Il reste un peu plus d'un mois aux pays et aux entreprises européennes pour se préparer à l'entrée en vigueur de la deuxième itération de la directive de l'Union européenne sur les réseaux et les systèmes d'information (NIS).
La loi, qui doit entrer en vigueur le 17 octobre 2024, vise à améliorer la capacité de chaque État membre de l'UE à lutter contre la cybercriminalité, à faciliter le partage et la coopération des renseignements en matière de cybersécurité à l'échelle de l'Union et à garantir que les entreprises des secteurs critiques prennent la cybersécurité au sérieux. Mais qu'est-ce que cela signifie en pratique ?
Une approche plus large de la gestion des risques liés à la cybersécurité
Lorsque l’UE a introduit la directive NIS originale en 2016, son objectif était de renforcer la cybersécurité des infrastructures critiques dans l’ensemble du bloc politique.
Toutefois, reconnaissant que les menaces de cybersécurité ont considérablement augmenté au cours des dernières années et touchent désormais pratiquement tous les secteurs, les législateurs européens ont élargi la portée des exigences NIS dans la deuxième version de la directive.
La norme NIS2 couvre un éventail plus large d’industries — notamment la production alimentaire, la gestion des déchets, les services postaux, la recherche, la fabrication, l’aérospatiale, l’administration publique et bien d’autres — et prend en compte le risque de sécurité de la chaîne d’approvisionnement créé par les fournisseurs de services numériques.
Elle divise les secteurs en deux catégories : essentiels et importants. La catégorie « essentiels » décrit les secteurs hautement critiques comme l’énergie et les services financiers, déjà décrits dans la NIS1. Ces organisations emploieront plus de 250 personnes et généreront un chiffre d’affaires de plus de 50 millions d’euros par an.
D’autre part, la catégorie « importante » couvre un éventail supplémentaire d’industries vitales, telles que les services postaux et de messagerie et les organismes de recherche. Les entreprises de cette catégorie sont généralement de taille moyenne, employant plus de 50 personnes et générant un chiffre d’affaires annuel supérieur à 10 millions d’euros.
En vertu de cette loi, les États membres de l’UE doivent également s’assurer qu’ils sont prêts à gérer les incidents graves de cybersécurité. Ils doivent notamment mettre en place des équipes de réponse aux incidents cybernétiques et une autorité nationale des réseaux et systèmes d’information (NIS). Par l’intermédiaire du groupe de coopération NIS, la directive vise à améliorer la collaboration et le partage de renseignements entre les États membres sur les questions de cybersécurité.
Nick Palmer, ingénieur en solutions chez Censys, plateforme de renseignement sur les menaces, décrit NIS 2 comme une version améliorée de NIS 1 qui vise à améliorer la cybersécurité collective de chaque État membre de l'UE. Il explique à ISMS.online : « Elle est conçue pour combler certaines lacunes et incohérences apparues dans les règles d'origine. À mesure que notre monde numérique se développe et que les cybermenaces deviennent plus sophistiquées, l'UE a réalisé qu'elle devait renforcer ses défenses. »
Dans le cadre d’une approche plus globale de la cybersécurité à travers l’UE, Ed Parsons, vice-président des marchés mondiaux et des relations avec les membres de l’organisation à but non lucratif ISC2, explique que cette approche comprend la gestion des risques, la responsabilité des entreprises, la déclaration des incidents et les exigences en matière de planification de la continuité des activités. Il déclare : « Les principales pratiques de sécurité imposées par la norme NIS 2 comprennent la sécurité de la chaîne d’approvisionnement, la protection du réseau, le chiffrement, l’authentification multifacteur, la gestion des vulnérabilités et la formation à la cybersécurité. »
Pourquoi la conformité est primordiale
Les menaces de cybersécurité augmentant rapidement en volume et en sophistication dans le monde entier, certains experts estiment que la conformité à la norme NIS 2 est dans le meilleur intérêt des entreprises de tous les secteurs.
Dave Joyce, PDG de Macrium, fournisseur de logiciels de récupération de données, estime que son approche de la cyber-résilience intersectorielle semble authentique au vu du paysage complexe des menaces en ligne d'aujourd'hui. Il est particulièrement encouragé par son « approche globale de la cybersécurité » dans le paysage des entreprises, ajoutant qu'elle ne se concentre pas uniquement sur les « menaces connues ».
« La norme NIS 2 met l'accent sur la sécurisation de l'ensemble de la chaîne d'approvisionnement et sur la manière dont les fournisseurs traitent les données, une préoccupation mise en évidence par des incidents tels que la violation de CrowdStrike, qui a révélé des lacunes dans les pratiques de reprise après sinistre », explique Joyce.
Selon M. Joyce, la conformité est essentielle pour assurer la continuité des activités, la confiance des clients et l’accès au marché de l’UE, ainsi que pour éviter des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires international annuel. Il poursuit : « En fin de compte, la conformité à la norme NIS 2 favorise un environnement numérique plus sûr et contribue à un écosystème cybernétique mondial plus sécurisé. »
Palmer de Censys est un autre fervent partisan de la directive NIS 2 et de son impact positif sur le paysage commercial européen. Il souligne que le respect de ces exigences strictes réduira les risques pour les entreprises d'être victimes de cybercriminalité et les conséquences qui en découleraient, telles que des perturbations des opérations, des atteintes à la réputation et des pertes financières.
« La conformité joue également un rôle essentiel dans l’instauration et le maintien de la confiance avec les clients, les partenaires et les parties prenantes, car elle démontre un engagement envers la sécurité des données et la résilience opérationnelle », explique-t-il. « Sur le marché concurrentiel de l’UE, le non-respect des règles peut entraîner l’exclusion d’opportunités lucratives ou la perte de contrats au profit de concurrents plus respectueux des règles. »
Parallèlement, Parsons d'ISC2 soutient que l'adhésion à la norme NIS 2 préparera mieux les entreprises à faire face aux cybermenaces émergentes, améliorera leur compréhension globale des incidents de cybersécurité et de la manière dont ils peuvent avoir un impact sur les opérations quotidiennes, et les aidera à établir un processus transparent pour répondre et signaler les menaces.
Comment NIS2 s'applique aux organisations britanniques
Bien que le Royaume-Uni ait quitté l'UE, la directive NIS 2 aura toujours des répercussions sur de nombreuses entreprises britanniques. Selon Ann Keefe, directrice régionale pour le Royaume-Uni et l'Irlande chez Kingston Technology, une société informatique, cela concerne également les entreprises basées au Royaume-Uni qui font des affaires avec les États membres de l'UE. Selon elle, elles doivent respecter les exigences de la directive NIS 2 si elles « ne veulent pas être prises en défaut » par les régulateurs européens.
Cependant, même si une entreprise britannique n'a pas d'intérêts commerciaux dans l'UE, le respect des exigences complètes de la norme NIS 2 pourrait être dans son intérêt. Rob O'Connor, responsable technologique et CISO de la zone EMEA chez Insight, une entreprise technologique mondiale, souligne que le prochain projet de loi britannique sur la cybersécurité et la résilience aura des recoupements avec la norme NIS 2. Il suggère que l'adoption des normes NIS 2 pourrait être un moyen « rentable » de faire face aux risques croissants en matière de cybersécurité.
Pour les organisations britanniques concernées par les exigences de gestion et de reporting des risques de sécurité NIS 2, Palmer de Censys affirme qu'elles devront mettre en œuvre des mesures de cybersécurité sophistiquées, effectuer des évaluations régulières des risques et garantir la sécurité de leurs chaînes d'approvisionnement.
« Ils doivent signaler les incidents de sécurité importants aux autorités européennes dans des délais stricts, coopérer lors des enquêtes et peuvent avoir besoin de nommer un représentant de l’UE pour gérer les communications réglementaires », explique-t-il. « Les contrats avec les clients de l’UE doivent inclure des clauses de conformité NIS 2, garantissant que l’organisation respecte ses obligations légales et se protège contre les cybermenaces. »
Préparation pour NIS 2
La date limite de mise en conformité à la norme NIS 2 approchant à grands pas, les entreprises qui n'ont pas encore commencé à se préparer à son arrivée doivent le faire dès maintenant. Mais quelles sont les étapes à suivre ? Selon Parsons d'ISC2, la première étape consiste à déterminer si une entreprise doit se conformer à la norme NIS 2 elle-même ou si la loi s'applique à ses fournisseurs.
Pour ce faire, il explique qu’ils doivent évaluer si l’entreprise opère dans un secteur « essentiel » ou « important » selon les définitions du NIS. Parsons ajoute que les entreprises soumises aux directives du NIS doivent ensuite identifier et atténuer les risques de cybersécurité dans le cadre d’une évaluation des risques de grande envergure.
« Sur la base de l’évaluation des risques, des mesures techniques et organisationnelles appropriées doivent être mises en œuvre. Les entreprises doivent se préparer aux incidents en créant des plans d’intervention et des processus pour signaler les incidents importants aux autorités compétentes », explique-t-il.
Faisant écho à des réflexions similaires, Joyce de Macrium exhorte les entreprises à évaluer leur cyber-position et à se demander si elles disposent actuellement des moyens de se remettre d’un incident le plus rapidement possible.
Dans le cas contraire, il recommande de mettre en place un plan de reprise après incident cybernétique renforcé par une solution de sauvegarde, des objectifs de point de récupération (RPO) et des objectifs de temps de récupération (RTO). Le RPO fait référence à la perte de données maximale qu'une entreprise peut supporter suite à une cyberattaque, tandis que le RTO est le temps maximal que les entreprises peuvent gérer sans réseaux et services informatiques.
La norme NIS 2 étant axée spécifiquement sur les risques liés à la sécurité de la chaîne d’approvisionnement, Joyce conseille aux entreprises d’évaluer la manière dont leurs fournisseurs et partenaires abordent les questions de cybersécurité. Il ajoute également que les entreprises doivent apprendre à leur personnel à identifier et à signaler les menaces de cybersécurité, ajoutant que « des structures claires en matière de responsabilité et de signalement sont essentielles ».
Il conclut : « La conformité n’est pas une tâche ponctuelle ; elle nécessite une maintenance et une vigilance continues. Les entreprises doivent donc rester informées de l’évolution des exigences et favoriser une culture d’amélioration continue de la cyber-résilience. »
