Nis2 Cybersécurité renforcée au sein de l’UE

Nis2, cybersécurité non facultative

Nis, c’est l’acronyme de « Network and Information Security », le doux nom d’une directive de l’Union européenne, la première en matière de cybersécurité, dont l’objectif ambitieux est le renforcement de la cybersécurité des États membres.Nis2 Cybersécurité renforcée au sein de l'UE 1

Petit rappel historique

Un accord provisoire a été annoncé le 13 mai 2022 entre le Conseil européen et le Parlement européen portant sur les mesures contenues dans la directive Nis2. Objectif, mettre à jour et renforcer les exigences juridiques européennes en termes de cybersécurité. L’annonce de la directive Nis2 fait aujourd’hui grand bruit. Le texte doit maintenant être adopté formellement par les deux institutions, le Parlement devant se prononcer en séance plénière dans les prochains mois. Mais si l’on parle aujourd’hui de Nis2, c’est qu’il y a eu d’abord Nis1.

En 2016, la première version de Nis définissait la notion d’OSE ou Opérateur de Services Essentiels et stipulait des exigences de sécurité s’appliquant à ces opérateurs de services essentiels.

La révision en cours de Nis veut répondre au développement croissant des risques sécuritaires, induit par la numérisation croissante des entreprises. Le recours au Cloud et au télétravail accroît en particulier la surface d’exposition aux cyberattaques.

Nis2 étend le champ d’application de Nis à de nouveaux secteurs. La première directive s’appliquait aux secteurs de l’énergie, des transports, de la finance, de la santé, de l’eau potable et des télécoms. Le périmètre est maintenant étendu aux déchets, à la grande distribution alimentaire, aux services postaux ainsi qu’aux fournisseurs de services numériques. Une approche par la gestion des risques est désormais imposée.

Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, la présente directive applique une approche « tous risques » qui inclut la protection des réseaux et des systèmes d’information ainsi que de leur environnement physique contre toute éventualité tels que vol, incendie, inondation, défaillance des télécommunications ou défaillances électriques, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité et aux installations de traitement de l’information de l’entité, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Les mesures de gestion des risques devraient donc également porter sur la sécurité physique et de l’environnement, en incluant des mesures visant à protéger les réseaux et systèmes d’information de l’entité contre les défaillances du système, les erreurs humaines, les actes malveillants ou les phénomènes naturels, conformément aux normes européennes ou internationales reconnues, par exemple celles figurant dans la série ISO 27000.
Extrait de la proposition de directive

Quelles obligations ?

En résumé, il s’agit d’appliquer des Règles de sécurité, notifier les incidents de sécurité aux autorités nationales en charge de la cybersécurité (l’ANSSI en France) et être soumis à des audits de la part de ces autorités.

Pour connaître le détail du dispositif et les règles à appliquer, on peut lire les 150 pages de la proposition, heureusement traduites en français…

Aucune norme particulière ni certification n’est imposée, mais l’application des normes existantes telles celles de la série ISO 27000 est chaudement recommandée.

En l’absence de schémas européens de certification de cybersécurité appropriés adoptés conformément au règlement (UE) 2019/881, les États membres pourraient imposer aux entités, aux fins du respect des exigences en matière de gestion des risques liés à la cybersécurité prévues par la présente directive, d’utiliser des produits, services et processus TIC certifiés ou d’obtenir un certificat au titre des schémas nationaux de cybersécurité disponibles.
Extrait de la proposition de directive

Pour qui ?

Les exigences formulées dans Nis s’appliquent aux OSE (opérateurs de services essentiels). On reconnaît un service essentiel à l’impact significatif qu’aurait son interruption sur le fonctionnement de l’économie ou de la société.

Chaque État en détient une liste secrète (sécurité oblige). Les critères d’appartenance à cette liste, aujourd’hui laissés à la discrétion de chaque État, sont dorénavant précisés dans la directive. La liste des secteurs concernés s’est étendue à de nouveaux domaines et le nombre d’entreprises concernées serait multiplié par 10.

Si les administrations publiques centrales sont bien concernées par l’application de la directive, une certaine liberté est laissée aux États pour l’application aux administrations régionales ou locales.

Comment savoir si vous êtes un OSE ?

La liste des OSE est établie dans chaque pays de l’UE par l’autorité nationale en charge de la cybersécurité. En France, le statut d’OSE est notifié aux entreprises ou administrations concernées par l’ANSSI, suivant un processus précis.

Sur la base de la liste des services essentiels publiée dans le décret, l’ANSSI, en coordination avec les ministères, propose au Premier ministre une liste d’OSE potentiels. Ces opérateurs reçoivent ensuite une lettre d’intention de désignation à laquelle ils peuvent répondre pour exposer les éventuelles réserves quant à l’opportunité de cette désignation dans un délai d’un mois.
À l’issue du contradictoire, les éléments apportés par l’opérateur peuvent montrer que sa désignation n’apparaît pas justifiée. L’intérêt du contradictoire est justement de s’assurer de la pertinence des désignations. In fine, la décision de désignation appartient au Premier ministre.
Extrait de la FAQ ANSSI

Quand ?

Nis est une directive européenne, non un règlement, comme le RGPD. Pour être appliqué, elle doit donc être préalablement transcrite dans le droit de chaque état de l’Union européenne, dans un délai de deux ans. Nis2 ne sera, de ce fait, pas applicable avant 2024.

Le renforcement des mesures de sécurité va imposer à de nombreuses entreprises des investissements supplémentaires. Les réactions ne se sont pas fait attendre, de la part des entreprises et de pays aux moyens limités :

« Nous devons nous rappeler que toutes les entreprises n’ont pas les ressources financières ou les capacités en personnel pour créer des départements spéciaux dédiés à cette question », a déclaré à EURACTIV République tchèque Kateřina Kalužová, responsable de l’économie numérique à la Confédération tchèque de l’industrie et des transports (SPCR).
Cité par Euractiv

Ces surcoûts devraient toutefois être heureusement contrebalancés par la réduction des coûts générés par les incidents de sécurité.


Références

directive-nis-2-de-nouvelles-obligations-cyber-pour-une-liste-de-collectivites-en-pointilles

la-directive-nis-2-adoptée

cybersecurite-la-directive-nis-2-va-forcer-des-milliers-d-entreprises-a-investir-pour-mieux-se-proteger-920905.html

republique-tcheque-la-nouvelle-loi-de-lue-sur-la-cybersecurite-pourrait-se-heurter-a-un-manque-de-moyens

Print Friendly, PDF & Email
Partager cette page
Publié dans Technologie et marqué , .

Webmaster du site -