doivent mettre en place de solides procédures de traitement des incidents et de gestion des crises :

  • Détection, analyse et classification des incidents
  • Notification aux autorités compétentes dans les délais impartis
  • Coordination des mesures de réponse et de récupération

Continuité des activités

Les entités doivent élaborer et tenir à jour des plans de continuité des activités et de reprise après sinistre afin de garantir la continuité des services essentiels en cas d’incident perturbateur.

Il s’agit notamment de :

  • Gestion des sauvegardes et procédures de restauration
  • Protocoles de gestion et de communication de crise

Sécurité de la chaîne d’approvisionnement

Les organisations sont responsables de la gestion des risques de cybersécurité dans leurs chaînes d’approvisionnement. Elles doivent mettre en œuvre des mesures de sécurité appropriées pour les relations avec les fournisseurs directs et les prestataires de services.

Gouvernance et responsabilité

La NIS2 met davantage l’accent sur le rôle de la direction dans la supervision de la cybersécurité. La direction doit être activement impliquée pour :

  • Approuver les politiques de sécurité et les stratégies de gestion des risques
  • Garantir l’efficacité des mesures de cybersécurité
  • Former et sensibiliser le personnel à la cybersécurité

Conformité et application

Le non-respect des exigences du NIS2 peut entraîner des sanctions importantes, notamment des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les “entités essentielles” et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités “importantes”.

Les autorités ont également le pouvoir d’imposer d’autres sanctions, telles que des suspensions temporaires de service.

Pour se mettre en conformité avec le NIS2, les organisations doivent prendre les mesures suivantes :

  • Déterminer si elles sont classées comme entités “essentielles” ou “importantes” en vertu de la directive.
  • Effectuer une analyse complète des lacunes afin d’identifier les domaines nécessitant une amélioration.
  • Élaborer et mettre en œuvre les politiques, processus et contrôles de sécurité nécessaires.
  • Assurer une gouvernance efficace, la responsabilisation et la sensibilisation à la cybersécurité.
  • Mettre en place des capacités solides de réponse aux incidents et de continuité des activités.
  • Évaluer et gérer les risques liés à la sécurité de la chaîne d’approvisionnement.
  • Se préparer à d’éventuels audits, inspections et mesures d’exécution de la part des autorités.

Pour plus de détails sur les exigences du NIS2, visitez le site officiel de la directive NIS2.

Différence entre les directives NIS et NIS2

La directive NIS2 représente une évolution significative par rapport à la directive NIS originale, introduite en 2016.

Voici les principales différences entre les deux :

  • Champ d’application élargi : Le NIS1 ne s’appliquait qu’aux “opérateurs de services essentiels” (OES) et aux “fournisseurs de services numériques” (DSP) dans des secteurs spécifiques. Le NIS2 élargit le champ d’application pour couvrir un éventail beaucoup plus large d’entités “essentielles” et “importantes” dans 15 secteurs différents, notamment l’énergie, les transports, la banque, les soins de santé, l’infrastructure numérique, etc.
  • Des exigences plus strictes : Le NIS2 introduit des exigences de sécurité plus détaillées et harmonisées que les entités du champ d’application doivent mettre en œuvre, telles que l’évaluation des risques, les plans de réponse aux incidents et les mesures de sécurité de la chaîne d’approvisionnement. La directive impose également des obligations plus strictes en matière de signalement des incidents, avec des délais plus courts pour la notification aux autorités.
  • Une application plus stricte : Le NIS2 permet aux autorités nationales d’imposer des sanctions beaucoup plus sévères en cas de non-respect des règles, notamment des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Les autorités ont également le pouvoir d’émettre des instructions contraignantes et des suspensions temporaires de services.
  • Amélioration de la collaboration : Le NIS2 vise à renforcer la coopération transfrontalière et le partage d’informations entre les États membres en créant un nouveau groupe de coopération. Ce groupe est destiné à renforcer la préparation et la réponse collectives de l’UE aux cybermenaces majeures.

Les différences fondamentales font que la norme NIS2 a un champ d’application beaucoup plus large, des exigences de sécurité plus strictes, des mécanismes d’application plus forts et une plus grande importance accordée à la collaboration transfrontalière, tout cela pour élever le niveau de base de la résilience en matière de cybersécurité dans l’ensemble de l’UE.

Mesures de cybersécurité requises par la directive NIS2

La directive NIS2 décrit les mesures de cybersécurité obligatoires que les organisations du champ d’application doivent mettre en œuvre en vertu de l’article 21.

Ces exigences en matière de cybersécurité sont les suivantes :

  • Analyse des risques et politiques de sécurité de l’information : Les organisations doivent établir des politiques et des procédures pour effectuer des évaluations régulières des risques, identifier les vulnérabilités et mettre en œuvre des contrôles de sécurité appropriés pour gérer les risques identifiés.
  • Réponse et signalement des incidents : Les entités doivent disposer de solides capacités de détection, d’analyse et de réaction aux incidents, y compris de rôles et de responsabilités définis, ainsi que de processus permettant de signaler rapidement les incidents aux autorités compétentes.
  • Contrôle d’accès et authentification : Des mesures appropriées de contrôle d’accès, telles que l’authentification multifactorielle, doivent être mises en œuvre pour empêcher tout accès non autorisé aux systèmes et aux données.
  • Protection des données et chiffrement : Les organisations doivent garantir la confidentialité, l’intégrité et la disponibilité des données en exploitant le chiffrement et d’autres techniques de protection des données.
  • Gestion des vulnérabilités : Les entités doivent mettre en place des processus de traitement et de divulgation des vulnérabilités, y compris des évaluations régulières des vulnérabilités et la mise en place en temps utile de correctifs pour les vulnérabilités connues.
  • Sauvegarde et continuité des activités : De solides capacités de gestion des sauvegardes et de reprise après sinistre doivent être mises en place pour assurer la continuité des services essentiels en cas d’incident perturbateur.
  • Sécurité de la chaîne d’approvisionnement : Les organisations sont responsables de la gestion des risques de cybersécurité dans l’ensemble de leur chaîne d’approvisionnement et doivent mettre en œuvre des mesures de sécurité appropriées pour les relations avec les fournisseurs directs et les prestataires de services.
  • Surveillance de la sécurité et journalisation : Des mécanismes complets de surveillance de la sécurité et de journalisation doivent être mis en place pour détecter, analyser et réagir aux événements de sécurité.
  • Sensibilisation et formation à la cybersécurité : Les entités doivent proposer à leur personnel des programmes réguliers de sensibilisation à la sécurité afin de s’assurer qu’il est en mesure d’identifier les cybermenaces et d’y répondre.
  • Gouvernance et responsabilité : La direction de l’organisation doit superviser et approuver activement les mesures de cybersécurité, les stratégies de gestion des risques et les plans de réponse aux incidents de l’entité.

Ces mesures représentent les exigences de base en matière de cybersécurité que les organisations du champ de l’enquête doivent mettre en œuvre pour se conformer à la directive NIS2.

Norme NIS2 : Sanctions et conséquences en cas de non-conformité

La directive NIS2 établit un cadre d’application solide prévoyant des sanctions importantes pour les organisations qui ne se conforment pas à ses exigences.

La directive habilite les autorités nationales à imposer des sanctions financières et non financières aux entités essentielles et importantes qui enfreignent les règles de cybersécurité.

Sanctions financières

La directive NIS2 établit des lignes directrices claires concernant les sanctions financières maximales qui peuvent être imposées :

  • Pour les entités essentielles, l’amende maximale est de 10 millions d’euros ou de 2 % du chiffre d’affaires annuel mondial de l’organisation, le montant le plus élevé étant retenu.
  • Pour les entités importantes, l’amende maximale est de 7 millions d’euros ou de 1,4 % du chiffre d’affaires annuel mondial de l’organisation, le montant le plus élevé étant retenu.

Ces amendes sont conçues pour être suffisamment sévères pour avoir un effet dissuasif et inciter les organisations à prendre les mesures nécessaires pour assurer la conformité.

Sanctions non financières

Outre les sanctions financières, les autorités nationales peuvent également imposer une série de sanctions non pécuniaires aux entités qui ne respectent pas les règles :

  • Ordonnances de mise en conformité obligeant l’organisation à remédier à la violation
  • Instructions contraignantes sur les mesures de sécurité spécifiques qui doivent être mises en œuvre
  • Audits de sécurité obligatoires
  • Ordres d’informer les clients de l’organisation des risques potentiels
  • Interdiction temporaire de fournir des services ou d’exercer des activités

Responsabilité personnelle des dirigeants

La directive NIS2 introduit également de nouvelles mesures visant à tenir les cadres supérieurs personnellement responsables des défaillances en matière de cybersécurité.

Si une négligence grave est constatée à la suite d’un incident cybernétique, les autorités peuvent :

  • Exiger de l’organisation qu’elle rende publique la violation de la conformité
  • Publier des déclarations publiques identifiant les personnes responsables
  • Pour les entités essentielles, interdire temporairement à certains cadres d’occuper des postes de direction.

Ces dispositions visent à faire en sorte que la cybersécurité soit traitée comme une priorité absolue au plus haut niveau de l’organisation, et non comme une simple préoccupation du département informatique.

La sévérité des sanctions prévues par la directive NIS2 souligne l’engagement de l’Union européenne à renforcer les normes de cybersécurité et la résilience dans la région.

Les organisations qui ne prennent pas les mesures nécessaires pour se conformer aux exigences de la directive risquent de subir d’importants préjudices financiers et de réputation.

Comment se préparer à la conformité NIS2

Nous avons dressé la liste des étapes essentielles que les organisations doivent suivre pour se préparer à la mise en conformité avec la directive NIS2 :

1. Évaluer votre position actuelle en matière de cybersécurité

Commencez par procéder à une évaluation approfondie de vos systèmes informatiques, de vos contrôles de sécurité et de vos pratiques en matière de cybersécurité. Identifiez les lacunes ou les faiblesses par rapport aux exigences du NIS2.

2. Informer et impliquer les dirigeants

S’assurer que l’équipe de direction de votre organisation comprend parfaitement les implications et les exigences de la directive NIS2. Présenter une analyse de rentabilité claire soulignant les risques de non-conformité et les avantages de mesures proactives de cybersécurité.

3. Allouer un budget et des ressources suffisants

Collaborer avec la direction pour obtenir le budget et les ressources nécessaires à la mise en œuvre des contrôles et processus de sécurité requis. Cela peut impliquer des investissements dans les nouvelles technologies, le personnel, la formation et la maintenance continue.

4. Élaborer une feuille de route et un plan de mise en œuvre

Sur la base de votre évaluation des lacunes, créez une feuille de route détaillée et un plan de mise en œuvre pour répondre aux exigences du NIS2. Donnez la priorité aux domaines les plus critiques et les plus chronophages pour vous assurer de respecter l’échéance d’octobre 2024.

5. Améliorer les politiques et les procédures de sécurité

Examinez et mettez à jour les politiques de sécurité de votre organisation, les plans de réponse aux incidents et les autres procédures pertinentes afin de les aligner sur les mandats de la directive NIS2. Cela inclut des mesures de gestion des risques, de contrôle d’accès, de protection des données et de sécurité de la chaîne d’approvisionnement.

6. Mettre en œuvre des contrôles de sécurité techniques

Déployer les contrôles de sécurité techniques nécessaires, tels que l’authentification multifactorielle, le chiffrement, la gestion des vulnérabilités et les capacités de surveillance et de journalisation de la sécurité.

7. Fournir une formation à la cybersécurité

Veiller à ce que tous les employés reçoivent régulièrement une formation de sensibilisation à la cybersécurité pour les aider à identifier les menaces potentielles et à y répondre. Il s’agit d’une exigence essentielle de la directive NIS2.

8. Évaluer et gérer les risques liés à la chaîne d’approvisionnement

Évaluez le niveau de cybersécurité des fournisseurs et prestataires de services de votre organisation et mettez en œuvre des mesures de sécurité appropriées pour atténuer les risques tout au long de la chaîne d’approvisionnement.

9. Se préparer aux rapports d’incidents et aux audits

Mettre en place des procédures solides de détection, d’analyse et de notification des incidents afin de répondre aux exigences strictes de la directive NIS2 en matière de notification. Préparez-vous également à d’éventuels audits et inspections par les autorités réglementaires.

En s’attaquant de manière proactive à ces domaines clés, les organisations peuvent se placer dans la meilleure position pour atteindre la conformité NIS2 et améliorer leur résilience globale en matière de cybersécurité avant que la directive n’entre en vigueur.

Comment Proofpoint peut aider à être conforme à la directive NIS2

Proofpoint offre une gamme de solutions de cybersécurité qui peuvent aider les organisations à répondre aux exigences de conformité de la directive NIS2 :

  • Détection des menaces et évaluation des risques : Proofpoint Targeted Attack Protection (TAP) offre des capacités avancées de détection des menaces et d’évaluation des risques, ce qui permet aux entreprises d’avoir une visibilité approfondie sur les menaces qui pénètrent dans leur environnement. Cela permet de répondre à l’exigence NIS2 de réception et d’analyse des informations sur les menaces et les vulnérabilités.
  • Sécurité de la messagerie et réponse aux incidents : Proofpoint Email Protection identifie et bloque les fraudes et les malwares basés sur le courrier électronique, empêchant ainsi ces menaces d’atteindre les utilisateurs finaux. Ceci est conforme aux exigences de la directive NIS2 en matière de réponse aux incidents et d’atténuation des effets. Le chiffrement des emails de Proofpoint permet également une communication sécurisée pour le signalement des incidents.
  • Renseignements sur les menaces et sensibilisation : Le service de renseignement sur les menaces de Proofpoint offre des rapports détaillés sur les menaces et l’accès à des experts en sécurité. La simulation de phishing et la formation de sensibilisation à la sécurité de Proofpoint permettent aux employés de reconnaître les cybermenaces et d’y répondre, comme l’exige la NIS2.
  • Protection des données et conformité : Les solutions Proofpoint Email Data Loss Prevention (DLP) et Data Discover peuvent aider les organisations à protéger les données sensibles et à assurer la conformité avec les réglementations sur la protection des données telles que le GDPR, qui sont étroitement liées à la directive NIS2.

En s’appuyant sur les solutions complètes de cybersécurité et de conformité de Proofpoint, les organisations peuvent mettre en œuvre plus efficacement les mesures techniques et organisationnelles requises par la directive NIS2 et améliorer leur cyber-résilience globale. Pour plus d’informations, contactez Proofpoint.

Prêt à essayer Proofpoint ?

Commencez par un essai gratuit de Proofpoint.