La directive et sa transposition nationale entreront en vigueur le 18 octobre 2024. Elle met l’accent sur la gestion des risques, le partage d’informations sur les incidents de sécurité, et la coopération entre les États membres pour améliorer la sécurité globale des infrastructures numériques en Europe. Les obligations vont toucher des milliers d’organisations désignées comme critiques dans des secteurs prioritaires. Ces secteurs couvrent 18 types d’activité tel que l’énergie, les transports, les infrastructures bancaires, les infrastructures des marchés financiers, l’eau potable, les soins de santé, la recherche, l’administration publique, les infrastructures numériques …
La logique du texte et ce qu’il faut retenir :
Responsabilité personnelle des dirigeants : l’article 20 insiste sur la nécessité pour les membres de direction des entités concernées par la directive de prendre leurs responsabilités au sérieux, en s’impliquant activement dans la gestion des risques et en assurant une supervision rigoureuse de sa mise en œuvre. Leur responsabilité est directement engagée en cas de manquement.
Renforcement des mesures de sécurité : les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et systèmes d’information.
Obligation de sécuriser l’information tout au long de la chaine d’approvisionnement : les entités concernées deviennent responsables contractuellement du respect des normes de sécurité de leurs fournisseurs et sous-traitants.
Gestion des incidents de sécurité : les entités doivent mettre en place des procédures pour détecter, signaler et répondre aux incidents de sécurité.
Notification des incidents : les entités sont tenues de notifier les incidents de sécurité aux autorités compétentes (ANSSI) dans les meilleurs délais, et au plus tard dans les 24 heures suivant leur découverte.
Évaluation des risques et plans de sécurité : les entités doivent réaliser régulièrement des évaluations des risques et élaborer des plans de sécurité pour traiter les risques identifiés.
Formation et sensibilisation : les entités sont encouragées à mettre en œuvre des programmes de formation et de sensibilisation pour leur personnel afin de renforcer la culture de la sécurité au sein de l’organisation.
Liste des mesures de sécurité indiquées dans la directive NIS 2
1. Les politiques relatives à l’analyse des risques et à la sécurité des SI
2. La gestion des incidents
3. La continuité des activités (sauvegardes, PRA, gestion de crise)
4. La sécurité de la chaîne d’approvisionnement (fournisseurs/prestataires)
5. La sécurité de l’acquisition, du développement, de la maintenance du SI
6. des politiques et procédures (et outils associées) pour évaluer l’efficacité des mesures de gestion des risques
7. Les pratiques de base (cyberhygiène et formation à la cybersécurité)
8. Des politiques et des procédures relatives à l’utilisation de la cryptographie
9. La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
10. L’utilisation de solution d’authentification à plusieurs facteurs ou d’authentification continue
Commentaire :
La liste présentée ici semble de prime abord confuse, rappelons qu’elle est issue de négociations impliquant des juristes de 27 pays différents. Néanmoins, pour les experts en cybersécurité, elle s’insère dans une logique structurée.
En effet, cette liste s’appuie sur plusieurs principes fondamentaux :
– Identification des actifs à protéger : il est essentiel de déterminer précisément quels sont les éléments à défendre afin d’établir une stratégie de protection optimale.
– Évaluation des risques : il est nécessaire d’appréhender l’étendue et la probabilité des menaces pour mieux les anticiper et les gérer de manière efficace.
– Mise en place d’une gestion des risques proportionnée : les dispositifs de défense techniques et organisationnelles instaurés doivent être proportionnels au niveau de risques identifiés.
– Contrôle et optimisation des processus : un suivi permanent des processus de sécurité et une constante sont indispensables.
Ce qui ressort de cette liste, car relativement nouveau ce sont :
– Le renforcement des relations avec les prestataires : il devient essentiel de s’assurer de leur conformité aux normes de sécurité, des engagements spécifiques de cybersécurité (clauses, certifications) sont à prévoir dans les contrats.
– Une gestion de notification des incidents auprès de l’autorité de contrôle : cette démarche contribue à une protection collective, bénéfique à l’ensemble des acteurs concernés, en facilitant l’identification rapide des menaces et en permettant d’alerter les entreprises.
– Une responsabilité cumulée des dirigeants : les responsables d’entreprises sont impliqués dans la gestion de la cybersécurité, et peuvent être personnellement sanctionnés en cas de défaillance.