Insight

Directive NIS 2 : quels impacts pour les entreprises européennes ?

Publié le 14 mai 2024

  • Compliance & Résilience
  • Cybersécurité

Votée le 10 novembre 2022, la directive NIS 2 sur la sécurité des réseaux et des systèmes d’information marque un tournant dans la volonté de l’Union Européenne (UE) d’augmenter drastiquement le niveau de protection des entreprises européennes.

Quels changements apporte NIS 2 par rapport à NIS 1 ? Quels impacts et évolutions sont à prévoir ? Découvrez dans cet article notre décryptage !

Pourquoi une révision de la directive NIS ?

En 2020, suite à l’implémentation de la première version de la directive (adoptée en juillet 2016), la Commission Européenne a mandaté Wavestone pour réaliser une étude rétrospective de la mise en œuvre de NIS 1. Celle-ci avait pour objectif d’évaluer la pertinence, la cohérence, la valeur ajoutée et l’efficience de la directive au sein de l’UE.

Les constats issus de l’étude ont mis en avant que si la NIS a fortement augmenté le niveau de cyber résilience au sein de l’UE, elle n’a pas permis de résorber les disparités entre les cadres légaux des Etats membres sur les aspects de cybersécurité. Ces disparités de transposition de la NIS entre les Etats membres portent sur de nombreux volets : différences de secteurs d’activités soumis à la NIS, niveaux de sanctions disparates, modalités de contrôles variables d’un pays à un autre… On observe notamment un écart financier conséquent entre les pays sur le montant des pénalités en cas de non-respect des obligations : pour certains il est de 10 K€ lorsqu’il atteint pour d’autres 19 M€.

Au vu de la digitalisation croissante des économies européennes et de l’hétérogénéité des déclinaisons nationales de NIS 1, il était donc nécessaire de réviser la directive. La Commission Européenne a ainsi publié le texte de la directive NIS 2 le 27 décembre 2022 au journal officiel européen.

Un élargissement sans précédent des acteurs concernés par la NIS

Création d’une nouvelle typologie d’entités et augmentation des secteurs d’activités concernés

La nouvelle règlementation s’applique désormais à deux catégories d’entités :

  • Les Entités Essentielles (EE), déjà présentes sous le nom d’Opérateur de Services Essentiels (OSE) dans la première version de la directive ;
  • Les Entités Importantes (EI).

 

La création de cette dernière catégorie a notamment pour but de sécuriser le développement des usages numériques dans la société et concerne par exemple le secteur de la fabrication d’équipements informatiques. Les EI sont considérées comme moins critiques que les EE : les obligations qui leur seront imposées par les transpositions nationales seront donc moins contraignantes.

Pour les EE, le législateur élargit la liste des secteurs d’activités et y rajoute l’espace, l’administration publique, les eaux usées, et la gestion des TIC (Technologies de l’Information et de la Communication). Par ailleurs, le secteur de l’énergie se voit complété par les sous-secteurs de l’hydrogène et des réseaux de chaleur et de froid.

Les Etats membres peuvent également choisir d’ajouter des secteurs et sous-secteurs d’activités dans leurs déclinaisons nationales futures. Nombre d’entre eux l’ont déjà fait dans leur transposition de NIS 1.

Suppression du mécanisme de désignation nominative des OSE par les autorités nationales

Dans la directive NIS 1, les Etats membres étaient responsables de nommer individuellement au sein de leur périmètre national les opérateurs soumis à la directive. NIS 2 vient supprimer ce mécanisme de désignation et augmenter la résilience de l’ensemble des acteurs d’un même secteur d’activité.

Avec la directive NIS 2, une entité est qualifiée essentielle ou importante sur la base de deux critères :

  • La taille de l’entité (nombre d’employés, chiffre d’affaires, bilan annuel) ;
  • La criticité du secteur d’activité : à quel type d’entités réfèrent les activités réalisées par l’entité ?
Taille de l’entité Nombre d’employés Chiffre d’affaires (M€) Bilan annuel (M€) Secteurs hautement critiques Autres secteurs critiques

Intermédiaire et grande

x ≥ 250

y ≥ 50

z ≥ 43

Entités essentielles

Entités importantes

Moyenne

50 ≥ x > 250

10 ≥ y > 50

10 ≥ z > 43

Entités importantes

Entités importantes

Micro et petite

x < 50

y < 10

z < 10

Non concernées

Non concernées

Ainsi, tous les opérateurs de moyenne ou grande taille appartenant à un secteur listé par la directive devront désormais se conformer à la NIS. Seules les plus petites organisations sont exemptées de cette obligation.

Toutefois, des exceptions sont prévues : NIS 2 autorise les États membres à inclure et exclure, si nécessaire, des acteurs indépendamment de ces deux critères (situation de monopole, service essentiel transfrontalier, service particulièrement critique pour l’Etat membre…).

De nouvelles obligations pour les entités européennes  

Les règles de cybersécurité à implémenter sur les activités et les systèmes d’information (SI) des entités concernées par NIS 2 seront (comme pour NIS 1) détaillées dans les transpositions nationales.

Cependant, NIS 2 impose d’ores et déjà dans son texte européen l’obligation d’adopter une approche par les risques.

Elle exige aussi des entités qu’elles adoptent des mesures sur les thématiques de cybersécurité suivantes :

  • Les politiques de SSI (y compris l’analyse des risques) ;
  • La gestion des incidents ;
  • La continuité des activités et la gestion des crises ;
  • La sécurité de la chaîne d’approvisionnement (gestion des tiers) ;
  • La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, le traitement des vulnérabilités ;
  • Des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité (audit) ;
  • Les pratiques de base en matière de cyber hygiène et la formation à la cybersécurité ;
  • Les politiques et procédures liées à la cryptographie (chiffrement) ;
  • La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
  • Sécurité des communications (authentification forte ou continue).

Certaines de ces mesures se retrouvent déjà dans certaines transpositions nationales de la première version de la directive.

Un durcissement des sanctions

Dans la première version de la NIS, les pays européens étaient complètement autonomes au regard de l’établissement des sanctions. NIS 2 va plus loin et impose un régime de sanctions commun à l’ensemble des membres de l’UE. La création de ce régime commun vient lisser les disparités significatives des niveaux de sanctions définis par les pays européens lors de NIS 1.

A noter : les personnes physiques en charge de faire appliquer la directive dans les entités seront tenues comme responsables en cas de non-respect des obligations de la directive.

Et maintenant ?

Chaque État a jusqu’à octobre 2024 au plus tard pour transposer la directive NIS 2 dans sa règlementation nationale.

Pour rappel, NIS 1 a été adoptée en juillet 2016 et est entrée en vigueur en août 2016. Suite à cela :

  • La France avait publié sa loi nationale le 26 février 2018;
  • La Belgique le 7 avril 2019;
  • Le Luxembourg le 28 mai 2019.

On peut imaginer que certains Etats auront tendance à accélérer le mouvement, car les déclinaisons nationales de NIS 2 s’appuieront sur les déclinaisons nationales de NIS 1 déjà existantes.

Wavestone vous accompagne dans votre préparation à NIS2

Wavestone adopte son accompagnement aux ambitions de mise en conformité de chaque organisation.

Une organisation identifiée entité essentielle par NIS2, déjà soumise à NIS 1 ou à la Loi de Programmation Militaire (LPM) et ayant établi un bilan d’écart à NIS 1 peut vouloir anticiper sa mise en conformité des aujourd’hui.

Wavestone propose alors de l’accompagner pour la réalisation d’un bilan de conformité et d’une feuille de route ainsi que la mise en place d’un programme de conformité à NIS 2.

Une organisation indentifiée entitée importante ou n’ayant jamais été concernée par NIS 1 ou la LPM peut souhaiter retarder sa mise en conformité et attendre l’arrivée de la transposition dans le droit national.

Wavestone propose alors son accompagnement sur des sujets de veille réglementaire, d’étude d’éligibilité, de détourage des périmètres concernés (entités, activités métiers, SI), de décryptage et sensibilisation à NIS 2 ainsi que la budgétisation d’un cadrage NIS 2 pour 2024.

Auteur

  • Ouala Barhoumi

    Manager – France, Paris

    Wavestone

    LinkedIn