« We expect to use the carrot mostly, because the stick is already out there: ransomware. » rappelait Timothée Goulain de l’ANSSI lors de la dernière conférence NIS 2 a l’ENISA le 26 janvier dernier. Justement, où en sommes-nous des contraintes posées par la loi ? Que nous réserve la nouvelle mouture de la directive NIS sur la sécurité des réseaux et des systèmes d’information ?
Réponse en 5 points !
1- Une NIS’story
La rédaction d’une nouvelle version de la directive NIS s’inscrit dans un cadre ou de plus en plus d’entreprises dépendent aujourd’hui du cyber espace, et deviennent dès lors des cibles de choix pour des attaques dites « supply chain », ce qui fait augmenter exponentiellement le risque de ransomware.
La directive NIS 2 (Network and Information Systems) succède à NIS1, adoptée en 2016, qui visait alors à renforcer la résilience cyber des pays de l’union européenne.
Le Parlement a adopté la nouvelle directive NIS2 le jeudi 10 novembre 2022 et elle a été publié au journal officiel le 27 décembre 2022 et est entrée en application le 17 janvier 2023. En outre, d’ici le 17 octobre 2024, les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la directive.
2- Vers un nombre d’entités multiplié par 10
Alors que la directive NIS1 avait identifié 19 secteurs d’importance vitale, NIS2 prévoit d’augmenter ce chiffre a 35 secteurs différents en prenant le soin d’y ajouter les acteurs de sous-traitance comme le traitement des eaux usées et des déchets ou encore les collectivités territoriales de plus en plus victimes de cyber attaques, une pensée au conseil régional PACA ou encore aux cousins anglais de la Poste
3- La fin des OSE et l’avènement des EE et EI
Les OSE, ces Opérateur de Service Essentiels, apparu avec NIS1, fin 2018, désignés et audités par l’ANSSI (une version allégée des OIV introduits par la LPM de 2013) vont être séparés en deux entités distinctes.
- Les EE, Entités Essentielles, englobant par exemple les secteurs de l’Energie, bancaire ou numérique.
- Les EI, Entités Importantes, englobant par exemple les secteurs postaux ou ceux de la gestion de déchets.
4- Sanctions financières et pénales
En cas de non-respect des obligations de la nouvelle directive NIS2, les entreprises concernées se verront infliger de lourdes sanctions pénales ou financières pouvant atteindre les 10 millions d’euro ou jusqu’à 2 % du chiffre d’affaires pour les EE, et 1.4 % et 7 Millions pour les EI. De même la responsabilité des dirigeants pourra être mise en cause en cas de violations reconnues des mesures de sécurité.
5- Et maintenant ?
Désormais, les Etats membres vont devoir définir une stratégie de cybersécurité nationale, et proposer « un plan de sensibilisation » des citoyens à la cybersécurité.
De plus, ils auront à charge d’aider et d’accompagner la transformation numérique de ces milliers d’entreprises ainsi que de toutes les collectivités territoriales.
De nombreuses questions sont ouvertes. Les TPE et PME réussiront-elles à trouver le budget pour mettre aux normes leurs SI ?
Cela va-t-il engendrer une création massive d’emploi dans la cybersécurité ? Quelles conséquences sur l’adoption de solutions de cybersécurité type NDR ? Sur ce dernier point, nous avons notre petite idée 😉.
Auteur : Raijin
Article publié le 28 mars 2023
Sources :
- https://www.nis-2-directive.com/
- https://www.systancia.com/cybersecurity-act/
- https://www.enisa.europa.eu/news/supporting-policy-developments-to-achieve-a-high-common-level-of-cybersecurity
- https://atos.net/en/lp/securitydive/the-eu-cyber-resilience-act-brace-for-impact
- https://www.dionach.com/blog/the-new-nis-two-directive/