NIS 2 : les réponses de Carl Léonard, Responsable de la stratégie cybersécurité EMEA chez Proofpoint
octobre 2024 par Carl Léonard, Responsable de la stratégie cybersécurité EMEA chez Proofpoint
Quelles sont les principales mesures prévues par la directive NIS 2 pour encourager les entreprises à augmenter leurs investissements en cybersécurité ? NIS 2 arrive dans un contexte où les standards en matière de cybersécurité doivent résolument se muscler pour répondre à l’évolution de la menace cyber.
Se préparer à la directive NIS 2 ne consiste pas à voir jusqu’où l’on peut aller sans se faire prendre, mais plutôt à une course dans laquelle les organisations les plus performantes dépassent les exigences minimales et tirent parti de cet effort pour obtenir un avantage concurrentiel.
La directive est claire : la non-conformité entraînera des amendes, des éventuelles suspensions de service et un suivi de mise en conformité pour accompagner les entreprises considérées comme critiques, pour qu’elles réalisent l’ampleur de la menace, leur rôle et donc qu’elles puissent mettre en place les mesures nécessaires.
A ce titre, la directive inclut un référentiel en matière de gestion des risques et de mesures d’atténuation, comprenant la gestion des incidents, la formation du personnel ou encore la responsabilité des dirigeants.
En retour, on peut s’attendre à ce que les organisations soient mieux soutenues grâce à des efforts coordonnés au niveau de l’Union européenne. Cela inclura le partage de renseignements sur les menaces (Threat Intel), un socle commun de cybersécurité renforcé et un état d’esprit de solidarité. Il s’agit là d’une bonne nouvelle pour les organisations qui souhaitent rester efficaces dans un paysage de menaces complexe et pour les citoyens qui bénéficient de leurs services.
Quelles sont les mesures que les entreprises doivent mettre en place pour se conformer à cette nouvelle réglementation ?
La première étape est de vérifier si son organisation entre dans le champ d’application de la directive NIS 2 - Toutes les entreprises ne sont pas concernées, cela dépend du secteur et de la taille notamment.
Les articles 21 et 23 de la directive NIS 2 sont ceux sur lesquels la plupart des organisations vont passer du temps, pour étudier la liste des mesures de gestion des risques et des obligations de reporting requises.
En revanche, il demeure toujours une ambiguïté autour de la mise en application ; les organisations devront composer avec les informations qu’elles possèdent pour mettre en place ces mesures et faire en sorte qu’il n’y ait pas de manquement au risque de compromettre leur conformité et s’exposer au risque d’attaques.
La directive est un minima à atteindre en matière de gestion des incidents, formation, sécurité de la chaîne d’approvisionnement et authentification. Dans l’idéal, elle ne fait office que de “socle” pour inciter les organisations à s’engager dans un parcours de cybersécurité en amélioration continue. Un tel engagement leur permettra de garder une longueur d’avance sur les acteurs de la menace.
Face à la règlementation DORA – qui concerne les banques et leurs fournisseurs de technologies tierces - quelles seront les entreprises désormais concernées par le champ d’application de NIS 2 ? En quoi diffère-t-elle de DORA ?
Évolution majeure par rapport à NIS, NIS 2 concerne davantage d’organisations. Outre l’énergie, les transports, la santé, etc., elle englobe désormais les infrastructures numériques, la gestion des services TIC, l’administration publique et divers sous-secteurs de la chimie, de la gestion des déchets, de l’alimentation et de la recherche.
Il est intéressant de noter que la directive NIS 2 explique que pour le secteur financier, le règlement DORA devrait s’appliquer en premier lieu, puis que les éventuelles lacunes devraient être comblées par la directive NIS 2.
La plupart des entreprises sont habituées à composer avec des multiples réglementations mais l’enjeu principal dans ce cas précis va être de réfléchir à comment instaurer une base de référence reflétant voire dépassant les exigences requises.
Quel sera l’impact exacte de NIS 2 sur ces entreprises ? Quels sont les processus et implications financières à prévoir pour assurer la conformité avec la directive NIS 2 ?
Pour les entreprises, il est encore difficile de savoir si elles ont pris suffisamment de mesures pour être en règle avec la directive.
Beaucoup vont chercher à obtenir des indications sur les attentes précises des autorités afin de prouver quelles “mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées” ont effectivement été implémentées.
Si des réponses devraient arriver d’ici la fin du mois d’octobre 2024, les indications en matière d’éthique et d’orientation sont déjà fixées : les entreprises doivent identifier leurs forces et leurs faiblesses actuelles pour améliorer leur cyber-résilience et leur posture de sécurité pour être en mesure de gérer les risques, assurer la continuité des opérations et minimiser l’impact d’un incident sur les clients.
Quelles sont les sanctions et les mesures punitives prévues dans la boîte à outils de l’UE dans le cadre de NIS 2 ?
Un aspect crucial de la directive NIS 2 qui aura retenu l’attention des dirigeants est l’élargissement des pouvoirs conférés aux autorités compétentes. En cas de non-conformité, ces dernières pourront notamment imposer la suspension temporaire d’un service, écarter un dirigeant de ses fonctions et engager sa responsabilité pour manquement à son obligation d’assurer la sécurité des systèmes d’information.
Par ailleurs, les autorités auront la possibilité d’ordonner la cessation de pratiques défaillantes, de rendre publiques les manquements constatés et d’exiger la mise en œuvre de mesures correctives. Le régime de sanctions prévu par NIS 2, notamment des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial, vise à dissuader les entreprises d’adopter des pratiques de cybersécurité laxistes et à les inciter à privilégier la continuité opérationnelle. Cette menace financière significative s’apparente à une épée de Damoclès pour les secteurs d’importance vitale.
Quel est l’impact pour les entreprises par rapport à d’autres lois telles que le RGPD ou plus récemment, le DMA et le DSA ?
Optimiser la gestion du temps et des ressources financières est une préoccupation centrale pour toute entreprise. Dans ce contexte, il est intéressant de noter que la directive NIS 2 impose aux organisations un délai de notification de 24 heures seulement pour signaler un incident aux autorités compétentes, tandis que le RGPD prévoit un délai de 72 heures.
Cependant, les amendes encourues pour les violations les plus graves du RGPD peuvent aussi atteindre le double de celles prévues par NIS 2, révélant l’impératif absolu de protection lorsqu’il s’agit de données à caractère personnel.