Cybersécurité : êtes-vous concerné par les futures obligations de la directive NIS 2

Théo Janvier

Cybersécurité : êtes-vous concerné par les futures obligations de la directive NIS 2 Contrairement aux idées reçues, NIS 2 ne se limitera pas aux grandes entreprises. A quelques mois de sa transposition dans le droit français, mieux vaut se préparer.

NIS 2, pour Network and Information Security, est une directive dédiée à la cybersécurité des acteurs économiques importants issue d'un travail conjoint entre le Parlement européen et le Conseil européen. Sa transposition dans le droit français est prévue pour octobre 2024, avec dans la foulée un calendrier de mise en application qui reste à déterminer. NIS 2 est l'héritière de NIS 1 mais est plus englobante, explique Pascal Antonini, associé chez TNP Consultants et vice-président de l'Isaca Afait : "Avec NIS 2, c'est l'ensemble du système d'information de l'entreprise qui doit être protégé, toutes division confondue. Sous NIS 1, uniquement les systèmes contrôlant des fonctions critiques de la société étaient concernés." En plus de cibler l'ensemble des systèmes d'information, NIS 2 va réglementer un plus grand nombre d'acteurs économiques.

Pour NIS 1, sortie en 2018, le nombre d'entreprises concernées n'avait pas été dévoilé pour des raisons de sécurité. Selon certains experts, leur nombre s'élèverait à une centaine. Avec NIS 2, ce nombre va grandement augmenter, assure Yves Wattel, vice president southern Europe de Delinea : "La directive NIS 2 est fondamentalement axée sur les moyennes et grandes entreprises ainsi que sur l'importance d'une cybersécurité renforcée pour les infrastructures et les services essentiels. NIS 2 crée deux nouvelles typologies d'entreprises : les entités essentielles (EE) et les entités importantes (EI), remplaçant ainsi la classification des OSE (opérateurs de services essentiels, ndlr). Les entreprises qui tombent dans la catégorie des entités essentielles feront l'objet d'audits, d'inspections sur site et d'une supervision hors site. Elles devront également fournir des stratégies de cybersécurité documentées, un accès aux données, documents et informations, ainsi que des preuves de la mise en œuvre desdites stratégies."

En plus de cibler des entreprises autrefois non concernées, NIS 2 rajoute un grand nombre de secteurs, rappelle Sébastien Lelarge, solutions engineering manager chez SailPoint : "Au total, 18 nouveaux secteurs d'activité seront régulés en plus des 19 de NIS 1. On estime le nombre d'entités qui seront soumises à NIS 2 de 10 à 30 fois supérieur au nombre de celles qui étaient impactées par NIS 1." La liste de ces nouveaux secteurs régulés comprend :

  • Administration publique
  • Alimentation
  • Chimie
  • Eaux usées
  • Espace
  • ESN liée à une entité devant se conformer à NIS 2
  • Fabrication
  • Fournisseurs de DNS
  • Fournisseurs numériques (dont les marketplaces , moteurs de recherche, services de réseaux sociaux)
  • Gestion des déchets
  • Infrastructures numériques des administrations publiques et de l'espace
  • Pharmaceutique
  • Prestataire de service opérant pour des sociétés devant se plier aux exigences NIS 2
  • Réseaux de communications électroniques publics
  • Recherche
  • Services postaux et d'expédition
  • Sociétés gérant les registres de noms de domaines TLD
  • Transport

Pour savoir si votre entreprise est concernée, voici ce que vous devez retenir. Si votre société a plus de 50 employés, réalise un chiffre d'affaires supérieur à 10 millions d'euros et travaille dans un des secteurs que nous avons cités, alors vous êtes concerné par NIS 2.

Si vous êtes bel et bien concerné, une dernière question se pose : êtes-vous classé comme essentiel ou simplement comme important ? Pour le savoir, voici la question à se poser : si ma société est paralysée par une cyberattaque, cela aura-t-il un grave impact sur l'économie et le bon fonctionnement de la France ? Si la réponse est oui, alors vous êtes "essentiel". Pour certaines entreprises, la réponse est déjà connue. Si vous êtes déjà classé comme OSE  par l'Etat, vous entrerez automatiquement dans la catégorie essentielle de NIS 2.

Je suis concerné, que faire ?

Pas de panique, NIS 2 ne sera pas intégré à la législation française avant octobre 2024 et les sanctions liées au non-respect de la réglementation ne tomberont que vers fin 2025, cet élément étant lié au cheminement législatif . Vous avez encore du temps devant vous.

Pour commencer, une question simple se pose en tant que chef d'entreprise. Si je n'ai pas de partenaire assurant ma cybersécurité, dois-je en trouver un ? Voici ce que répond Sébastien Lelarge : "Cela n'est pas une obligation mais c'est fortement recommandé. En fonction de la maturité de l'entreprise sur les sujets cybersécurité, de la taille des équipes et des technologies utilisées, le fait d'avoir recours à un Cybersecurity Service Provider peut être une option intéressante pour la garantie d'une bonne maîtrise du risque cyber." Les offres B2B en termes de cybersécurité étant importantes, vous n'aurez aucun mal à trouver une solution satisfaisante correspondant à vos besoins.

Et voici venir la question épineuse du budget. L'amélioration voire l'installation de logiciels de cybersécurité coutera-t-elle cher ? Sur ce sujet, voici ce que nous dit Yves Wattel : "Il est difficile de faire une estimation précise, car tout dépend du niveau d'investissement en TIC que l'entreprise a réalisé jusqu'à présent. Selon l'analyse d'impact réalisée par la Commission européenne, l'augmentation moyenne des dépenses de sécurité informatique irait de 12% pour les secteurs déjà couverts par la première directive NIS à 22% pour les secteurs ajoutés par NIS 2 et conduirait à un bénéfice proportionnel de ces investissements et, dans certains cas, dépasserait considérablement les coûts des violations de données."

Il s'agirait donc d'efforts supportables et gagnants sur le long terme. De plus, les entreprises peuvent demander une aide financière de l'Etat. En effet, l'Agence nationale de la sécurité des systèmes d'information a un budget dédié à l'aide aux entreprises souhaitant augmenter leur protection cyber et ne pouvant pas le faire de manière autonome d'un point de vue financier. Sur la période 2021-2022, l'enveloppe d'aide disponible était de 136 millions d'euros.

Vous voilà fin prêt pour relever le défi de NIS 2. Petit rappel pour les chefs d'entreprise, il ne faut pas voir NIS 2 comme un boulet administratif, estime Pascal Antonini : "NIS 2 permet d'améliorer la protection de sa société, ce n'est pas une sanction, c'est comme un médicament qui a mauvais goût, mais qui vous fait du bien. La réglementation veut améliorer la protection des acteurs économiques de l'UE et de la France."

Pour les plus récalcitrants, le législateur a prévu une amende administrative salée. Celle-ci se montera à un minimum de 10 millions d'euros ou à 2% du CA pour les entités essentielles et à un minimum de 7 millions d'euros ou 1,4% du CA pour les entités importantes. Pour finir, si votre entreprise est piratée et que vous n'avez pas appliqué NIS 2, vous vous exposez à des poursuites judiciaires car votre responsabilité de chef d'entreprise pourra être engagée sous NIS 2.