Linkedin X-twitter Podcast Envelope Phone-alt
AGENDHACK
AGORHACK

La directive NIS2 – Épisode 2

Cette série d'épisodes vient vous donner des clés pour préparer l’arrivée de la réglementation NIS2.
Cyberwings La directive NIS2

Propos liminaires

Cette série vient vous donner des clés pour préparer l’arrivée de la réglementation NIS2. Les objectifs de cette série sont multiples et servent à la fois des intérêts opérationnels et stratégiques :

  1. Vous accompagner afin préparer vos clients à cette évolution réglementaire majeure. Vous serez ainsi en tête de pont et assurerez au mieux votre rôle de conseil auprès de vos clients, grâce à cette capacité d’anticipation.

  2. Vous permettre d’accueillir la multitude de demandes à saisir, suite à l’introduction de NIS2 en droit français : préparer son offre et savoir se distinguer des nouveaux acteurs qui vont casser les prix ; récupérer une part de marché captive des « gros » faiseurs dans le domaine des services de cybersécurité.

  3. Connaître les exigences qui pèseront sur vos propres organisations, voire tenter d’influer sur leur définition afin d’éviter la disqualification et avoir une longueur d’avance sur vos compétiteurs.

Projet de loi et enjeux liés à NIS2

Introduction

Dans la continuité du premier épisode de cette série de communications consacrées à NIS2, notre objectif reste inchangé :

  • faire bénéficier notre écosystème proche de notre veille et analyse,
  • mais surtout de vous accompagner dans la compréhension de ces enjeux et l’amélioration de votre sécurité.

En effet, les changements imposés par NIS2 sont majeurs et afin de pouvoir embarquer avec vous vos directions et collaborateurs, il va falloir expliciter la directive, convaincre de l’importance de s’en emparer sérieusement, rapidement et bien sûr d’en faire un élément à part entière de vos stratégies. Il est plus aisé d’appliquer une norme quand on comprend les enjeux et conséquences directes de cette dernière sur son organisation. L’épisode 2 portera donc sur les évolutions récentes de NIS 2, à savoir la publication d’un projet de loi, les conséquences de la dissolution de l’Assemblée nationale, les enjeux à court et moyen terme pour les organisations.

Rappel : NIS2 quezako ?

NIS2 est la mise à jour d’une précédente directive européenne (NIS 1 – votée en 2016) et qui a pour objectif principal de rassembler toutes les politiques de cybersécurité européennes afin de créer un niveau commun et élevé de sécurité. NIS 2 prend donc la forme d’une directive, c’est-à-dire qu’elle a une vocation obligatoire et que cette dernière doit être transposée en droit français avant octobre 2024.
NIS2 va donc concerner des milliers d’entreprises. On estime une multiplication par 30 des entreprises (EE et EI) qui vont être concernées par cette directive par rapport à la première version de 2016, ce qui fait plus de 10 000 entités concernées.

Quels sont les enjeux à court et moyen termes de cette loi ?

Un enjeu de calendrier

Le dimanche 9 juin dernier, la dissolution de l’Assemblée nationale a eu pour effet « d’annuler » les différentes discussions parlementaires sur les projets de loi en cours, dont NIS 2. En outre, à la vue des résultats des élections législatives, le gouvernement va également devoir changer. Dès lors, les priorités propres au nouveau gouvernement et à la nouvelle Assemblée nationale vont donc elles aussi évoluer. Enfin, il ne faut pas oublier que nous sommes dans la période des Jeux Olympiques et Paralympiques de Paris. Clairement, le projet de loi n’a pas vocation à être étudié dans les prochaines semaines.
Que peut-il donc se passer et quand les organisations sauront-elles dans quelles mesures elles doivent se mettre en conformité ? Deux issues sont envisageables :

  1. Soit le texte est voté en urgence juste avant la deadline (octobre 2024) avec des moyens législatifs singuliers comme le 49.3 ou un vote par la commission uniquement.
  2. Soit le texte est voté après la deadline. Dans ce cas, rappelez-vous notre explication du droit européen dans l’épisode 1 : le droit européen est supérieur au droit français (principe de primauté) et en vertu du principe de l’effet direct, même si le texte n’est pas retransmis en droit français, il s’applique tout de même et les entreprises pourront être sanctionnées.

 

Un enjeu d’assimilation des points de mise en conformité

Les thématiques évoquées dans le texte européen sont toutes reprises dans le projet de loi NIS2 (dont nous parlerons plus en détail plus bas dans cet article.) et principalement à l’article 11.

  • Gouvernance et approche par les risques – art 11
  • Sécurisation de la Supply chain – art 11
  • Supervision et protection des SI – art 3 et 17 à 23
  • Gestion des accès, actifs, et authentification – art 11
  • Obligation de notification des incidents de sécurité – art 13
  • Maintien en conditions opérationnelles – art 11
  • Obligation de formation – art 11
  • Continuité d’activité – art 11

 

Dans tous les cas, il faut tout de même se rassurer car NIS2 reprend 70 à 80 % de la norme ISO 27001, ce qui est un véritable avantage stratégique pour les entreprises ayant déjà entamé un processus de mise en conformité ISO. En outre, bien que le projet de loi ne mentionne pas de délais pour la mise en conformité, le texte européen mentionne la période de 2025. De plus, selon Mme la secrétaire d’État Marina Ferrari, la mise en application du texte (effectivité des sanctions) sera progressive sur 3 ans maximum, avec des contrôles progressifs en fonction du niveau de maturité et de sensibilité. Par ailleurs, pas de sanctions sur la première année pour les entités les moins matures.

Un enjeu d’identification des structures et des sanctions

Deux organisations différentes se chargeront de contrôler et sanctionner les organisations qui viendraient à ne pas respecter NIS2 :

  • L’ANSSI aura pour mission de constater et notifier les manquements
  • La commission des sanctions sera compétente pour prononcer lesdites sanctions. Elle peut prononcer une amende administrative dont le montant ne pourra excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent.

 

Étude du projet de loi et des singularités françaises

Au mois d’avril 2024, un projet de loi de retranscription de la directive NIS 2 a été délivré au grand public. Ce projet reprend dans sa majorité les grandes lignes directrices de la directive européenne. Il faudra cependant attendre en France les décrets d’application pour avoir davantage de détails.
Toutefois, nous avons relevé pour vous les quelques subtilités du texte français :

  1. Le Premier ministre peut désigner une entité exerçant une activité relevant d’un secteur d’activité critique ou hautement critique, quelle que soit sa taille, comme entité essentielle ou comme entité importante, sous réserve de justifier cette désignation au regard de l’un des critères (maturité, sensibilité, criticité, etc.)
  2. « Assurer la protection des réseaux et systèmes d’information, y compris en cas de recours à la sous-traitance ». Cela signifie que votre organisation sera responsable des actions conduites ou non par votre sous-traitant en matière de protection du SI. Dès lors, il sera primordial pour chaque organisation ayant des sous-traitants de vérifier et revoir ses contrats en matière de responsabilité avec les sous-traitants, anticiper et prévoir des moyens de pouvoir attester – en cas de contrôle – de sa bonne foi vis-à-vis du sérieux des sous-traitants engagés (PAS, rapports de pentests et/ou d’audit, choisir des prestataires qualifiés ISO 27001, etc.).
  3. Un des décrets précisant les dispositions de l’article 11 va proposer un référentiel d’exigences techniques et organisationnelles. Ce même référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) 2019/881 du 17 avril 2019. Cela signifie que l’on pourra imposer l’usage de produit répondant au « schéma européen de certification de cybersécurité ». On parle plus communément des « critères communs ».
  4. Aucune aide financière n’est prévue par l’ANSSI pour accompagner les entreprises. Il existe des plateformes en ligne d’accompagnement et des structures avec des experts comme les C-SIRT locaux, mais surtout, pensez à vos prestataires de services information naturels et de confiance.
  5. Il revient aux entités importantes ou essentielles de s’enregistrer elles-mêmes auprès de l’ANSSI. Il faut ainsi communiquer à l’ANSSI ses coordonnées, son ou ses secteur(s) et sous-secteur(s) de rattachement et la liste d’États membres dans lesquels elle fournit des services.

 

En conclusion

Nous restons dans la même logique que celle évoquée dans le précédent épisode. Les organisations qui arriveront à se saisir de l’enjeu NIS 2 avant sa transposition effective pourront bénéficier d’un avantage concurrentiel certain. Alors, à vos Diag… prêts… foncez !

Dans le prochain épisode

Analyse du texte final au regard des enjeux de la rentrée politique.

Partager

Articles récents

Cyberwings Academy
Certifié Qualiopi

— Nous contacter

Financer votre formation
Mentions légales
Politique de confidentialité
RSE
CGV

Tous droits réservés 2024 © Cyberwings Academy

— Conception Agence HULKETTE