La directive NIS 2 impose de nouvelles obligations de cybersécurité aux entreprises. Découvrez qui est concerné, quelles mesures sont requises et comment la responsabilité des dirigeants est aménagée.
Obligations de cybersécurité pour les entreprises : Ce que la directive NIS 2 exige
Le niveau de menace dans le cyberespace s'intensifie continuellement. Les attaques par rançongiciel, les attaques sur les chaînes d'approvisionnement et les cyberopérations étatiques touchent des entreprises de toutes tailles. Le législateur européen a créé un cadre réglementaire complet avec la directive NIS 2 (UE) 2022/2555, qui renforce considérablement les exigences de cybersécurité pour les entreprises. La transposition nationale par le NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) concerne nettement plus d'entreprises que la réglementation précédente et prévoit des sanctions sévères en cas de manquement.
Qui est concerné par la directive NIS 2 ?
Entités essentielles et entités importantes
La directive NIS 2 distingue les entités essentielles et les entités importantes. Cette catégorisation détermine l'étendue de la supervision et le niveau des amendes potentielles.
Les entités essentielles comprennent notamment :
- Énergie (électricité, gaz, pétrole, chauffage urbain, hydrogène)
- Transports (aérien, ferroviaire, maritime, routier)
- Secteur bancaire et infrastructures des marchés financiers
- Santé
- Eau potable et eaux usées
- Infrastructure numérique (DNS, TLD, cloud, centres de données)
- Administration publique
- Espace
Les entités importantes comprennent notamment :
- Services postaux et de messagerie
- Gestion des déchets
- Chimie et alimentation
- Industrie manufacturière (dispositifs médicaux, machines, véhicules, électronique)
- Services numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
- Recherche
Seuils
L'assujettissement dépend de la taille de l'entreprise et du secteur :
- Entreprises de taille moyenne : À partir de 50 salariés ou à partir de 10 millions d'euros de chiffre d'affaires annuel et de total du bilan
- Grandes entreprises : À partir de 250 salariés ou à partir de 50 millions d'euros de chiffre d'affaires annuel
Certaines entités sont concernées indépendamment de leur taille, notamment les fournisseurs de services DNS, les registres TLD, les services de confiance qualifiés et les opérateurs d'infrastructures critiques.
Obligations de gestion des risques
Exigences minimales de cybersécurité
Les entreprises concernées doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d'information. Les mesures doivent couvrir au minimum les domaines suivants :
- Analyse des risques et politiques de sécurité des systèmes d'information
- Gestion des incidents de sécurité (Incident Response)
- Gestion de la continuité d'activité incluant la gestion des sauvegardes et la restauration
- Sécurité de la chaîne d'approvisionnement et aspects de sécurité dans les relations avec les prestataires
- Sécurité dans l'acquisition, le développement et la maintenance des systèmes informatiques, y compris la gestion des vulnérabilités
- Politiques et procédures d'évaluation de l'efficacité des mesures de sécurité
- Cyber-hygiène et formations en cybersécurité
- Cryptographie et chiffrement
- Sécurité du personnel, contrôle d'accès et gestion des actifs
- Authentification multifacteur et communications sécurisées
Obligations de documentation
Toutes les mesures et leur mise en œuvre doivent être documentées de manière exhaustive. Cela comprend :
- Les analyses de risques et leurs mises à jour régulières
- Les politiques et concepts de sécurité
- Les plans de réponse aux incidents
- Les attestations de formation
- Les résultats des audits et tests d'intrusion
- Les évaluations des fournisseurs en matière de cybersécurité
Obligations de notification des incidents de sécurité
La directive NIS 2 introduit un système de notification par étapes pour les incidents de sécurité significatifs :
Procédure de notification en trois étapes
Alerte précoce dans les 24 heures : Dès la connaissance d'un incident de sécurité significatif, une première notification doit être transmise au BSI (Bundesamt für Sicherheit in der Informationstechnik). Celle-ci doit indiquer si l'incident est vraisemblablement imputable à des actes illicites ou malveillants et si des impacts transfrontaliers sont possibles.
Notification d'incident dans les 72 heures : Une notification actualisée avec une première évaluation de l'incident, incluant la gravité, les impacts et -- le cas échéant -- les indicateurs de compromission.
Rapport final dans un délai d'un mois : Un rapport détaillé décrivant l'incident, la nature de la menace, les contre-mesures prises et les impacts transfrontaliers.
Qu'est-ce qu'un incident de sécurité significatif ?
Un incident de sécurité est considéré comme significatif s'il :
- a causé ou peut causer des perturbations opérationnelles graves ou des pertes financières
- a affecté ou peut affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables
Sécurité de la chaîne d'approvisionnement
Un axe majeur de la directive NIS 2 porte sur la sécurité de la chaîne d'approvisionnement. Les entreprises doivent :
- Prendre en compte les vulnérabilités spécifiques de leurs fournisseurs directs et prestataires de services
- Évaluer la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs
- Conclure des accords contractuels sur les exigences de sécurité avec les fournisseurs
- Réaliser des examens réguliers de la sécurité de la chaîne d'approvisionnement
Cela a des implications considérables sur la rédaction des contrats : les contrats fournisseurs existants doivent être complétés par des clauses de cybersécurité.
Responsabilité des dirigeants
Responsabilité personnelle de la direction
La directive NIS 2 établit une responsabilité personnelle de la direction en matière de respect des obligations de cybersécurité. Les organes de direction doivent :
- Approuver et superviser la mise en œuvre des mesures de gestion des risques
- Participer à des formations en cybersécurité
- Proposer à tous les collaborateurs des formations régulières
En cas de manquement fautif à ces obligations, les gérants et membres du conseil d'administration sont personnellement responsables envers la société. Une renonciation de la société à l'exercice de ses droits à réparation ou une transaction est impossible selon le projet de transposition allemand.
Le BSI en tant qu'autorité de surveillance
Le Bundesamt für Sicherheit in der Informationstechnik (BSI) devient l'autorité de surveillance centrale. Ses pouvoirs comprennent :
- Audits et contrôles (pour les entités essentielles également de manière proactive)
- Injonctions de remédiation des manquements
- Demande de preuves de la mise en œuvre des mesures de sécurité
- Avertissements au public concernant les entités affectées
- Pour les entités essentielles : Désignation d'un commissaire à la surveillance
- Interdiction temporaire d'exercer des fonctions de direction en cas de manquements répétés
Amendes et sanctions
Le cadre des amendes s'inspire du RGPD :
- Entités essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial
- Entités importantes : Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial
Recoupements avec le RGPD
La directive NIS 2 et le RGPD poursuivent des objectifs de protection différents mais se recoupent considérablement en pratique :
- Les mesures techniques et organisationnelles au titre de l'art. 32 RGPD coïncident partiellement avec les exigences NIS 2
- Les obligations de notification en cas de violation de données (72 heures selon le RGPD) complètent les obligations de notification NIS 2
- Une gestion intégrée de la conformité est recommandée pour éviter les doublons
Important : Le respect des exigences NIS 2 ne remplace pas la conformité au RGPD, et inversement. Les deux cadres réglementaires coexistent.
Feuille de route pratique pour la mise en œuvre
Phase 1 : Analyse d'impact (immédiatement)
- Vérifiez si votre entreprise doit être classée comme entité essentielle ou importante
- Identifiez tous les réseaux et systèmes d'information pertinents
- Déterminez les personnes responsables au niveau de la direction
Phase 2 : Analyse des écarts (1 à 3 mois)
- Évaluez l'état actuel de vos mesures de cybersécurité
- Comparez avec les exigences minimales NIS 2
- Identifiez les besoins d'action et priorisez les mesures
Phase 3 : Mise en œuvre (3 à 12 mois)
- Mettez en place un système de management de la sécurité de l'information (SMSI)
- Implémentez les processus de réponse aux incidents et les structures de notification
- Formez la direction et les collaborateurs
- Révisez et complétez les contrats fournisseurs
- Documentez toutes les mesures de manière exhaustive
Phase 4 : Amélioration continue (en continu)
- Audits et tests d'intrusion réguliers
- Mise à jour des analyses de risques
- Adaptation aux nouvelles menaces et évolutions réglementaires
Conclusion
La directive NIS 2 marque un changement de paradigme dans la réglementation de la cybersécurité. Le champ d'application considérablement élargi, la responsabilité personnelle des dirigeants et les amendes sévères rendent une mise en œuvre précoce et structurée indispensable. Les entreprises disposant déjà d'un SMSI fonctionnel ont une longueur d'avance -- mais elles aussi doivent adapter leurs processus aux exigences spécifiques de NIS 2.
compleneo vous accompagne de manière globale dans la mise en œuvre des exigences NIS 2 -- de l'analyse d'impact à la mise en œuvre des mesures techniques et organisationnelles, en passant par la rédaction des contrats avec les fournisseurs. Avec notre équipe interdisciplinaire couvrant la protection des données, le droit du numérique et la conformité, nous veillons à ce que votre entreprise réponde aux nouvelles exigences.
