Avec la directive NIS 1 et NIS 2, l’Union Européenne veut aujourd’hui un cadre sécuritaire quant à la protection cybersécurité de ses états membres. Mais alors, qui est concerné par la directive NIS 2 ?
Directive NIS 2 : Qui est concerné ?
La directive NIS 2 est actuellement en cours de discussion parmi les États membres de l’Union européenne. Cette disposition vise à renforcer la première directive NIS (Network and Information System Security), votée le 6 juillet 2016. Sa transposition dans la loi française a eu lieu en 2018. Il s’agit ici, bien entendu, de cybersécurité. Dans ce cadre, l’élaboration de NIS 2 s’inscrit dans un processus de réévaluation classique. La seconde directive entend étendre les obligations en matière de sécurité à de nouveaux acteurs, face à une cybercriminalité galopante. Dès lors, chaque entreprise ou organisation se doit de vérifier si elle est concernée par cette mesure à venir.
Petit rappel de NIS 1
Les directives NIS ont pour but la protection des systèmes de sécurité. La NIS 1 le déclinait ainsi en quatre objectifs : gouvernance des États en matière de cybersécurité, coopération entre États membres, sécurité des opérateurs de services essentiels (OSE) et sécurité des fournisseurs de services numériques (FSN). Les OSE sont les organisations dont l’activité est essentielle à la vie économique et sociale du pays. Les FSN regroupent les moteurs de recherche, les marketplaces de grande dimension, les opérateurs de stockage en ligne… La NIS fixe à ces opérateurs deux types d’obligations. Tout d’abord, ils doivent mettre en œuvre les moyens techniques, physiques et organisationnels pour assurer la sécurité de leurs réseaux et systèmes d’information. Ensuite, ils doivent notifier aux autorités tout incident de sécurité d’une certaine ampleur.
Quelles nouveautés pour NIS 2 ?
La situation, depuis 2018, n’a cessé d’évoluer. La crise du Covid a notamment mis en lumière la fragilité numérique de certains secteurs. La pandémie a en effet servi de cadre à des attaques informatiques de grande ampleur, visant notamment les structures de santé. De plus, la numérisation rapide de l’économie crée de nouvelles failles de sécurité. Or, toutes les organisations ne sont pas conscientes de ces risques. Dans l’Union, le niveau de protection des entreprises s’avère très hétérogène. La révision de la NIS était donc au programme dès 2020. La présidence française de l’Union, débutée en janvier 2022, a marqué une volonté nouvelle d’avancer dans ce domaine. L’accord européen intervenu en mai 2022 doit aboutir à une nouvelle directive, la NIS 2.
La NIS 2 entend prolonger la NIS 1 en l’améliorant. Il s’agit avant tout de concevoir une politique de cybersécurité européenne efficace. Un véritable « bouclier cyber ». Dans cette optique, le nombre des OSE devrait être considérablement élargi et leurs obligations renforcées. Selon La Tribune, jusqu’à 150 000 entreprises et organismes seraient concernés. Par ailleurs, si jusque là les autorités favorisaient la bienveillance et la pédagogie pour faire appliquer les règles de sécurité fixée, les contrôles devraient être renforcés.
Qui est concerné par NIS 1 & 2 ?
A la question, qui est concerné par la directive NIS 2, il y a d’abord NIS 1. Elle définissait sept secteurs sensibles dont les opérateurs se voyaient qualifiés d’OSE. Avec la NIS 2, ce chiffre s’élève à une quinzaine de secteurs. Santé, banque et services financiers, transport, énergie, eau potable, télécoms, fournisseurs d’accès à internet, datacenters, services des eaux usées et de gestion des déchets, certaines entreprises industrielles (comme les laboratoires pharmaceutiques), alimentation, services postaux, secteur spatial et administrations publiques sont concernés.
Dans chaque secteur, c’est au Premier ministre de définir les organisations considérées comme OSE. Parmi les critères retenus figure bien sûr la taille de l’entreprise. Il s’agit pour l’essentiel de grandes ou moyennes entreprises. Le nombre d’utilisateurs entre également en ligne de compte, ainsi que son importance dans le secteur donné. L’impact qu’aurait un incident cyber grave sur la vie économique et sociale du pays est également déterminant.
Les OSE ainsi désignés se voient prescrire un certain nombre d’obligations légales. Ils doivent nommer un représentant auprès de l’ANSSI et identifier leurs systèmes d’information essentiels (SIE). Elles doivent appliquer à ceux-ci les règles de sécurité imposées par la directive. Elles doivent enfin déclarer tout incident significatif et se soumettre aux contrôles de l’ANSSI ou de ses prestataires qualifiés.
La NIS 2 devrait entrer en vigueur en avril 2024. Ce délai est indispensable au vu de l’ampleur de la tâche. Les OSE vont devoir identifier leurs besoins et faire appel aux spécialistes de la cybersécurité. Cela représente pour certains un investissement non négligeable. Quant aux prestataires de solutions informatiques sécurisées, ils vont devoir faire face à une explosion des demandes. Le marché de la cybersécurité n’en est sans doute qu’à ses balbutiements.
Quelles solutions pour les OSE ?
Comment répondre aux nombreuses obligations qui s’imposent désormais aux OSE ? En matière de sauvegarde, d’accès distant ou encore de partage sécurisé, les entreprises concernées peuvent s’appuyer sur les solutions santé de DropCloud. DropCloud Santé est spécialiste des solutions sécurisées pour le travail en ligne du secteur de la santé et du médical. Le service NeoBe Santé, par exemple, propose un système de sauvegarde en ligne entièrement sécurisé. Le stockage s’effectue sur des serveurs situés en France. Le contenu est accessible à tout moment, la restauration possible 24 h sur 24. WeSend Santé permet l’envoi de fichiers volumineux en toute sécurité. WeDrop Santé est une plateforme de travail collaboratif en ligne limitant les risques de fuite ou d’intrusion. Toutes ces solutions sont certifiées ISO 27001 HDS. Un gage certain de sécurité !