NIS 2 : les nouveaux défis de la conformité cyber
Publié par Alain Clapaud le | Mis à jour le
L'Europe s'est dotée d'une législation particulièrement évoluée en matière de protection des données et de cyber résilience. La transposition prochaine de NIS2 en France devrait remettre un certain nombre de choses au clair sur le volet Cyber.
17 octobre 2024, c'est la date d'entrée en vigueur de NIS2. Pour les Etats membres de l'UE, c'est également la date limite pour transposer la directive européenne dans leur législation nationale. Alors que le texte de loi est en phase d'élaboration active entre l'ANSSI, le gouvernement et diverses associations professionnelles depuis des mois, l'incertitude politique actuelle va bousculer un timing déjà très serré et, à terme, placer la France en infraction.
Quels que soient les aléas politiques, les entreprises doivent se préparer à une entrée en vigueur prochaine de ce texte. NIS2 est, d'une certaine façon, l'aboutissement du travail réglementaire mené par l'Europe pour sécuriser le continent depuis plusieurs années.
NIS 2 va représenter un sérieux pas en avant en termes de résilience pour des milliers d'entreprises françaises, alors que la directive NIS 1, votée en 2016 et transposée en France en 2018 ne concernait qu'environ 300 Opérateurs de Services Essentiels (OSE) et FSN (fournisseur de service numérique).
NIS 2 : un Big Bang réglementaire pour le vieux continent
Le 14 décembre 2022, l'Europe adoptait le règlement NIS 2, mais aussi la directive Dora sur la résilience opérationnelle numérique du secteur financier et le CER (Résilience des Entités Critiques). Dora concerne pas moins de 22 000 entités du secteur financier en Europe, autant dire que l'impact de ces textes va être massif.
Lors de la conférence CyberSécuExpo, François Coupez, Avocat à la Cour et fondateur du cabinet Level Up Legal soulignait « Si vous n'êtes pas concerné par NIS2, attention au ruissellement, comme cela s'est passé avec le RGPD. Si un de vos grands clients est visé par la réglementation, il peut demander à ce vous soyez vous-même au niveau requis par la réglementation. Un grand nombre de prestataires qui ne seront pas concernés directement par la loi seront impactés, ne serait-ce qu'au niveau contractuel, par les exigences de leurs clients. »
Pour résumer, le texte NIS2 se compose de 3 piliers : d'une part des cadres coordonnés au sein de chaque Etat membre, une coopération et des échanges d'information via le réseau des CSIRT mis en place pour NIS 1 et le réseau européen cyberEU-CyCLONe. Enfin, le troisième pilier porte sur le management des risques et les obligations de reporting des entités assujetties.
La directive compte une cinquantaine d'articles, et la grande majorité de ceux-ci sont consacrés à ces structures européennes. C'est l'article 21 qui est le plus important pour les entreprises et les organisations publiques, car il liste l'ensemble des mesures techniques et organisationnelles qu'il faut mettre en place pour se conformer au texte. Il ne s'agit que de thèmes assez généraux, mais les transpositions nationales viendront les détailler.
Jonathan Fussner, Chief Corporate Development Officer chez Systancia pointe l'importance de cet article. « L'article 21 et tout ce qui en découle est charnière par rapport à la mise en conformité avec NIS2. Les 10 mesures qui sont mentionnées peuvent être classées en 4 grands domaines : il y a d'une part un volet gouvernance. NIS2 évoque la gestion de risque, la sensibilisation du personnel, la mise en place de plans de réaction aux incidents et si ceux-ci sont testés. D'autres mesures sont liées au volet défense et à la façon dont on va traiter les incidents, comment sont aussi gérées les vulnérabilités et comment celles-ci sont partagées entre les organisations. »
La troisième catégorie de mesures porte sur la notion de résilience, l'organisation à adopter et comment poursuivre son activité en cas d'attaque. La directive va contraindre toutes les entreprises concernées par le texte à se doter de plans de sauvegarde et de reprise d'activité. Enfin, le dernier volet porte sur la protection, notamment avec des mesures liées à la protection des accès et la chaîne d'approvisionnement, donc tous ceux qui ont accès au système d'information. « La directive évoque le chiffrement, la cryptographie, le contrôle d'accès à la fois physique et logique » explique Jonathan Fussner. « Dans le monde industriel notamment, on sait que la notion d'accès physique est encore très présente. Il faut gérer ces accès physiques et logiques, gérer l'authentification des personnes. » Le texte évoque explicitement l'authentification multifacteur et d'authentification continue.
Pour le cabinet anglo-saxon Clifford Chance, la mise en conformité avec NIS 2 représenterait un surcoût de 12 % du budget informatique pour les entreprises déjà en conformité avec NIS 1 et de +22 % par rapport aux entreprises qui n'étaient pas soumises à NIS 1. L'enveloppe peut sembler énorme, mais la facture sera très différente selon qu'il s'agit d'une grande entreprise dont la cybersécurité est déjà fortement structurée et largement équipée, ou d'une PME qui ne part de presque rien...
Pour les entreprises déjà soumises à la LPM ( Loi de Programmation Militaire) ou qui ont mené une certification ISO 27001, de nombreux éléments sont déjà en place. L'analyse de risque, la mise en place d'une politique de sécurité, le cloisonnement, la gestion des droits d'accès, énormément de mesures dans NIS2 sont déjà inclues dans ces grands référentiels de sécurité et dans les bonnes pratiques poussées par l'ANSSI depuis des années.
L'incertitude porte désormais sur la transposition de la directive en droit français et la tentation de surtransposition à laquelle cède souvent le législateur français.
L'incertitude perdure sur le contenu du texte... et son futur
Pour l'instant, l'incertitude politique laisse présager du retard quant à la transposition du texte européen en droit français. Une préversion du texte de loi, baptisée « Résilience » a circulé cet été, mais la version finale du texte de loi n'a pas été dévoilée. L'ANSSI a voulu se montrer rassurante et a assuré qu'il n'y aurait pas une surtransposition de la directive NIS 2 dans le droit français comme ce fut le cas avec NIS, comme le rappelait François Coupez lors de la conférence CyberSécuExpo : « La surtransposition est une grande spécialité française et la surtransposition de NIS 1 au niveau des secteurs d'activité était caricaturale. Car si NIS 2 prévoit un nombre de secteurs d'activité supérieur à NIS 1, la transposition française de NIS 1 compte déjà plus d'entités que n'en prévoit NIS 2 ! »
Le texte de loi promet d'être dense puisque la directive est passée de 27 à 46 articles et de 75 considérants (explications) à 144. Un point positif, c'est que cette transposition devrait être l'occasion de remettre les dispositifs en vigueur à plat et quelque peu simplifier la problématique de la conformité Cyber. Le RGPD n'est pas concerné, mais les régimes existants mis en place par le RGS (Référentiel Général de Sécurité), la LPM et NIS 1 devraient être harmonisés.
La situation politique actuelle vient quelque peu bousculer ce mécanisme d'horlogerie réglementaire, car nul ne sait si le texte de loi pourra être présenté à la rentrée et encore moins si celui-ci sera voté par une majorité... La date butoir du 17 octobre semble bien difficile à respecter. Quel que soit le sort de la loi au parlement, pour les entreprises, cette date n'est pas véritablement une échéance critique. Vincent Strubel directeur général de l'ANSSI, s'attache depuis quelques mois à répéter que la mise en application du texte sera progressive et que les sanctions ne tomberont pas dès le 18 octobre... Dont acte.
Pour l'heure, la France va très probablement rater l'échéance du 17 octobre, mais étant donnée l'instabilité politique en France, on imagine mal la Commission Européenne engager une procédure d'infraction et saisir la Cour de justice de l'Union européenne (CJUE) avant plusieurs mois.
François Coupez souligne : « La transposition finira par se faire, à mon avis fin 2024/début 2025, mais en attendant, il ne se passera rien de tangible. D'ici là, les entreprises peuvent commencer à se préparer sur la base des 42 mesures d'hygiène de l'ANSSI ou d'une certification ISO 27001. » L'avocat souligne que si NIS2 accapare l'attention des médias, DORA n'a pas besoin de transposition et va s'appliquer dès le mois de janvier. « Même si DORA est cantonné à la sphère financière large, ses effets se feront à mon avis sentir plus globalement et peut-être plus rapidement que des obligations réglementaires françaises issues de NIS2. La redescente en pluie fine des obligations aux prestataires sera du niveau de ce que l'on a connu avec le RGPD à l'époque. »
Enfin, au niveau européen, les législations qui ont déjà transposé la directive pourraient bien donner le "la" au sein de groupes internationaux. Ainsi, le référentiel de conformité ad hoc optionnel déjà mis en place par la Belgique pourrait bien être repris par au moins deux autres pays européens...
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Masterclass Silicon : Directive NIS2 : transformez la cybersécurité de votre entreprise
RSSI, responsable cyber, manager IT ... participez à ce webinar le 7 novembre 2024
Au coeur de cette matinée :
> Comprendre les enjeux de la directive NIS2
Analyse juridique de cette nouvelle réglementation européenne
> Retex : comment le RSSI doit aborder la mise en oeuvre de NIS 2
Retour d'expérience avec un RSSI
>> Inscrivez vous maintenant et rendez-vous le 7 novembre sur Silicon