Conformité à la directive NIS 2 : ce qu'exige la directive européenne sur la cybersécurité et comment s'y préparer

La directive NIS2, deuxième directive de l'Union européenne relative à la sécurité des réseaux et de l'information, est entrée en vigueur le 17 octobre 2024, date butoir à laquelle les États membres devaient l'avoir transposée dans leur législation nationale. Elle a remplacé la directive NIS initiale de 2016, avec un champ d'application nettement plus large, un ensemble d'obligations de sécurité plus contraignantes et un régime de mise en œuvre suffisamment strict pour faire de la non-conformité un risque financier relevant de la responsabilité du conseil d'administration, plutôt qu'une simple question de gestion informatique.

Les implications opérationnelles sont encore en cours d'analyse dans toute l'Union européenne. La transposition par les États membres s'est déroulée selon des calendriers et des niveaux de rigueur variables, et l'ensemble des entités « essentielles » et « importantes » est nettement plus vaste que dans le cadre de la directive NIS 1. Pour les entreprises opérant dans l'Union européenne ou y vendant leurs produits, la directive NIS 2 n'est pas une question d'avenir. Il s'agit d'une obligation légale actuelle, et les dispositions relatives à la chaîne d'approvisionnement étendent son champ d'application bien au-delà des entités directement désignées.

Ce guide se concentre sur les aspects opérationnels de la conformité à la directive NIS2. Il aborde les exigences concrètes de la directive, les entités concernées, le fonctionnement pratique des délais de notification des incidents, ainsi que la manière dont les équipes informatiques et les prestataires de services gérés (MSP) peuvent mettre en place un programme de conformité solide. Pour une approche plus globale de la gouvernance au niveau du conseil d'administration, y compris la responsabilité personnelle des dirigeants, consultez l'article « Que vous soyez basé dans l'UE ou non, la directive NIS2 est une préoccupation au niveau du conseil d'administration ».

Qu'est-ce que la NIS2 ?

La directive NIS2 (directive UE 2022/2555) est la nouvelle version de la directive européenne sur la cybersécurité, publiée en décembre 2022 et dont la transposition en droit national par les États membres doit être effective au plus tard le 17 octobre 2024. Elle remplace la directive NIS initiale (2016) et se caractérise par un champ d'application élargi, des exigences plus contraignantes et des mesures d'application nettement plus strictes.

L'objectif de la directive est clair. Il s'agit de renforcer le niveau de base de la cybersécurité dans toute l'Union européenne, de veiller à ce que les services essentiels puissent résister aux cyberincidents et s'en remettre, et d'instaurer une responsabilité au niveau de la direction, plutôt que de considérer la cybersécurité comme une simple question technique.

Le passage de la directive NIS 1 à la directive NIS 2 marque un tournant important. La directive NIS 1 ne couvrait qu’un ensemble restreint de services essentiels (énergie, transports, eau, santé, infrastructures numériques). La NIS2 s'étend à 18 secteurs, notamment l'industrie manufacturière, l'agroalimentaire, l'industrie chimique, les services postaux, l'administration publique et les fournisseurs de services numériques, et elle englobe un ensemble beaucoup plus large d'entités au sein de chaque secteur. Les lois nationales de transposition peuvent aller au-delà des exigences minimales de la directive, ce qui signifie que le cadre de conformité précis pour une entreprise donnée dépend de l'État membre dans lequel elle opère ainsi que de la directive elle-même.

À qui s'applique la directive NIS 2 ?

La directive NIS 2 classe les entités concernées en deux catégories en fonction de leur importance stratégique, chacune faisant l'objet d'un niveau de surveillance différent.

Les entités essentielles sont des organisations opérant dans des secteurs hautement critiques. Énergie (électricité, pétrole, gaz, chauffage urbain, hydrogène), transports (aériens, ferroviaires, maritimes, routiers), secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (points d'échange Internet, DNS, registres de TLD, fournisseurs de services cloud, centres de données, CDN, prestataires de services de confiance), gestion des services TIC (managed services services de sécurité gérés), administration publique et secteur spatial.

Les entités importantes sont des organisations issues d'autres secteurs critiques. Il s'agit notamment des services postaux et de messagerie, de la gestion des déchets, de la fabrication de produits essentiels (produits chimiques, produits pharmaceutiques, dispositifs médicaux, ordinateurs, appareils électroniques, véhicules), de la production et de la distribution alimentaires, des fournisseurs de services numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux) et des organismes de recherche.

Les seuils de taille sont importants. La directive NIS 2 s'applique généralement aux entreprises de taille moyenne (50 salariés ou plus, ou un chiffre d'affaires annuel d'au moins 10 millions d'euros) et aux grandes entreprises des secteurs concernés. Les micro-entreprises et les petites entreprises en sont généralement exclues, sauf lorsqu'elles fournissent des services spécifiques à haut niveau de criticité, pour lesquels leur taille ne constitue pas un facteur d'exclusion.

Les MSP sont explicitement concernés. La directive NIS2 désigne les « fournisseurs de managed serviceset les « fournisseurs de services de sécurité gérés » comme des entités de gestion des services TIC relevant de son champ d’application, reconnaissant ainsi le risque lié à la chaîne d’approvisionnement que représente la compromission d’un MSP pour les clients qu’il dessert. L'exposition de la chaîne d'approvisionnement s'étend également dans l'autre sens. Même une organisation qui n'appartient pas elle-même à un secteur concerné peut être soumise à des obligations indirectes au titre de la NIS2 par le biais de clauses contractuelles de répercussion si elle fournit des services ou des produits à des entités relevant du champ d'application.

Ce qu'exige la directive NIS 2 : les dix mesures fondamentales

L'article 21 de la directive NIS 2 impose aux entités concernées de mettre en œuvre des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » pour gérer les risques liés à la cybersécurité. La directive identifie dix domaines minimaux que ces mesures doivent couvrir :

1. Analyse des risques et politiques de sécurité de l'information. Processus de gestion des risques et politiques de sécurité documentés, régulièrement revus et mis à jour.

2. Gestion des incidents. Des processus documentés de détection, d'intervention et de reprise, avec des rôles et des procédures de communication clairement définis.

3. Continuité des activités. Gestion des sauvegardes, reprise après sinistre et capacité de gestion de crise, c'est-à-dire la capacité à maintenir ou à rétablir rapidement les fonctions essentielles après un incident.

4. Sécurité de la chaîne d'approvisionnement. Évaluation et gestion des risques de sécurité liés aux fournisseurs et aux prestataires de services, y compris les exigences de sécurité stipulées dans les contrats avec les fournisseurs. Il s'agit de la clause qui régit explicitement les relations avec les MSP.

5. Sécurité dans le cadre de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information. Pratiques de développement sécurisées, gestion des vulnérabilités et tests de sécurité.

6. Politiques et procédures visant à évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité. Vérifier si les contrôles mis en place fonctionnent réellement. Audits, tests et indicateurs de performance.

7. Pratiques de sécurité informatique et formation. Sensibilisation et formation du personnel à tous les niveaux, et pas seulement du service informatique.

8. Politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement. Chiffrement des données en transit et au repos lorsque leur caractère sensible l'exige.

9. Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs. Vérification des antécédents, principe du moindre privilège et inventaire complet des actifs.

10. Authentification multifactorielle, authentification continue et communications sécurisées. Authentification multifactorielle (MFA) sur les systèmes et comptes critiques, ainsi que des canaux vocaux, vidéo et textuels sécurisés.

Ces dix domaines constituent des exigences minimales, et non un plafond. L'expression «appropriées et proportionnées» figurant à l'article 21 signifie qu'une entité concernée doit traiter tout risque significatif en matière de cybersécurité, même s'il ne correspond pas strictement à l'une des dix catégories. Les lois nationales de transposition précisent parfois ce point de manière plus contraignante que la directive elle-même.

Déclaration des incidents : la règle des 24 heures

Sur le plan opérationnel, l’obligation de signalement des incidents est sans doute l’aspect de la directive NIS 2 qui risque le plus de prendre les organisations au dépourvu. Les délais sont échelonnés et très serrés.

Tout incident majeur, défini comme un incident ayant un impact significatif sur la prestation de services, doit faire l'objet d'un signalement en trois étapes. Dans les 24 heures suivant la prise de connaissance de l'incident, l'entité concernée doit envoyer une alerte précoce au CSIRT (Computer Security Incident Response Team) national compétent ou à l'autorité compétente. Il s'agit d'une notification initiale. Elle ne nécessite pas d'enquête approfondie, mais exige que l'entité ait connaissance de l'incident et dispose d'un processus permettant de transmettre l'alerte précoce suffisamment rapidement pour respecter le délai.

Dans un délai de 72 heures, l'entité doit envoyer une notification d'incident plus détaillée précisant la nature, la gravité et l'impact estimé de l'incident, ainsi que tout indicateur initial de compromission ou toute information disponible sur la cause profonde.

Dans un délai d'un mois, un rapport final doit être remis, contenant une description détaillée de l'incident, de sa cause profonde, des mesures prises et de toute répercussion transfrontalière.

L'obligation d'alerte précoce dans les 24 heures est ce qui va à l'encontre de la réalité opérationnelle des organisations ne disposant pas d'une surveillance 24 heures sur 24, 7 jours sur 7. Examinons ce qu'exige réellement cette règle. Une attaque par ransomware qui débute à 3 h du matin un samedi est détectée et évaluée à 9 h le lundi, à la réouverture des bureaux. À 9 h le lundi, le délai d'alerte précoce a déjà dépassé les 30 heures, l'entité a déjà 6 heures de retard sur l'échéance. La règle des 24 heures est, en effet, une exigence de surveillance continue imposée par une échéance réglementaire plutôt que par des dispositions de contrôle. Les organisations qui s'appuient sur une détection limitée aux heures de bureau, ou sur un acheminement des alertes pouvant rester en attente toute la nuit, ne pourront pas s'y conformer de manière fiable.

Application et sanctions

Le régime de mise en œuvre de la directive NIS 2 est nettement plus strict que celui de la directive NIS 1, cette différence étant particulièrement manifeste dans trois domaines.

Le montant des sanctions financières varie en fonction du type d'entité. Les entités « essentielles » s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entités « importantes » s'exposent à des amendes pouvant atteindre 7 millions d'euros ou 1,4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Étant donné que le plafond est calculé sur la base du chiffre d'affaires mondial et non du chiffre d'affaires réalisé dans l'UE, une multinationale ayant une faible présence dans l'UE peut tout de même se voir infliger une amende substantielle.

Les dirigeants peuvent être tenus personnellement responsables. Les États membres peuvent interdire temporairement à certaines personnes d'exercer des fonctions de direction s'il s'avère qu'elles ont manqué à leurs obligations au titre de la directive NIS 2 par négligence grave. Il s'agit là d'un changement significatif par rapport à la conception de la cybersécurité comme un simple problème informatique, mais les implications détaillées en matière de gouvernance sont abordées dans l'article complémentaire intitulé « Pourquoi la directive NIS 2 relève de la responsabilité du conseil d'administration ».

Les pouvoirs de surveillance sont étendus. Les autorités nationales compétentes peuvent mener des audits, demander des informations et des pièces justificatives, émettre des avertissements formels et exiger la mise en place de mesures correctives spécifiques en matière de sécurité. Les entités essentielles font l'objet d'un contrôle proactif à intervalles réguliers. Les entités importantes sont généralement soumises à une surveillance réactive, en réponse à des incidents ou à des indices de non-conformité.

Comment la directive NIS2 s'articule avec le RGPD, la norme ISO 27001 et la directive DORA

La directive NIS 2 ne s'inscrit pas dans un contexte isolé. Elle recoupe d'autres cadres réglementaires et normatifs auxquels les organisations opérant dans l'UE se conforment souvent déjà.

RGPD

La directive NIS 2 et le RGPD s'appliquent toutes deux aux organisations qui traitent des données à caractère personnel dans l'UE, et traitent toutes deux de la gestion des incidents et de la sécurité organisationnelle. Le délai de 24 heures prévu par la NIS2 pour l’alerte précoce est plus strict que le délai de 72 heures prévu par le RGPD pour la notification des violations de données, et lorsqu’un incident concerne à la fois des données à caractère personnel et une perturbation d’un service couvert, les deux délais s’appliquent en parallèle. La coordination entre le délégué à la protection des données et le responsable de la réponse aux incidents est essentielle, car un même événement doit être signalé à deux autorités de contrôle différentes selon deux calendriers distincts.

ISO 27001

La norme ISO 27001 s'aligne étroitement sur la directive NIS2 en matière de gestion des risques, de gestion des incidents et de continuité des activités. La certification ne garantit pas automatiquement la conformité à la directive NIS2, notamment en ce qui concerne les exigences sectorielles spécifiques et le délai de notification de 24 heures, mais elle offre une base solide sur laquelle s'appuyer. Les organisations déjà certifiées peuvent généralement mettre en correspondance la plupart de leurs contrôles SMSI existants avec les dix mesures de la directive NIS2, en documentant les écarts pour ce qui reste.

DORA

Les entités du secteur financier peuvent être soumises à la fois à la directive NIS 2 et à la loi sur la résilience opérationnelle numérique (DORA). La DORA impose des exigences supplémentaires en matière de gestion des risques liés aux TIC, spécifiques aux services financiers, et lorsque les deux réglementations s'appliquent, les contrôles doivent être conçus de manière à satisfaire aux exigences des deux régimes sans duplication des efforts. Considérer la DORA et la directive NIS 2 comme des programmes de conformité distincts s'appuyant sur les mêmes contrôles constitue une erreur courante de mise en œuvre.

Se préparer à la mise en conformité avec la directive NIS2 : une approche pratique

Le travail se décompose en cinq étapes.

1. Déterminer le champ d'application et le contexte propre à chaque État membre. Vérifier si l'organisation appartient à un secteur concerné, si elle respecte le seuil de taille requis et quelle est la législation de transposition de l'État membre applicable. Pour les prestataires de services de gestion (MSP) qui travaillent avec des clients concernés, identifier les contrats clients qui incluent déjà ou impliquent des obligations découlant de la directive NIS2.

2. Réalisez une analyse des lacunes par rapport aux dix mesures. Mettez en correspondance les contrôles actuels avec chacun des dix domaines visés par l'article 21. Signalez les lacunes importantes, notamment en ce qui concerne la capacité de détection des incidents 24 heures sur 24, l'évaluation de la sécurité de la chaîne d'approvisionnement et la couverture par les accords de partenariat multilatéraux (MFA) pour les comptes critiques. Ce sont les trois domaines dans lesquels la plupart des organisations présentent des lacunes.

3. Comblez d'abord les lacunes présentant le plus grand risque. La capacité de détection et de notification des incidents constitue généralement la lacune la plus urgente sur le plan opérationnel. Le déploiement de l'authentification multifactorielle (MFA) sur tous les comptes administratifs et à forte valeur ajoutée est la mesure de contrôle la plus rapide à mettre en œuvre compte tenu de l'ampleur de la réduction des risques qu'elle permet. L'évaluation de la chaîne d'approvisionnement peut s'avérer plus longue, mais ne doit pas pour autant être reléguée au second plan : pour de nombreuses organisations, le principal risque en matière de conformité à la directive NIS2 réside dans les fournisseurs qu'elles n'ont pas encore examinés.

4. Impliquer officiellement la direction. Les dispositions de la directive NIS2 relatives à la responsabilité individuelle impliquent que la direction ne peut pas déléguer cette tâche au service informatique et considérer que le sujet est réglé. Informez le conseil d'administration des obligations découlant de la directive, consignez la discussion par écrit et obtenez une validation formelle du programme de gestion des risques. La preuve de l'implication de la direction, consignée par écrit, fait elle-même partie des éléments attestant de la conformité.

5. Consignez et justifiez vos actions en permanence. La conformité à la norme NIS2 doit être démontrée, elle ne va pas de soi. Les évaluations des risques, les politiques de sécurité, les guides d'intervention en cas d'incident, les registres de formation, les évaluations de sécurité des fournisseurs et les preuves de déploiement de l'authentification multifactorielle doivent tous être consignés et tenus à jour. La piste d'audit est tout aussi importante que les contrôles eux-mêmes.

Compliance Manager GRC l'évaluation des écarts par rapport à la directive NIS 2 et la gestion continue de la conformité pour l'ensemble des dix mesures prévues à l'article 21, parallèlement aux autres référentiels auxquels une organisation est susceptible de se conformer (RGPD, ISO 27001, CIS Controls, normes sectorielles). Découvrez Compliance Manager GRC pour la gestion opérationnelle d'un programme NIS 2 couvrant simultanément plusieurs référentiels.

NIS 2 et prestataires de services de réseau : champ d'application, chaîne d'approvisionnement et répercussion des obligations contractuelles

Pour les MSP, la directive NIS 2 impose des obligations à deux niveaux.

Le premier aspect est clair. Managed services les services de sécurité gérés sont classés parmi les catégories de gestion des services TIC au titre de la directive NIS2. Un fournisseur de services gérés (MSP) d’une taille significative opérant dans l’UE ou fournissant des services à celle-ci est lui-même considéré comme une entité essentielle ou importante, selon son profil, et est soumis aux mêmes dix obligations ainsi qu’à la même exigence de notification dans les 24 heures que ses clients.

La deuxième approche est indirecte et passe par la clause relative à la chaîne d'approvisionnement. Chaque client concerné du MSP a l'obligation réglementaire d'évaluer et de gérer les risques de cybersécurité que représentent ses fournisseurs. Dans la pratique, cette obligation se traduit par des questionnaires de sécurité, des demandes de justificatifs, des droits d'audit inscrits dans les contrats et des attestations obligatoires. Les MSP qui travaillent avec des clients concernés doivent s'attendre à une augmentation significative des contrôles de sécurité des fournisseurs menés à l'initiative des clients et s'y préparer.

L'opportunité commerciale va de pair avec l'obligation. Les clients qui doivent prouver la sécurité de leur chaîne d'approvisionnement, la mise en place de l'authentification multifactorielle (MFA) et leur capacité de réaction aux incidents dans l'ensemble de leurs environnements ont besoin d'un fournisseur pour ces services. Les MSP capables de démontrer leur propre conformité à la directive NIS2 et de proposer managed services sur le cadre des dix mesures sont bien placés pour répondre à cette demande. Compliance Manager GRC, associé aux capacités de sécurité et de documentation Kaseya 365 au sens large, offre aux MSP l'infrastructure multi-locataires nécessaire pour fournir des services conformes à la directive NIS2 sans avoir à mettre en place une pratique de conformité spécifique pour chaque client.

La mise en conformité avec la directive NIS2 n’est pas un projet ponctuel. La directive est désormais en vigueur, les autorités nationales de régulation s’emploient activement à recenser les entités concernées, et le délai de 24 heures pour la notification court, que l’organisation ait mis en place les moyens de s’y conformer ou non. Les organisations qui sortiront indemnes de la première vague de mesures coercitives sont celles qui ont considéré la NIS2 comme un changement permanent de leur modèle opérationnel plutôt que comme une course effrénée à la conformité temporaire. Celles qui ne l'auront pas fait découvriront, lors des réunions d'information des régulateurs plutôt que lors d'audits internes, exactement sur laquelle des dix mesures elles ont failli.