Ce matin, au Campus Cyber, s’est tenu un petit déjeuner presse organisé par l’agence Cymbioz sur le thème « NIS 2 : les mesures à prendre pour une mise en conformité adéquate ». Animé par Jérôme Saiz, spécialiste des questions de sécurité globale, l’événement a réuni des experts de premier plan, dont Ivan Rogissart, Directeur avant-ventes Europe du sud chez Zscaler, Guillaume Tissier, Directeur du Forum InCyber, et Eddy Sifflet, SE Channel Team Leader chez Check Point Software Technologies. Ensemble, ils ont partagé leurs analyses sur l’impact de la directive NIS 2 et proposé des stratégies concrètes pour permettre aux entreprises de se conformer à cette nouvelle réglementation. L’article qui suit est issu des discussions et des réflexions présentées lors de cet échange.

Depuis l’adoption de la directive NIS 1 en 2016, le paysage numérique mondial a évolué de manière significative, nécessitant de nouvelles mesures pour protéger les infrastructures critiques et les entreprises essentielles face aux cybermenaces. La directive NIS 2, qui entrera en vigueur en octobre 2024, marque un tournant important dans la régulation de la cybersécurité au sein de l’Union européenne. Cette directive vise à uniformiser et renforcer les mesures de sécurité, en répondant aux insuffisances de NIS 1, notamment sur la prise en compte des sous-traitants et de la chaîne d’approvisionnement numérique.

Un élargissement significatif du périmètre d’application

Contrairement à la directive NIS 1, qui ciblait essentiellement les opérateurs de services essentiels (OSE), NIS 2 élargit considérablement le nombre d’entités concernées.

Elle introduit la notion d’entités essentielles et d’entités importantes, élargissant son champ d’action aux entreprises de tailles variées, y compris les PME et les sous-traitants, touchant des secteurs qui n’étaient pas couverts auparavant. Cela inclut désormais les collectivités de plus de 30 000 habitants, les services publics essentiels et des secteurs tels que la santé, l’énergie, les transports, les télécommunications et la gestion des déchets.

L’un des aspects clés de cette extension est la prise en compte des sous-traitants et des fournisseurs de services tiers, souvent utilisés comme points d’entrée dans les systèmes critiques lors d’attaques.

La directive impose aux entreprises de sécuriser non seulement leur propre infrastructure, mais aussi celle de leurs sous-traitants. Cela signifie que même des PME de taille modeste, mais qui fournissent des services à des entités critiques, seront tenues de se conformer aux exigences de NIS 2.

En France, le nombre d’entités concernées passe de 500 à environ 15 000, témoignant de l’ampleur du changement opéré​.

Des obligations accrues en matière de cybersécurité

La directive NIS 2 introduit des obligations strictes en matière de gestion de la cybersécurité. Les entreprises devront non seulement mettre en place des mesures préventives, mais aussi renforcer leur capacité à réagir en cas d’incident. Cela inclut l’obligation de déclarer les incidents de cybersécurité dans des délais très courts (72 heures en France) aux autorités nationales compétentes, telles que l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Ces obligations s’étendent également à la mise en place de plans de continuité d’activité et de stratégies de résilience. La directive NIS 2 met l’accent sur l’idée que les entreprises doivent être en mesure de maintenir leurs services même en cas d’attaque, en limitant l’impact des incidents sur leurs opérations.

Ainsi, il ne s’agit plus seulement de se protéger contre les cyberattaques, mais d’accepter que celles-ci se produiront inévitablement, et de se préparer à les gérer au mieux.

De plus, la directive impose une gradualité dans les mesures à adopter en fonction de la taille et de l’importance de l’entité. Les grandes entreprises et les infrastructures critiques devront appliquer des normes de cybersécurité plus strictes, tandis que les entités de taille plus modeste bénéficieront d’une plus grande flexibilité. Néanmoins, cette flexibilité n’exclut pas une conformité rigoureuse, et des sanctions sévères sont prévues en cas de non-respect des obligations.

Des sanctions dissuasives pour les contrevenants

Le volet répressif de la directive NIS 2 est l’un de ses points les plus marquants.

Les sanctions en cas de non-conformité peuvent atteindre jusqu’à 2 % du chiffre d’affaires annuel pour les entités essentielles et 1,4 % pour les entités importantes​.

Pour certaines entreprises, cela pourrait se traduire par des amendes de plusieurs millions d’euros, ce qui rend impératif le respect des nouvelles règles.

La directive va plus loin en introduisant la notion de responsabilité des dirigeants.

Désormais, ces derniers pourront être tenus personnellement responsables en cas de manquements graves aux obligations de cybersécurité de leur entreprise.

Cela impose une nouvelle dynamique au sein des conseils d’administration, où la cybersécurité devra être intégrée de manière stratégique dans la gouvernance d’entreprise. En d’autres termes, il ne sera plus possible de déléguer entièrement la gestion de la cybersécurité aux équipes techniques : la direction sera directement impliquée et devra s’assurer que les normes sont respectées​.

Un impact considérable pour la politique nationale

Pour les décideurs politiques nationaux, la transposition de la directive NIS 2 dans le droit français est une priorité. Cette directive nécessitera une révision des cadres réglementaires nationaux pour inclure ces nouvelles obligations, ainsi qu’une augmentation des ressources allouées aux entités publiques et privées afin de soutenir leur mise en conformité. Les collectivités locales, en particulier, devront faire face à des défis importants, notamment en raison des coûts élevés liés à la mise à niveau des systèmes de sécurité informatique.

D’après les premières estimations, les coûts de mise en conformité pour les collectivités locales françaises pourraient s’élever à environ 400 000 euros par collectivité​. Ce montant reflète les efforts nécessaires pour cartographier les infrastructures critiques, identifier les risques et mettre en place des mesures de protection adaptées.

Des programmes de soutien financier tels que France Relance seront donc essentiels pour aider les entités les plus vulnérables à respecter les nouvelles normes.

Une harmonisation européenne pour une cybersécurité globale

L’un des principaux objectifs de NIS 2 est d’harmoniser les pratiques de cybersécurité à l’échelle européenne. En imposant des règles communes à tous les États membres, la directive vise à réduire les disparités en matière de protection des systèmes critiques et à assurer une réponse coordonnée aux cyberattaques.

Cela permet non seulement de protéger les infrastructures nationales, mais aussi de renforcer la souveraineté numérique européenne face à des puissances étrangères comme la Chine ou les États-Unis.

Cette uniformisation est cruciale dans un contexte où les cyberattaques dépassent souvent les frontières nationales. Les entreprises européennes, en particulier celles qui opèrent à l’international, bénéficieront d’une plus grande cohérence réglementaire, ce qui facilitera leur gestion de la cybersécurité au niveau transfrontalier. Par ailleurs, la directive NIS 2 pourrait également avoir des répercussions internationales, incitant les entreprises non européennes à se conformer aux standards européens pour continuer à faire des affaires sur le marché de l’UE.

À l’instar du RGPD, la directive pourrait ainsi devenir un modèle de régulation pour d’autres régions du monde​.

Vers une cybersécurité résiliente et durable

La directive NIS 2 met un accent particulier sur la résilience des infrastructures numériques. Elle repose sur l’idée que la cybersécurité ne peut plus se limiter à la prévention des attaques, mais qu’elle doit inclure la capacité à réagir et à se remettre rapidement des incidents. Ce paradigme de la résilience est central à la vision de l’Europe pour l’avenir du numérique, où les infrastructures critiques doivent pouvoir résister à des cyberattaques de plus en plus sophistiquées.

En intégrant la cybersécurité dans leurs processus opérationnels, les entreprises européennes renforceront non seulement leur protection contre les attaques, mais aussi leur compétitivité sur le marché mondial.

À une époque où le numérique est devenu le moteur de l’économie, la sécurité des infrastructures devient un facteur de différenciation pour les entreprises, mais aussi un élément de stabilité pour l’ensemble de la société.

Conclusion

La directive NIS 2 représente un tournant majeur dans la régulation de la cybersécurité en Europe. En imposant des normes plus strictes et en élargissant le nombre d’entités concernées, elle répond aux défis posés par un paysage numérique en constante évolution. Pour les décideurs politiques, elle constitue un enjeu stratégique, car elle impose une révision des politiques nationales en matière de cybersécurité et nécessite des investissements considérables pour soutenir la mise en conformité des entreprises. Avec NIS 2, l’Europe prend les devants en matière de souveraineté numérique, offrant un cadre réglementaire robuste pour protéger ses citoyens et ses entreprises dans un monde de plus en plus digitalisé.

Paul Lusseau