| gouvernance,risques et conformité
Comprendre l’évolution de la directive NIS1 à NIS2
La sécurité informatique est un enjeu crucial dans le monde numérique actuel. La Directive sur la Sécurité des Réseaux et des Systèmes d’Information (NIS), introduite par l’Union Européenne constitue un cadre législatif pour assurer la cybersécurité et la résilience d’une très grande variété d’organisations. La récente mise à jour de cette directive, de NIS1 à NIS2, marque une étape importante dans l’évolution de la cybersécurité en Europe.
Contexte et objectifs de la directive NIS1
La directive NIS1, mise en œuvre en 2016, a été la première tentative de l’UE pour établir un niveau élevé de sécurité pour les réseaux et les SI. L’objectif principal était de renforcer la résilience nationale et de promouvoir une culture de la cybersécurité dans les organisations. Les défis et les menaces étant de plus en plus nombreux et sophistiqués, cette première directive était une première réponse à ces enjeux, visant à protéger les infrastructures critiques de l’UE et à assurer une meilleure coopération entre les Etats membres en termes de sécurité informatique.
NIS1 ne s’appliquait principalement qu’aux OSE (Opérateurs de Services Essentiels) dans des secteurs clés comme l’énergie, les transports, la santé et la finance, ainsi qu’aux DSPs (Fournisseurs de Services Numériques), exigeant d’eux qu’ils prennent des mesures techniques et organisationnelles appropriées pour gérer les risques de sécurité informatique.
En raison de l’évolution constante des menaces et des technologies, la transition de la Directive NIS1 à la Directive NIS2 pourrait être interprétée comme une réponse à la nécessité d’adapter et de renforcer davantage les mécanismes de protection existants pour faire face à des défis toujours plus sophistiqués dans le domaine de la cybersécurité.
Les limites de NIS1 et le besoin de changement
La directive NIS1 est un premier pas en avant significatif, mais elle présente certaines limites. L’une des principales : son champ d’application restreint, ne couvrant pas tous les secteurs critiques. De plus, avec l’évolution rapide et perpétuelle des cybermenaces et des technologies, NIS1 n’était plus suffisamment robuste pour répondre aux défis actuels. La nécessité d’une nouvelle approche, holistique et plus adaptée était ressentie.
Cette évolution vers une nouvelle directive témoigne de la volonté de s’adapter à un paysage numérique en constante évolution, garantissant une sécurité informatique plus efficace et étendue à l’ensemble des secteurs stratégiques.
Quelles nouveautés avec NIS2 ?
La directive NIS2, votée en décembre 2022, vise à combler les lacunes identifiées de sa prédécesseure NIS1. Le changement majeur est l’élargissement de la portée et de l’application de la directive. Désormais, un plus grand nombre de secteurs et d’entités critiques devront se conformer à NIS2. La fabrication, l’industrie chimique et alimentaire, la télécommunication ou encore les administrations publiques sont les nouveaux concernés. D’autres domaines sont aussi impactés, puisque de 19 secteurs avec NIS1, on passe à 35 avec NIS2.
Celle-ci entend renforcer la gestion de crises cyber à travers l’UE, à augmenter le niveau d’harmonisation des exigences de sécurité et des obligations de rapport et de signalement. Enfin, elle vise à encourager les Etats à intégrer de nouveaux domaines d’intérêts tels que la gestion des vulnérabilités et la cyberhygiène dans leurs stratégies nationales de cybersécurité.
La nouvelle directive européenne insiste également sur la nécessité pour les entreprises concernées de mettre en place des mesures de sécurité dans leur chaîne d’approvisionnement et de communiquer clairement sur leur gestion des incidents. Les organisations doivent se conformer à des normes de sécurité plus strictes, impliquant souvent une réévaluation et une mise à jour de leurs stratégies et infrastructures de cybersécurité. Cela inclut une meilleure gestion des risques, l’amélioration et la fluidification des procédures de notification et de signalement des incidents ou des menaces, ainsi qu’une coopération accrue avec les autorités nationales.
La directive NIS2 assigne aussi de nouvelles tâches importantes à l’ENISA (Agence de l’Union Européenne pour la cybersécurité). Parmi elles, il y a, par exemple, le développement et la maintenance d’un registre européen des vulnérabilités et le soutien à l’organisation des examens entre les pays.
L’objectif principal de NIS2 est de remédier aux lacunes identifiées dans NIS1 en renforçant la gestion des crises cyber à l’échelle de l’UE.
Pourquoi se conformer ?
NIS2 peut représenter un défi ou un obstacle, mais elle offre également une opportunité pour les entreprises de renforcer leur sécurité et leur résilience. En ce sens, ce renforcement est crucial pour les entreprises pour faire face aux cyberattaques qui sont de plus en plus sophistiquées.
La directive introduit la notion de responsabilité de la direction pour la gestion des risques cyber. Les cadres supérieurs et les dirigeants d’entreprise doivent donc s’impliquer dans la stratégie de sécurité. Cela requiert une augmentation potentielle du budget alloué à la cybersécurité et de la portée de l’action. Enfin, NIS2 introduit de nouveaux dispositifs de détection et de réponses à incidents, de gestion de crise et de sensibilisation à la sécurité de l’information.
La directive NIS2 offre ainsi aux entreprises les outils nécessaires pour renforcer leur posture face aux menaces cyber actuelles et futures.
Quels sont les risques en cas de non-conformité ?
Les organisations qui ne se conforment pas à NIS2 s’exposent à des avertissements, des rappels voire des amendes, pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel. A noter que cette directive distingue deux catégories d’entités, qui ont chacune leur propre modèle de contravention. D’un côté, les « entités essentielles » (EE), et de l’autre, les « entités importantes » (EI). Les EE sont soumises à une régulation préventive et à des contrôles aléatoires, et les EI ne sont contrôlées qu’en cas de non-conformité avérée.
La réponse des États membres et des organisations
La nouvelle directive NIS2 a été en grande partie bien reçue, avec une reconnaissance de la nécessité d’agir en adoptant une approche plus forte en matière de cybersécurité et plus cohérente avec les enjeux actuels. Les Etats membres travaillent depuis l’adoption de NIS2 en décembre 2022, à transposer la directive dans leur législation nationale, tandis que les organisations s’efforcent de s’aligner sur les nouvelles exigences.
Les 27 pays membres de l’UE pourront également travailler de concert et s’entraider pour ce qui est de la cybersécurité. En effet, NIS 2 met l’accent sur la coopération, notamment au travers du réseau CyCLONe (Cyber Crisis Organisation Network), un réseau de coopération cyber entre les Etats. Celui-ci poursuit deux objectifs. Le premier : permettre la consultation des stratégies nationales de réponse aux incidents, et le second : offrir une analyse d’impact coordonnée sur les conséquences d’une importante crise nationale ou transfrontalière.
Le trio CRA, DORA et NIS2
L’Europe prend de plus en plus d’initiatives en termes de réglementations cyber ; le RGPD et NIS1 en 2016, la CRA en 2022, NIS2 en 2023-2024 ou encore DORA, prévue pour 2025. Chacune de ces réglementations est une couche de protection supplémentaire, qui couvre à chaque fois de nouveaux domaines. Elles ont toutes leurs propres objectifs.
Le RGPD visait à sécuriser et à instaurer un cadre réglementaire autour des données personnelles et de leur utilisation. Les deux directives NIS souhaitent améliorer la sécurité des réseaux et des SI de plusieurs secteurs et pour une grande variété d’entreprises. La CRA est conçue pour renforcer la sécurité des produits numériques sur le marché de l’UE et la DORA, quant à elle, cible principalement la résilience du secteur financier.
Ensemble, toutes ces réglementations permettent une approche complète et multicouche de la cybersécurité à l’échelle européenne.
Cela reflète également une reconnaissance claire de la nécessité de protéger et sécuriser les données, les infrastructures et les transactions numériques dans un environnement numérique en constante évolution.
Que font les autres continents ?
L’autre objectif de l’UE est de s’aligner sur les exigences de sécurité déployées par les Etats-Unis ou la Chine par exemple. En effet, l’Asie ou l’Amérique ont déjà mis en application des réglementations cyber fortes.
Aux Etats-Unis, la GLBA (Gramm-Leach-Bliley Act), publiée en 1999, s’applique aux institutions financières et régit la protection des informations bancaires des consommateurs, au même titre que DORA, prévue pour 2025. La FISMA (Federal Information Security Management Act), publiée en 2002, régit la protection des données personnelles, ou encore le CISPA (Cyber Intelligence Sharing And Protection Act) de 2011, prévoit le partage d’informations sur les cybermenaces potentielles avec le gouvernement fédéral.
La région Asie-Pacifique a connu une augmentation importante de la législation en matière de cybersécurité ces dernières années, et en particulier la Chine, le Japon et la Corée du Sud. La Chine, par exemple, a publié en 2016 une loi sur la cybersécurité dans laquelle elle abordait la sécurité des opérations réseau, la sécurité des informations en réseau et la responsabilité légale en cas de cyberattaque. En 2021 elle a également mis en place une nouvelle loi pour que toutes les entreprises technologiques implantées sur le territoire signalent les vulnérabilités de leurs SI aux autorités chinoises. En 2021 toujours, la Chine a déployé le PIPL, l’équivalent du RGPD européen.
Le passage de NIS1 à NIS2 représente une évolution significative dans l’approche de l’Union européenne en matière de cybersécurité. En répondant aux défis et aux lacunes de NIS1, NIS2 offre un cadre plus robuste et global pour protéger les infrastructures critiques contre les cybermenaces et améliorer leur résilience.
L’évolution de NIS1 à NIS2 marque une étape cruciale dans la construction d’une cybersécurité robuste en Europe, répondant aux enjeux dynamiques et complexes du monde numérique contemporain. Ce mouvement vers NIS2 représente une évolution significative, offrant un cadre plus robuste pour la protection des infrastructures critiques contre les cybermenaces et démontrant l’engagement continu de l’UE envers la cybersécurité et souligne la reconnaissance de la nécessité d’une action forte en matière de cybersécurité.
Équipe GRC.