Qu’est-ce que la directive NIS 2 ?
La directive de l’Union européenne sur la sécurité des réseaux et des systèmes d’information (NIS) est un acte législatif visant à atteindre un niveau commun élevé de cyber-sécurité pour les entreprises à travers l’Union européenne. Adoptée à l’origine en 2016, la directive NIS reposait largement sur le pouvoir discrétionnaire des États membres et manquait de responsabilité.
Le 16 janvier 2023, en réponse aux menaces croissantes liées à la numérisation et à la multiplication des cyberattaques, l’UE a adopté la directive NIS 2 pour renforcer les exigences en matière de sécurité et la cyberrésilience. Les 27 États membres de l’UE ont jusqu’au 17 octobre 2024 pour transposer la directive NIS 2 dans leur législation nationale applicable.
La directive NIS 2 élargit la directive NIS initiale pour couvrir davantage de secteurs industriels, avec des mesures supplémentaires de gestion des risques et des obligations de signalement des incidents. Elle prévoit également un renforcement de l’application de la législation. La directive NIS 2 complète la directive NIS dans quatre domaines clés :
- Un champ d’application élargi : la directive NIS 2 étend sa portée à davantage de secteurs, passant de sept à dix-huit. La directive NIS 2 a également classé les secteurs comme essentiels ou importants, avec des exigences de supervision différentes.
- Des exigences plus strictes en matière de sécurité : la directive prévoit des mesures de cyber-sécurité plus strictes. Ces exigences concernent les pratiques de gestion des risques, les mesures techniques et organisationnelles, les plans de réponse aux incidents et de reprise d’activité, la formation des employés, les mises à jour et les correctifs fréquents.
- Obligation de signaler les incidents dans des délais précis : la directive NIS 2 exige des entreprises qu’elles signalent les incidents de cyber-sécurité significatifs, c’est-à-dire ceux qui sont susceptibles de nuire à la fourniture des services de l’entreprise. Les entreprises doivent fournir un rapport d’« alerte précoce », en utilisant un format standardisé et un délai de rapport raccourci à 24 heures, suivi d’une notification d’incident dans les 72 heures suivant la prise de connaissance de l’incident, ainsi que d’un rapport final dans les 30 jours.
- Mise en œuvre par le biais de sanctions : la directive NIS 2 impose des sanctions plus sévères en cas de non-conformité, y compris des sanctions financières accrues.
La directive NIS 2 a élargi le champ d’application de la directive initiale de 7 à 18 secteurs. La version précédente de la directive NIS identifiait les soins de santé, les transports, l’infrastructure numérique, l’approvisionnement en eau, les banques, l’infrastructure des marchés financiers et l’énergie comme des secteurs essentiels. La directive NIS 2 ajoute les fournisseurs de services numériques, la gestion des déchets, le secteur pharmaceutique et les laboratoires, l’espace et l’administration publique à la catégorie des secteurs « essentiels ». La directive NIS 2 ajoute également une catégorie de secteurs « importants », comprenant les fournisseurs de communications publiques, le secteur de la chimie, les producteurs et distributeurs de produits alimentaires, les fabricants de dispositifs critiques, les réseaux sociaux et les places de marché en ligne, ainsi que les services de messagerie.
Les entités essentielles doivent se conformer aux exigences de supervision, tandis que les entités importantes ne seront soumises qu’à une supervision ex post. La supervision ex post signifie que des mesures de contrôle ne seront prises que si les autorités reçoivent des preuves de non-conformité.
L’article 21 de la directive NIS 2 stipule que « Les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d’information que ces entités utilisent pour leurs opérations ou la fourniture de leurs services et pour prévenir ou réduire au minimum l’impact des incidents sur les destinataires de leurs services et sur d’autres services ». L’article 21 vise à protéger les réseaux et les systèmes d’information ainsi que l’environnement physique de ces systèmes contre les incidents et comprend au moins les éléments suivants :
(a) les politiques en matière d’analyse des risques et de sécurité des systèmes d’information ;
(b) le traitement des incidents ;
(c) la continuité des activités, telle que la gestion des sauvegardes, la reprise après sinistre et la gestion de crise ;
(d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services ;
(e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
(f) les politiques et les procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cyber-sécurité ;
(g) les pratiques de base en matière de cyberhygiène et une formation à la cyber-sécurité ;
(h) les politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
(i) la sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs ;
(j) l’utilisation de solutions d’authentification multifacteur ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d’urgence sécurisés au sein de l’entité, le cas échéant.
L’article 23 de la directive NIS 2 exige que tout incident de cyber-sécurité significatif « ...ayant un impact significatif sur la fourniture de leurs services... » soit signalé, que l’attaque ait ou non réellement affecté les opérations de l’entité. Le changement le plus important concernant les rapports d’incidents est la façon dont la directive NIS 2 détaille le processus obligatoire de rapport d’incidents en plusieurs étapes et le contenu qui doit être inclus.
Alerte précoce :
Dans les 24 heures. Un rapport initial doit être soumis à l’autorité compétente ou au CSIRT nationalement compétent dans les 24 heures suivant un incident de cyber-sécurité. Le rapport initial devrait fournir une alerte rapide en cas d’impact transfrontalier ou de malveillance. Cette première notification vise à limiter la propagation potentielle d’une cybermenace.
Notification de suivi de l’incident :
Dans les 72 heures. Un rapport de notification plus détaillé doit être communiqué dans les 72 heures. Il doit contenir une évaluation de l’incident, y compris sa gravité, son impact et les indicateurs de compromission. L’entité concernée doit également signaler l’incident aux autorités chargées de l’application de la loi s’il s’agit d’un acte criminel.
Rapport final : dans un délai d’un mois.
Un rapport final doit être présenté dans un délai d’un mois après la notification initiale ou le premier rapport. Ce rapport final doit comprendre :
- Une description détaillée de l’incident.
- La gravité et les conséquences.
- Le type de menace ou de cause susceptible d’avoir conduit à l’incident.
- Toutes les mesures d’atténuation appliquées et en cours.
En outre, en vertu de la directive NIS 2, les entités doivent signaler toute cybermenace majeure qu’elles identifient et qui pourrait donner lieu à un incident significatif. Une menace est considérée comme importante si elle a pour conséquence :
- Des perturbations opérationnelles ou pertes financières significatives pour l’entité concernée.
- Elle peut affecter des personnes physiques ou morales en causant des dommages matériels ou immatériels significatifs.
La non-conformité à la directive NIS 2 est assortie de sanctions plus sévères que celles prévues par la directive NIS. En vertu de la directive NIS 2, les sanctions en cas de non-conformité diffèrent selon qu’il s’agit d’entités essentielles ou d’entités importantes.
- Pour les entités essentielles, les amendes administratives peuvent atteindre 10 000 000 € ou au moins 2 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent de l’entreprise à laquelle appartient l’entité essentielle, le montant le plus élevé étant retenu.
- Pour les entités importantes, les amendes administratives peuvent atteindre 7 000 000 € ou au moins 1,4 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent par l’entreprise à laquelle appartient l’entité importante, le montant le plus élevé étant retenu.
Livre blanc
Directive sur la sécurité des réseaux et des systèmes d’information 2 (NIS 2)
Découvrez comment les entreprises se conforment à la directive NIS 2 grâce à nos solutions complètes de cyber-sécurité et apprenez-en davantage sur les exigences de la directive NIS 2.
Comment Thales contribue à la conformité à la directive NIS 2
Thales et Imperva, une entreprise du groupe Thales, proposent un large portefeuille de produits complémentaires de sécurité des applications, de sécurité des données et de gestion des identités et des accès, afin d’offrir une solution complète qui permet de répondre aux exigences de la directive NIS 2. Nous pouvons aider les entités essentielles et importantes à se conformer à la directive NIS 2 en répondant aux exigences essentielles de gestion des risques liés à la cyber-sécurité au titre de l’article 21 et en aidant les entreprises à produire des rapports complets, précis et opportuns pour répondre aux exigences de l’article 23.
Solutions de conformité à la directive NIS 2
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre suite de produits leader sur le marché comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants, la sécurité des API, un réseau de diffusion de contenu (CDN) sécurisé et l’autoprotection des applications en cours d’exécution (RASP).
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et de leur contexte grâce à des politiques d’accès granulaires, à l’authentification multifacteur et à des dispositifs matériels PKI/FIDO résistants aux attaques par hameçonnage, qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Répondre aux principales exigences de la directive NIS 2
Comment Thales vous aide :
- Découvrez et classez les risques potentiels pour toutes les API publiques, privées et cachées.
- Identifiez les données sensibles structurées et non structurées à risque, sur site et dans le cloud.
- Identifiez l’état actuel de la conformité, documentez les lacunes et fournissez une voie vers une conformité totale.
Solutions :
Sécurité des applications
Sécurité des données
Découverte et classification des données
Comment Thales vous aide :
- Accélérez le traitement des incidents en ouvrant et en mettant à jour automatiquement les tickets ServiceNow.
Comment Thales vous aide :
- Atténuez les attaques DDoS en seulement trois secondes.
- Mettez en œuvre des mesures préventives pour prévoir et éviter les situations de crise.
Comment Thales vous aide :
- Réduisez les risques liés aux tiers en conservant un contrôle sur site sur les clés de chiffrement protégeant les données hébergées dans le cloud.
- Assurez une séparation complète des rôles entre les administrateurs du fournisseur de cloud et votre entreprise et limitez l’accès aux données sensibles.
- Surveillez et signalez les anomalies afin de détecter et d’empêcher les activités indésirables de perturber la chaîne d’approvisionnement.
- Permettez la gestion des relations avec les fournisseurs, les partenaires ou tout utilisateur tiers, avec une délégation claire des droits d’accès.
- Minimisez les privilèges en utilisant une autorisation fine basée sur les relations.
Solutions :
Sécurité des données
Surveillance de l’activité des données
Gestion des droits des utilisateurs
Gestion des identités et des accès
Comment Thales vous aide :
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web, garantissant un fonctionnement sans faille et une tranquillité d’esprit.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- La sécurité centrée sur les données, indépendamment des moyens utilisés, permet à de simples capteurs d’assurer la sécurité et la conformité au sein des environnements de données les plus vastes.
Solutions :
Sécurité des applications
Protection contre les attaques DDoS
Sécurité des données
Comment Thales vous aide :
- Obtenez une visibilité complète sur les activités liées aux données sensibles, suivez les personnes qui y ont accès, auditez leurs actions et documentez-les.
Comment Thales vous aide :
- Chiffrez les données au repos sur site, dans le cloud et dans des environnements de Big Data et de conteneurs.
- Pseudonymisez les informations sensibles dans les bases de données.
- Rationalisez la gestion de clé dans les environnements cloud et sur site.
- Protégez les clés cryptographiques dans un environnement FIPS 140-2 niveau 3.
- Protégez les données en transit grâce à un chiffrement haut débit.
Solutions :
Sécurité des données
Comment Thales vous aide :
- Limitez l’accès des utilisateurs internes et externes aux systèmes et aux données en fonction de leurs rôles et du contexte, à l’aide de politiques.
- Appliquez des mesures de sécurité contextuelles basées sur l’évaluation des risques.
- Prévenez la lassitude liée aux mots de passe grâce à l’authentification unique intelligente avec accès conditionnel.
- Créez un accès sans friction, sécurisé et respectueux de la vie privée pour vos clients.
Solutions :
Gestion des identités et des accès
Gestion des accès du personnel
Gestion des identités et des accès des clients (CIAM)
Sécurité des données
Comment Thales vous aide :
- Permettez une authentification multifacteur (MFA) grâce à la gamme la plus large de méthodes matérielles et logicielles et de formats.
- Concevez et déployez des politiques d’authentification adaptatives en fonction de la sensibilité des données/applications.
- Protégez-vous contre l’hameçonnage et les attaques de l’homme du milieu avec les authentificateurs matériels PKI et FIDO.
Comment Thales vous aide :
- Les dossiers conservés pendant un an sont instantanément accessibles pour des recherches et des enquêtes détaillées. Les données d’audit sont archivées automatiquement mais restent accessibles en quelques secondes pour les requêtes et les rapports.
Ressources associées
