Alors que nous approchons de la date limite fixée à octobre 2024 pour que les États membres de l’UE adoptent la directive NIS 2, les organisations qui mènent des activités commerciales en Europe doivent se préparer aux changements importants à apporter au niveau de la conformité en matière de cybersécurité.

Cet article vise à faire la lumière sur la directive NIS 2, sa nécessité, les principales mises à jour par rapport à la directive NIS d’origine et la manière avec laquelle les entreprises peuvent se préparer à s’y conformer. Pour en savoir plus sur cette directive, téléchargez le livre blanc intitulé “Directive Sophos NIS 2“.

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2 est une évolution de la directive NIS (Network and Information Systems), mise en œuvre pour renforcer la posture de cybersécurité des États membres de l’UE. La première directive NIS, promulguée en 2016, établissait des lignes directrices pour améliorer la résilience en matière de cybersécurité dans l’ensemble de l’UE. Cependant, avec la sophistication et la fréquence croissantes des cyberattaques, en particulier pendant et après la pandémie de Covid-19, il était clairement nécessaire d’adopter des réglementations plus strictes et plus complètes.

Les cybermenaces sont déployées, à présent, à grande échelle, les attaques de ransomware étant particulièrement répandues. En juin 2024, un groupe de hackers connu sous le nom de Qilin, lié au Kremlin, a lancé une attaque contre Synnovis, un laboratoire spécialisé en pathologie utilisé par le NHS (National Health Service) au Royaume-Uni. Les cybercriminels ont exigé une rançon de 40 millions de livres sterling et, lorsque le NHS a refusé de payer, ces derniers ont publié les données volées sur le dark web.

De plus, les tensions géopolitiques, telles que l’invasion russe de l’Ukraine, ont souligné la nécessité de mesures de cybersécurité robustes. La directive NIS 2 vise à relever de tels défis en renforçant la sécurité et la résilience des entités essentielles et importantes dans toute l’UE.

Implications pour les entreprises non européennes

Bien que ces mesures soient principalement destinées aux États membres de l’UE, les entreprises non européennes opérant au sein de l’UE ou fournissant des services à des entités de l’UE seront également concernées. De nombreuses réglementations nationales ne sont actuellement pas aussi étendues que la directive NIS 2 ; néanmoins, il serait prudent de s’attendre à d’autres changements dans la législation locale à mesure que les projets de législation européenne se développeront davantage.

En relevant de manière proactive les défis décrits ci-dessous, les entreprises non européennes peuvent mieux se protéger elles-mêmes mais aussi protéger leurs clients contre l’évolution des cybermenaces tout en évitant de lourdes sanctions en cas de non-conformité.

De NIS à NIS 2 : les changements majeurs

La directive NIS 2 introduit plusieurs mises à jour et extensions critiques par rapport à la directive NIS d’origine :

Portée plus large des entités couvertes : Entités essentielles et entités importantes : NIS 2 classe les entités dans les catégories “essentielle” et “importante” en fonction de leur secteur et de leur criticité. Cette expansion inclut davantage de secteurs, tels que les eaux usées, la supply chain liée au secteur de la santé, les services postaux et de messagerie, l’aérospatiale, l’administration publique et les infrastructures numériques.

: NIS 2 classe les entités dans les catégories “essentielle” et “importante” en fonction de leur secteur et de leur criticité. Cette expansion inclut davantage de secteurs, tels que les eaux usées, la supply chain liée au secteur de la santé, les services postaux et de messagerie, l’aérospatiale, l’administration publique et les infrastructures numériques. Supply chain et fournisseurs de services : les organisations impliquées dans la supply chain et celles fournissant des services de support critiques sont désormais explicitement couvertes, soulignant l’importance de sécuriser les réseaux interconnectés. Normes de cybersécurité améliorées : Mesures obligatoires : l’article 21 de la directive décrit les mesures obligatoires en matière de cybersécurité, notamment la cyber-hygiène élémentaire, la gestion des vulnérabilités, la sécurité de la supply chain, le chiffrement, la gestion des actifs/ressources, le contrôle d’accès et la sécurité Zero-Trust (Confiance Zéro).

: l’article 21 de la directive décrit les mesures obligatoires en matière de cybersécurité, notamment la cyber-hygiène élémentaire, la gestion des vulnérabilités, la sécurité de la supply chain, le chiffrement, la gestion des actifs/ressources, le contrôle d’accès et la sécurité Zero-Trust (Confiance Zéro). Réponse aux incidents et notification : la directive impose des exigences plus strictes en matière de notification d’incident, garantissant ainsi des réponses aux cybermenaces, rapides et cohérentes, dans toute l’UE. Responsabilité et sanctions renforcées : Responsabilité de l’équipe dirigeante : l’équipe dirigeante peut être tenue personnellement responsable en cas de non-conformité, soulignant ainsi l’importance de l’implication des dirigeants dans la gouvernance de la cybersécurité.

l’équipe dirigeante peut être tenue personnellement responsable en cas de non-conformité, soulignant ainsi l’importance de l’implication des dirigeants dans la gouvernance de la cybersécurité. Amendes et sanctions : les organisations peuvent se voir infliger des amendes importantes, pouvant atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, pour non-respect de la directive.

La directive NIS 2 s’applique aux 18 secteurs suivants :

Le tableau suivant montre les secteurs ayant été ajoutés à la liste de la directive NIS 2 par rapport à la directive NIS d’origine :

Impact sur la conformité en matière de cybersécurité

La directive NIS 2 a un impact significatif sur la manière avec laquelle les organisations abordent la conformité en matière de cybersécurité. Les entreprises doivent adopter une attitude proactive, intégrant des processus complets de gestion des risques et garantissant le respect des normes strictes énoncées dans la directive. L’accent mis sur les mesures obligatoires et la possibilité de sanctions sévères nécessitent un examen approfondi et une amélioration des pratiques existantes en matière de cybersécurité.

Les organisations devront allouer des ressources suffisantes pour répondre à ces exigences. Les estimations suggèrent que les entreprises déjà couvertes par la directive NIS initiale pourraient voir leur budget de cybersécurité augmenter jusqu’à 12%, tandis que celles nouvellement couvertes pourraient voir leur budget augmenter jusqu’à 22%, selon John Noble, ancien directeur du National Cyber ​​Security Centre, s’exprimant sur Sophos Spotlight dans une vidéo intitulée : NIS2 Directive and Understanding Cybersecurity Compliance.

Se préparer à la conformité NIS 2

Pour garantir la conformité avec la directive NIS 2, les organisations doivent prendre les mesures suivantes :

Évaluer l’applicabilité : Déterminez si votre organisation correspond aux critères des catégories “entités essentielles” ou “entités importantes“. Cette démarche implique d’évaluer votre secteur, la criticité de vos services et votre empreinte opérationnelle au sein de l’UE. Comprendre la juridiction : Identifiez les États membres de l’UE qui auront une compétence de contrôle sur vos opérations dans le cadre de la directive NIS 2. Cette étape est cruciale pour bien comprendre les exigences nationales spécifiques et les obligations en matière de notification. Mettre en œuvre la gestion des risques de cybersécurité : Effectuez une analyse complète des risques pour identifier les menaces et vulnérabilités potentielles en matière de cybersécurité.

Mettez en œuvre les mesures obligatoires décrites dans l’article 21, en les comparant à des cadres de sécurité appropriés tels que la norme ISO 27001 ou le framework de cybersécurité du NIST. Renforcer la sécurité de la supply chain : Concentrez-vous sur la mitigation des risques au sein de votre supply chain, en particulier concernant les fournisseurs de logiciels et de services. Cette démarche implique de garantir que les fournisseurs tiers respectent les normes NIS 2. Élaborer un plan de réponse aux incidents : Formalisez un plan de réponse aux incidents qui comprenne des protocoles clairs pour notifier les cyberincidents aux autorités nationales compétentes. Veillez à ce que les incidents importants soient signalés dans le délai de 24h spécifié par la directive. Impliquer l’équipe dirigeante : Obtenez l’approbation formelle de l’équipe dirigeante concernant votre stratégie en matière de conformité. L’implication de l’équipe dirigeante est essentielle pour démontrer un engagement clair en faveur de la cybersécurité et garantir que les ressources nécessaires sont bien allouées.

La directive NIS 2 représente une avancée significative dans le renforcement de la résilience en matière de cybersécurité des organisations à travers l’Europe. En comprenant les principales mises à jour et en prenant des mesures proactives pour garantir la conformité, les entreprises peuvent mieux se protéger contre la menace croissante que représente les cyberattaques aujourd’hui.

À l’approche de la date limite fixée à octobre 2024, il est impératif que l’équipe dirigeante et les professionnels de la cybersécurité donnent la priorité à la conformité avec NIS 2, en tirant parti de ressources telles que le livre blanc de Sophos pour guider leurs efforts.

Billet inspiré de Strengthen Your Cybersecurity: Understanding the NIS 2 Directive, sur le Blog Sophos.