NIS 2 : ce que les changements proposés signifient pour votre entreprise

Par Rebecca Harper • 9 Avril 2023

En Décembre 2022, la Union européenne ont confirmé qu'ils allaient de l'avant avec leurs projets visant à étendre le champ d'application de la directive sur les réseaux et les systèmes d'information (NIS) pour inclure les sous-traitants et les fournisseurs de services gérés.

Une série de réformes et de mises à jour de la directive sur les systèmes d’information en réseau (NIS) ont été avancées afin de renforcer davantage la cyber-résilience. Le nouveau NIS 2 amènera les fournisseurs de services informatiques externalisés et les fournisseurs de services gérés (MSP) dans le champ d'application des règles visant à mieux protéger les chaînes d'approvisionnement vitales et les services nationaux critiques contre les cyberattaques suite à des perturbations importantes au cours des dernières années.

Dans un communiqué de presse, le Conseil de l’UE a déclaré qu’il « fixera la base des mesures de gestion des risques de cybersécurité et des obligations de déclaration dans tous les secteurs couverts par la directive, tels que l’énergie, les transports, la santé et les infrastructures numériques ».

En cas de non-respect de la réglementation NIS, les entreprises fournissant des services essentiels tels que l'énergie, les soins de santé, les transports ou l'eau peuvent se voir infliger une amende allant jusqu'à 17 millions de livres sterling au Royaume-Uni et 10 millions d'euros, soit 2 % du chiffre d'affaires mondial dans l'UE.

Qu'est-ce que la directive sur les systèmes d'information en réseau (NIS) et pourquoi a-t-elle été mise à jour ? 

L'UE a lancé la directive sur les réseaux et les systèmes d'information (NIS) en 2016 à la suite de préoccupations croissantes en matière de cyberattaques. En plus de renforcer les capacités de cybersécurité des États membres, la directive espérait accroître la collaboration en matière de cybersécurité entre les États membres. Il a également encouragé les États à superviser la cybersécurité dans leurs infrastructures nationales critiques (CNI), telles que l'énergie, les transports et les soins de santé.

Sept ans après le lancement de la directive, le paysage des cybermenaces a considérablement changé et la directive ne répond pas tout à fait aux besoins de l'évolution des perspectives de risque de cybersécurité à l'horizon 2023. Les cyberattaques et les violations de données ont augmenté de façon exponentielle, en particulier à mesure que les gens dépendent davantage de la technologie numérique. En outre, l’augmentation des attaques contre le CNI, comme en témoigne l’attaque contre SolarWinds, les lacunes dans la législation initiale du NIS et les incohérences dans la manière dont les États membres ont mis en œuvre le NIS démontrent les limites du modèle précédent et la nécessité d’un remplacement plus complet.

Quelles sont les exigences fondamentales de la directive NIS 2 ?

NIS 2 résoudra les problèmes liés à la précédente législation NIS et renforcera les règles. Plus important encore, cela concerne la manière incohérente dont la directive SRI initiale a été mise en œuvre, dans la mesure où cela compliquait la collaboration entre les pays et compromettait l'objectif général consistant à garantir l'efficacité de la cybersécurité de l'UE.

NIS 2 exigera des organisations qu’elles veillent à ce que les mesures suivantes soient en place pour gérer les risques de cybersécurité :

Politique de sécurité des informations

Un élément essentiel de la cybersécurité consiste à évaluer votre niveau de risque. NIS 2 obligera les entreprises à évaluer l'impact potentiel d'une attaque sur leurs actifs les plus vitaux et à être attentives aux vulnérabilités potentielles du réseau ou aux informations concernant d'autres membres du secteur attaqués. Ils devront également adopter une approche proactive plutôt que réactive en matière de gestion des risques en introduisant de solides politiques de sécurité de l'information pour garantir une analyse systématique et approfondie des risques.

Prévention, détection et réponse aux incidents

NIS 2 exige que les organisations disposent de plans et de plans de secours, organisent des exercices et forment toutes les parties concernées. Une fois qu'une organisation a identifié ses vulnérabilités les plus importantes, la directive mise à jour lui impose de mettre en œuvre des procédures claires pour prévenir les attaques et de convenir de méthodes pour détecter les incidents potentiels. Cela devrait aboutir à un plan d'intervention en cas d'incident avec une chaîne de commandement transparente pour la mise en œuvre.

Continuité des activités et gestion des crises

Le NIS 2 mis à jour vise à garantir qu'un l'entreprise peut poursuivre ses activités en cas de cyberattaque. Les organisations doivent disposer d'un plan vérifiable indiquant comment elles réagiront à une attaque et comment elles pourront s'en remettre le plus rapidement possible, en minimisant les perturbations. En conséquence, NIS 2 met l'accent sur les solutions de sauvegarde dans le cloud.

Sécurité de la chaîne d'approvisionnement

Sécurité de la chaîne d'approvisionnement est sous le microscope à l’échelle mondiale depuis un certain temps. NIS 2 double ce point et oblige les organisations à prendre en compte les vulnérabilités de chacun de leurs fournisseurs et prestataires de services ainsi que leurs pratiques de cybersécurité, y compris les fournisseurs de stockage de données. La directive garantit que les organisations comprennent clairement les risques, entretiennent des relations étroites avec les fournisseurs et mettent continuellement à jour la sécurité pour garantir les protections les plus élevées possibles. 

Divulgation de vulnérabilité

NIS 2 nécessitera une divulgation et une gestion plus transparentes des vulnérabilités. Les organisations doivent fournir au public des moyens de signaler toute vulnérabilité et garantir que le service concerné agit en fonction de ces informations. Si une organisation identifie une vulnérabilité au sein de son réseau, la directive mise à jour lui impose de la divulguer. La divulgation de ces vulnérabilités soutiendra la lutte contre la cybercriminalité et garantira qu’elles ne soient pas exploitées ailleurs.

NIS 2 imposera également des approches actualisées pour :

Rapports d'incidents

En vertu de la directive mise à jour, les entreprises doivent soumettre un rapport initial dans les 24 heures suivant la prise de connaissance de tout incident « important », une notification complète de l'incident dans les 72 heures et un rapport final dans un délai d'un mois à toute autorité compétente concernée, à l'équipe de réponse aux incidents de sécurité informatique ( CSIRT), et parfois, à leurs clients.

Un incident « significatif » est tout incident qui a causé ou est susceptible de causer de graves perturbations opérationnelles du service ou des pertes financières ou si l'incident a affecté ou est susceptible de causer des pertes considérables à autrui.

La collaboration

La première directive NEI a échoué parce qu’elle ne tenait pas compte des différentes manières dont chaque pays opérait. Par conséquent, NIS 2 :

Encourager davantage de partage de données entre les autorités
Exiger des autorités qu’elles participent à la réponse aux incidents au niveau de l’UE plutôt qu’au niveau national
Établir un réseau d'organisations de liaison UE-Cyber Crisis (EU CyCLONe), un organisme central chargé de coordonner et de gérer les réponses aux cyberincidents à l'échelle de l'UE.

En centralisant les contrôles de cybersécurité au niveau de l’UE et en exigeant que tout le monde adhère aux mêmes normes de cybersécurité, NIS 2 vise à simplifier un système auparavant sous-coordonné. Cela devrait faciliter le partage collaboratif de données et des solutions plus efficaces aux cyberincidents au fur et à mesure qu’ils surviennent.

Qui doit se conformer à NIS 2 ?

NIS 2 s'appliquera à toute organisation de plus de 50 salariés dont le chiffre d'affaires annuel dépasse 10 millions d'euros et à toute organisation précédemment incluse dans la directive NIS originale.  

La directive mise à jour élargira également son champ d'application pour inclure les nouvelles industries suivantes :

Communications électroniques
Services numériques
espace
La gestion des déchets
Food
Fabrication de produits critiques (c.-à-d. médicaments)
Les services postaux
Une administration publique

Les industries incluses dans la directive originale resteront dans le champ d’application de la directive NIS 2 mise à jour. Certaines petites organisations, essentielles au fonctionnement d'un État membre, seront également incluses dans le mandat de NIS 2 en raison des problèmes potentiels qui pourraient survenir si elles étaient frappées par une cyberattaque.

NIS 2 s’applique-t-il aux entreprises britanniques ?

Le Gouvernement britannique ont confirmé qu'ils allaient de l'avant avec leurs projets de mise à jour de la réglementation NIS telle qu'elle s'applique au Royaume-Uni, en étendant la réglementation à tous les fournisseurs de services gérés numériques (MSP).

Dans le cadre de cette mise à jour prévue au Royaume-Uni, il y aura un alignement sur NIS 2 dans de nombreux domaines, en particulier lorsqu'il s'applique aux fournisseurs de services gérés, à l'externalisation informatique et aux exigences essentielles telles que le rapport d'incidents, la sécurité de la chaîne d'approvisionnement et la continuité des activités.

La mise à jour britannique « sera effectuée dès que le temps parlementaire le permettra » et fait partie des 2.6 milliards de livres sterling (3.2 milliards de dollars) du gouvernement. Cyberstratégie nationale. Ainsi, même si les changements apportés au Royaume-Uni n’entreront peut-être pas en vigueur dès 2024, il n’existe aucun garanties, et les entreprises devraient être bien préparées plutôt que d’être prises de court plus tard.

Quelles sont les implications du non-respect de NIS 2 ? 

NIS 2 est soumis à des exigences d'application beaucoup plus strictes que son prédécesseur. Les sanctions pour non-conformité vont d'un audit de sécurité et de l'obligation de suivre des recommandations définies à des amendes de 10 millions d'euros ou 2 % du chiffre d'affaires mondial total de l'organisation, selon le chiffre le plus élevé.

Notamment, ces amendes sont les mêmes que celles imposées pour GDPR violations, et NIS 2 doivent être compris de la même manière. L’initiative NIS 2 représente une avancée significative en matière de cybersécurité et doit être traitée avec autant de sérieux que l’énorme changement radical apporté par le RGPD en matière de protection des données.

Une approche basée sur des normes pour NIS 2

Pour les organisations cherchant à se conformer à NIS 2, la certification contre ISO 27001 pour la sécurité de l’information pourrait constituer une première étape importante.

Les réglementations NIS elles-mêmes mentionnent que toutes les mesures prises par les entreprises pour se conformer doivent tenir compte du « respect des normes internationales », tandis que les directives techniques publiées par l'Agence de l'Union européenne pour la cybersécurité (ENISA) associent chaque objectif de sécurité à plusieurs normes de bonnes pratiques, notamment ISO 27001. 

Un système de gestion de l'information (ISMS) conforme à la norme ISO 27001 permet aux organisations de réduire leurs risques et leur exposition aux menaces de sécurité en identifiant les politiques pertinentes qu'elles doivent documenter, les technologies pour se protéger et la formation du personnel pour éviter les erreurs. Ils exigent également que les organisations effectuent des évaluations annuelles des risques, ce qui les aide à garder une longueur d'avance sur un paysage des risques en constante évolution.

La norme ISO 27001 aidera les organisations à répondre aux exigences NIS 2 tout en obtenant une certification auditée de manière indépendante. Cela prouve aux fournisseurs, aux parties prenantes et aux régulateurs que vous avez pris les mesures techniques et organisationnelles « appropriées et proportionnées » requises et démontre un avantage concurrentiel sur le marché.

Les organisations qui cherchent à aller plus loin pourraient envisager d'ajouter ISO 22301 pour la gestion de la continuité des activités. ISO 22301 est conçu pour vous aider à mettre en œuvre, maintenir et améliorer continuellement votre approche de la continuité des activités. Bien que certains aspects de la norme ISO 27001 incluent la gestion de la continuité des activités (BCM), elle ne définit pas de processus de mise en œuvre de la BCM. C'est là qu'intervient la norme complémentaire ISO 22301. La certification selon cette norme démontrerait davantage la conformité avec NIS 2. 

27001 et ISO 22301 fonctionnent également bien ensemble, vous permettant ainsi de développer un système de gestion intégré comprenant à la fois un SMSI et un BCMS. Cette approche vous aidera également à développer une forte cyber-résilience.

Conclusions de NEI 2

Suite à la publication de la directive EU NIS 2 au Journal officiel de l'Union européenne, la directive est entrée en vigueur le 20 décembre 2022. Les États membres disposent de 21 mois pour intégrer les dispositions dans leur droit national.

Les délais de mise en œuvre au Royaume-Uni sont moins clairs, le gouvernement britannique s'engageant à présenter la législation nécessaire « lorsque le temps parlementaire le permettra ». Compte tenu des priorités actuelles du gouvernement, nous prévoyons que le nouveau régime sera en place au plus tôt en 2024.

Préparez votre organisation à réussir dès aujourd'hui avec ISO 27001

Si vous souhaitez vous conformer à la norme NIS 2 et commencer votre voyage vers une meilleure information et une meilleure cybersécurité, nous pouvons vous aider.

Téléchargez notre guide essentiel pour en savoir plus et vous armer des informations dont vous avez besoin pour garder une longueur d'avance et garantir que votre organisation est prête à réussir.

Télécharger

Ressources

ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- adopte-une-nouvelle-législation/
GOV.uk – https://www.gov.uk/government/publications/national-cyber-strategy-2022
NCSC – https://www.ncsc.gov.uk/collection/caf/nis-introduction

Rébecca Harper

Rebecca est la responsable du marketing de contenu d'ISMS.online. Avec plus de 12 ans d'expérience dans le secteur de l'information et de la cybersécurité, Rebecca se consacre à l'éducation, à la sensibilisation et à l'autonomisation des entreprises pour qu'elles atteignent leurs objectifs de conformité, de gestion de l'information et de cybersécurité.

Lire la suite de Rebecca Harper

La cyber-sécurité 2er Février 2026.

ISMS.online nomme Simon Church président

Nous sommes heureux de confirmer la nomination de Simon Church au poste de président d'ISMS.online (IO). Simon rejoint l'entreprise au moment où IO poursuit son développement…

Rébecca Harper

La cyber-sécurité 23 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur de la santé

Le dernier rapport d'IO sur l'état de la sécurité de l'information dresse le portrait d'un secteur de la santé soumis à une pression constante. Les organisations sont responsables de…

Rébecca Harper

La cyber-sécurité 15 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur du voyage et du transport

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur du voyage et des transports

Le dernier rapport d'IO sur l'état de la sécurité de l'information met en lumière un secteur structurellement vulnérable et parfaitement conscient de ce risque. Les organisations de transport et de voyage...

Rébecca Harper