NIS 2 : Explication des nouvelles normes européennes en matière de cybersécurité

L'Union européenne met en œuvre des règles plus strictes en matière de cybersécurité. Des centaines de milliers d'entreprises sont touchées. Et pas seulement eux : les entreprises partenaires et les chaînes d'approvisionnement doivent également devenir plus sûres. Nous présentons le nouveau règlement européen sur la cybersécurité « NIS2 » et examinons tout ce que vous devez savoir sur les obligations de déclaration et autres.

‍

L'UE a lancé une directive « pour un niveau commun élevé de cybersécurité ». Officiellement connue sous le nom de « Directive (UE) 2022/2555 » ou « NIS2 » en abrégé, il s'agit de la deuxième tentative visant à améliorer la sécurité des réseaux et des informations et à renforcer ainsi la cyberrésilience. Depuis le 17 octobre 2024, les États membres de l'UE doivent transposer la directive dans leur droit national. C'est déjà le cas dans de nombreux pays, dont la Belgique, le Danemark et l'Italie. Dans d'autres pays, la mise en œuvre complète est retardée ; en Allemagne, par exemple, la loi de mise en œuvre de la NIS2 (NIS2umsucg) est prévue et doit être soumise au Conseil fédéral pour avis à la fin de l'été 2025. Elle est pertinente pour la Suisse car la directive inclut explicitement les chaînes d'approvisionnement et les entreprises partenaires.

‍

Quelles sont les entreprises concernées ?

La nouvelle directive touche environ dix fois plus d'entreprises que la précédente de 2016. Selon les estimations actuelles, environ 160 000 entreprises sont touchées en Europe. Rien qu'en Allemagne, ce nombre est aujourd'hui estimé à environ 30 000.

Par exemple, NIS 2 a augmenté la liste des secteurs de huit à 18. Ils sont classés comme « essentiels » et « importants ». Un aperçu détaillé se trouve dans les annexes I et II de la directive dont le lien est indiqué ci-dessus.

Les secteurs de l'énergie, des transports, des banques, des marchés financiers, de la santé, de l'eau potable, des eaux usées, des infrastructures numériques, de la gestion des services TIC (B2B), de l'administration publique et de l'espace revêtent donc une importance particulière.

La liste des « autres » secteurs critiques comprend les services postaux et de messagerie, la gestion des déchets, la production, la fabrication et le commerce de produits chimiques, la production, la transformation et la distribution de denrées alimentaires, la fabrication/production de biens et les fournisseurs de services numériques.

‍

‍

En règle générale, les entreprises de ces secteurs sont concernées si elles emploient plus de 50 personnes et ont un chiffre d'affaires annuel ou un bilan annuel de plus de 10 millions d'euros. Des exceptions sont toutefois possibles, notamment si une entreprise est le seul fournisseur d'un service essentiel dans un État membre ou s'il présente un intérêt particulier pour la sécurité nationale.

‍

Quelles sont les exigences du NIS2 ?

Les obligations figurent au chapitre IV de la directive. Selon l'article 21, les entreprises concernées devraient « prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information (...) et pour prévenir ou minimiser l'impact des incidents de sécurité sur les destinataires de leurs services et sur d'autres services ». Ce qui est considéré comme « proportionné » doit être basé, entre autres, sur le risque évalué, les conséquences possibles et la taille de l'opération.

L'article 21 énumère également une norme minimale pour les mesures de sécurité. Il s'agit notamment d'un concept d'analyse des risques, de plans de gestion des incidents de sécurité, de gestion des crises et des sauvegardes, de concepts d'évaluation de l'efficacité des mesures, de cryptage, de contrôle d'accès et d'authentification multifactorielle.

entreprises suisses qui respectent la norme minimale en matière de TIC sont déjà bien positionnés ici.

L'article 21, paragraphe 2, mentionne également explicitement : « la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre les entités individuelles et leurs fournisseurs directs ou prestataires de services ». Le paragraphe 3 stipule que les entités doivent prendre en compte « la qualité globale des produits et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris la sécurité de leurs processus de développement ».

‍

Que couvre l'obligation de signalement des incidents de sécurité NIS2 ?

L'obligation de déclaration récemment introduite à l'article 23 est également particulièrement pertinente : en cas d'incident de sécurité, une alerte précoce doit être émise dans les 24 heures suivant sa prise de connaissance. Il est suivi dans les 72 heures d'un rapport plus détaillé contenant une évaluation initiale de l'incident de sécurité, y compris de sa gravité et de son impact. Un rapport de suivi ou final contenant une analyse des causes profondes et des contre-mesures doit être soumis à l'autorité compétente au bout d'un mois au plus tard.

Les violations des exigences en matière de signalement ou de sécurité peuvent être sanctionnées par de lourdes amendes : pour les institutions particulièrement importantes, des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel peuvent être infligées, le montant le plus élevé étant retenu. La mise en œuvre des exigences est contrôlée dans les États membres par les autorités responsables (par exemple le BSI en Allemagne).

La responsabilité explicite de la direction est également nouvelle : les PDG, les DSI et les membres du conseil d'administration doivent veiller à ce que les mesures requises soient non seulement introduites, mais également comprises et contrôlées. De nombreuses lois nationales exigent une formation obligatoire et prévoient la possibilité d'engager une responsabilité personnelle.

‍

Pourquoi ces nouvelles règles ?

Ce n'est pas seulement depuis hier que la politique de l'UE a reconnu que la numérisation croissante et la mise en réseau représentaient également une menace potentielle. Cependant, les précédentes tentatives visant à améliorer globalement les normes de sécurité n'ont pas été particulièrement fructueuses.

Le prédécesseur direct de la nouvelle réglementation est la directive (UE) 2016/1148, qui avait déjà le même objectif, mais sa mise en œuvre dans les États membres n'était guère surveillée et, dans de nombreux endroits, elle était moins spécifique que la nouvelle version.

Entre-temps, encore plus de processus ont été numérisés, automatisés et mis en réseau. Dans le même temps, le nombre de tentatives et de réussites attaques contre des réseaux d'installations industrielles et d'institutions publiques a augmenté.

Avec NIS2, l'UE répond à cette situation de menace et garantit un engagement et une harmonisation accrus, notamment afin d'éviter un niveau fragmenté de cybersécurité en Europe. La directive fait également partie d'un paquet plus vaste sur la résilience des infrastructures critiques.

‍

Mots de fin

La nouvelle directive de l'UE suit largement ce qui est déjà recommandé et pratiqué au niveau international. En Suisse, il existe des directives comparables, telles que le Centre national de cybersécurité (NCSC) et la norme minimale en matière de TIC pour les autorités publiques. En outre, une révision de la loi sur la sécurité de l'information (ISG) est en cours, dont le contenu est fortement basé sur le NIS2.

Il est toutefois judicieux que les entreprises de tous types soient conscientes des menaces potentielles et de leurs conséquences, même si elles ne sont pas considérées comme faisant partie de l' « infrastructure critique ». Les cyberattaques telles que les attaques par rançongiciel peuvent causer des dommages financiers considérables et ruiner la réputation d'une entreprise.

‍

FAQ : Le NIS2 en un coup d'œil

Qu'est-ce que la directive NIS2 ?

La directive européenne 2022/2555 (NIS2) est le règlement révisé de l'UE sur la cybersécurité des installations critiques et importantes. Elle remplace la directive NIS1 de 2016 et élargit considérablement son champ d'application. Il poursuit l'objectif d'un niveau uniformément élevé de cybersécurité dans l'UE, conformément à l'article 1 du NIS.

‍

Quelles sont les entreprises concernées par le NIS2 ?

Toutes les entreprises issues de secteurs à forte criticité et d'autres secteurs critiques comptant plus de 50 employés et un chiffre d'affaires supérieur à 10 millions d'euros ou un total de bilan, ainsi que les petits fournisseurs d'importance systémique.

‍

Qu'est-ce que NIS2 a réellement besoin ?

Le NIS2 nécessite des mesures de sécurité techniques et organisationnelles, une analyse des risques, des plans d'urgence, une formation, des rapports d'incidents de sécurité et une responsabilité de gestion.

‍

Existe-t-il des sanctions en cas de violation du NIS2 ?

Oui, les violations du NIS2 sont sanctionnées. Des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel peuvent être infligées. La direction peut également être tenue responsable.

‍

La directive NIS2 s'applique-t-elle également aux entreprises suisses ?

Bien que la Suisse ne soit pas un État membre de l'UE, le NIS2 peut également avoir un impact à cet égard, en particulier pour les entreprises qui ont des filiales ou des clients dans l'UE ou qui sont actives en tant que prestataires de services dans les chaînes d'approvisionnement de l'UE.

‍