Directive NIS2 : Ce que vous devez savoir en 2024
Si la réglementation informatique de 2024 devait se résumer en 3 lettres et un chiffre, ce serait NIS2. Le 17 octobre marque une étape importante pour la mise en œuvre de cette ambitieuse directive sur la sécurité des systèmes d’information. Cet article détaille les principaux enjeux et clarifie que tout ne doit pas nécessairement être prêt pour le 17 octobre.
Qu'est-ce que la directive NIS et NIS2 ?
Adoptée en 2016 et applicable depuis 2018, la Directive NIS (Network and Information System Security) visait à mobiliser les États membres de l’Union européenne autour des risques de cybersécurité et à garantir que les infrastructures critiques (électricité, eau, gaz, transports, banques, etc.) soient préparées et résilientes face aux incidents cyber.
Avec la croissance des attaques et les crises post-Covid, le législateur a révisé cette directive pour créer NIS2, qui élargit son champ d’application à d’autres secteurs stratégiques. L’objectif est de renforcer la sécurité des réseaux et systèmes d’information et de mettre en place des sanctions dissuasives pour les contrevenants.
Trois obligations majeures pour les entités :
Avec NIS2, chaque entité doit répondre à trois obligations principales :
1- Partage d’information : Communiquer avec l’autorité nationale compétente.
2- Gestion des risques cyber : Implémenter des mesures juridiques, techniques et organisationnelles adaptées (comme la conformité des installations et une authentification forte).
3- Déclaration d’incidents : Signaler tout incident de sécurité à l’autorité nationale.
Qui est concerné ?
La directive distingue deux types d’organisations :
– Entités essentielles : Entreprises dans des secteurs critiques (énergie, hôpitaux, transport). Leur interruption aurait des conséquences graves.
– Entités importantes : Secteurs moins critiques mais néanmoins essentiels (services numériques, communication, traitement de données).
La taille de l’organisation est aussi un critère pour déterminer si elle est classée comme entité essentielle ou entité importante.
Voilà pour les règles européennes. Cependant, chaque État membre de l’Union européenne peut déroger à ces règles et classer n’importe quelle organisation en entité importante ou essentielle. Cela inclut des secteurs comme le nucléaire, l’armement ou la livraison alimentaire. Actuellement, en l’absence d’une loi française transposant NIS2, environ 10 000 entités sont estimées concernées. Cependant, les spécificités françaises ne sont pas encore finalisées.
La qualification d’une entité selon la directive NIS2 dépend à la fois de son domaine d’activité et de sa taille. Les entités essentielles incluent celles qui ont un nombre d’employés supérieur à 250, un chiffre d’affaires de plus de 50 millions d’euros et un bilan annuel de plus de 43 millions d’euros. En revanche, les entités importantes sont définies par une taille moyenne, c’est-à-dire entre 50 et 249 employés, avec un chiffre d’affaires se situant entre 10 et 50 millions d’euros et un bilan annuel entre 10 et 43 millions d’euros. Les entreprises de taille micro et petite, ayant moins de 50 employés et un chiffre d’affaires ou un bilan annuel inférieur à 10 millions d’euros, ne sont pas concernées par cette directive.
A partir de quand ?
De nombreuses communications annoncent une application de la directive NIS2 au 17 octobre 2024, mais cela n’est pas tout à fait exact. En effet, les États membres de l’Union européenne disposent jusqu’à cette date pour transposer la directive dans leur législation nationale. Toutefois, le calendrier d’application de la loi nationale s’étalera probablement au moins jusqu’en 2025, car celle-ci doit introduire plusieurs éléments cruciaux, tels qu’une autorité capable de sanctionner les contrevenants (l’ANSSI ne disposant actuellement d’aucun pouvoir de sanction), la définition de la nature des sanctions, le financement du dispositif et la transmission à la Commission européenne de la liste finalisée des entités essentielles (EE) et entités importantes (EI).
Initialement, le vote de la loi française et de son calendrier d’application était prévu pour juin, mais la dissolution de l’assemblée nationale a perturbé tout le calendrier législatif. Plusieurs de nos partenaires européens (comme la Belgique et l’Allemagne) ont déjà engagé cette transposition, d’autres ont d’ores et déjà annoncé qu’ils ne respecteront pas l’objectif du 17 octobre, sans que les implications sur le texte soient encore très claires.
Sanctions et responsabilité
L’un des aspects majeurs de NIS2 est l’augmentation des sanctions. En cas de non-conformité, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires global. En outre, la responsabilité personnelle des dirigeants pourra être engagée, faisant de la sécurité des systèmes d’information un enjeu stratégique au plus haut niveau de l’entreprise.
Microsoft et la directive NIS2
Pour répondre aux exigences de NIS2, Microsoft propose deux solutions de pointe : PurView et Microsoft Defender. Microsoft PurView aide à la gestion et à la surveillance des risques avec des outils de conformité, de gouvernance et d’audit avancés. Microsoft Defender, quant à lui, offre une protection proactive grâce à des capacités renforcées de détection et de réponse aux menaces.
En complément, BeWe vous propose des services de conseil spécialisés pour accompagner les entités dans l’application de ces solutions, assurant ainsi une conformité optimale et une meilleure résilience face aux incidents cyber.
Rédigé par Romain, Consultant BeWe Senior Cloud – Modern Workspace
