Directive NIS2 : les tendances de la cybersécurité en Europe

Adoptée en décembre 2022 et effective depuis 2024, la directive européenne NIS2 a pour objectif est de renforcer la résilience des infrastructures numériques en améliorant la prévention, la détection et la réponse aux incidents cyber.

NIS2 est entrée en vigueur dès 2023 mais, en tant que directive, son application concrète dépendait de la transposition dans le droit national par les États membres, qui devait être finalisée avant octobre 2024…

La directive NIS : contexte et évolution

De NIS à NIS2 : un renforcement des obligations adapté à l’évolution du contexte.

La directive NIS de 2016 : une première réponse aux cybermenaces

La première directive NIS, adoptée en 2016, avait posé les bases d’un cadre européen commun pour la cybersécurité en imposant des obligations aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN). Elle visait principalement les secteurs critiques tels que l’énergie, les transports, la santé et les infrastructures financières.

Cependant, plusieurs limites ont été identifiées :

• Une hétérogénéité dans la mise en œuvre entre les États membres, entraînant des niveaux de protection inégaux.
• Une portée trop restreinte, excluant de nombreux secteurs pourtant vulnérables aux cyberattaques.
• Une absence de sanctions harmonisées, rendant difficile l’application des règles.

La directive NIS2 : un cadre plus strict et plus inclusif

Face à ces faiblesses et à l’augmentation exponentielle des cyberattaques, la directive NIS2 a été adoptée pour renforcer et étendre les obligations de cybersécurité. Elle s’appuie sur plusieurs axes majeurs :

• Élargissement du champ d’application : davantage d’entreprises et de secteurs sont concernés.
• Renforcement des exigences en cybersécurité : mesures préventives plus strictes, plans de réponse aux incidents obligatoires.
• Sanctions plus sévères en cas de non-conformité.
• Amélioration de la coopération entre États membres via l’Agence européenne pour la cybersécurité (ENISA).
• Renforcement des stratégies nationales, avec des politiques spécifiques sur la sécurité des chaînes d’approvisionnement, la gestion des vulnérabilités et la formation en cybersécurité.

Qui est concerné par NIS2 ?

NIS2 marque un élargissement du périmètre des entreprises impactées. Contrairement à NIS1, qui ne ciblait que les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN), NIS2 introduit une classification plus large.

La directive ne s’applique pas aux micro-entreprises (moins de 50 employés et CA inférieur à 10 M€), mais concerne directement les PME de taille moyenne et toutes les grandes entreprises des secteurs listés.

Entreprises des secteurs critiques ou « essential entities »

• Énergie (électricité, gaz, pétrole)
• Transports (aérien, maritime, ferroviaire, routier)
• Banques et infrastructures financières
• Santé (hôpitaux, laboratoires pharmaceutiques)
• Fourniture et distribution d’eau potable
• Administration publique
• Fournisseurs de services numériques majeurs

Entreprises des secteurs importants ou « important entities »

• Fournisseurs de services cloud et centres de données
• Fabricants de produits numériques (hardware & software)
• Fournisseurs de services de télécommunication
• Recherche et universités
• Industrie alimentaire et production chimique
• Services postaux et de livraison
• Secteur spatial

Quelles sont les obligations imposées par NIS2 ?

Les obligations sont plus strictes et les sanctions en cas de non conformité plus lourdes.

Mesures obligatoires

Les entités concernées doivent respecter les obligations suivantes :

• Évaluation et gestion des risques : mise en place d’une gouvernance cybersécurité avec des audits réguliers.
• Sécurisation des systèmes IT et OT (Technologies Opérationnelles).
• Gestion des incidents : déclaration obligatoire sous 24 heures aux autorités compétentes. Plan de continuité et de reprise après incident.
• Authentification forte et chiffrement des données.
• Surveillance et détection des menaces cyber.
• Sensibilisation et formation des employés.
• Responsabilité accrue des dirigeants, qui peuvent être tenus responsables en cas de non-conformité.

Des sanctions plus lourdes

En cas de non-conformité, les entreprises risquent des sanctions financières allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Comment une PME peut-elle se mettre en conformité avec NIS2 ?

Les PME concernées par la directive NIS2 doivent adopter une stratégie de cybersécurité en suivant plusieurs étapes.

Évaluer son éligibilité

• Déterminer si l’entreprise appartient aux secteurs critiques ou importants concernés par NIS2.
• Identifier les données sensibles et systèmes à protéger.

Renforcer la gestion des risques

• Réaliser des audits réguliers pour détecter les vulnérabilités.
• Corriger les failles identifiées pour prévenir les cyberattaques.

Mettre en place des mesures de sécurité

• Protéger les systèmes avec des pare-feux, MFA et outils de détection d’intrusion.
• Définir un plan de réponse aux incidents et former le personnel aux bonnes pratiques.

Se conformer aux obligations de reporting

• Mettre en place un processus de notification des incidents en moins de 24 heures.
• Désigner un responsable cybersécurité pour assurer le suivi des obligations NIS2.

Travailler avec des experts en cybersécurité

• Collaborer avec des prestataires spécialisés pour garantir une conformité optimale.
• Utiliser des outils de surveillance et de gestion des menaces.

La directive NIS2 marque un tournant majeur dans la cybersécurité en Europe, imposant des règles plus strictes et un élargissement des obligations. Cette transition forcée offre cependant aux entreprises l’opportunité de renforcer durablement leur cybersécurité.