La directive NIS2 élargit le champ d’application de NIS1, passant de la seule cybersécurité technique à la résilience à l’échelle de l’entreprise. Elle exige des organisations qu’elles maintiennent les services essentiels en cas de menace, se rétablissent rapidement après les incidents et protègent la stabilité de la chaîne d’approvisionnement.

Avec NIS2, si vos systèmes échouent, ce ne sont pas seulement les consommateurs qui sont en danger – les dirigeants peuvent désormais faire face à des sanctions personnelles. L’application étant effective dans tous les États membres à partir d’octobre 2024, vous devez vous préparer dès maintenant pour vous assurer d’être conforme.

Ce que NIS2 exige de votre organisation

NIS2 révise le cadre original de NIS1 et couvre désormais de nouvelles industries, les catégorise et place des attentes spécifiques sur ces industries. Des secteurs qui n’avaient peut-être jamais eu à penser à la réglementation en matière de cybersécurité – comme les services alimentaires ou postaux – font maintenant l’objet du même examen minutieux que les banques et les hôpitaux.

NIS2 renforce également l’application, augmente les sanctions et place une responsabilité directe sur les dirigeants par rapport à NIS1. Cela signifie que, si vous opérez dans l’UE, la non-conformité pourrait coûter de l’argent et de la crédibilité à votre organisation, tout en mettant personnellement en danger vos équipes de direction. Ces implications pointent vers une vérité : sous NIS2, tout le monde est responsable de la résilience.

Qu’est-ce qui a changé de NIS1 à NIS2 ?

Le changement le plus important dans NIS2 est que les conseils d’administration et les dirigeants sont désormais personnellement responsables de la conformité. Ils ne peuvent plus simplement déléguer la responsabilité, ce qui oblige les conseils d’administration à superviser plus étroitement la gestion des risques et la gouvernance.

NIS2 élargit également la couverture des secteurs réglementés et distingue entre les entités essentielles et importantes, désignant des domaines d’intérêt pour les deux. La conformité est définie par 10 mesures minimales de gestion des risques, ainsi que par des délais de déclaration pour assurer la divulgation.

Dans l’ensemble, l’objectif est d’élever la cybersécurité et la résilience opérationnelle au niveau du conseil d’administration. Le non-respect comporte des risques graves, notamment la responsabilité personnelle, la révocation du poste et des sanctions. La conformité proactive ne permet pas seulement d’éviter les pénalités ; elle protège également la direction et renforce l’ensemble de l’organisation.

Principales caractéristiques introduites par NIS2

NIS2 introduit plusieurs mandats par rapport à NIS1 que les organisations doivent aborder immédiatement :

Domaine NIS1 NIS2
Champ d’application Opérateurs de services essentiels limités et certains fournisseurs de services numériques S’étend aux industries critiques, y compris la fabrication, l’alimentation, les produits chimiques, les services postaux, la recherche, l’espace et l’administration publique
Classification des entités Aucune « Essentielles » (Annexe I) et « Importantes » (Annexe II)
Gouvernance et Responsabilité Déléguée Les conseils d’administration et les dirigeants sont tenus responsables ; une non-conformité persistante peut nécessiter des changements de direction
Signalement des incidents Vaguement défini Notification initiale dans les 24 heures, un rapport détaillé après 72 heures et un rapport final après un mois
Gestion des risques Directives minimales 10 mesures de risque spécifiques
Sanctions Variées Amendes à l’échelle de l’UE, instructions contraignantes, divulgation publique et responsabilité des dirigeants

Classification détaillée des entités

  • Essentielles (Annexe I) : Eaux usées, administration publique, espace
  • Importantes (Annexe II) : Services postaux et de messagerie, gestion des déchets (distincte des eaux usées), production chimique, production alimentaire, fabrication, fournisseurs de services numériques, recherche

Les entités essentielles soutiennent l’infrastructure sociétale critique. Le non-respect pourrait entraîner des perturbations des services dont dépendent les consommateurs. Les entités importantes peuvent ne pas être aussi critiques pour la société, mais des défaillances peuvent encore causer des dommages financiers et de réputation importants.

Selon NIS2, les entités essentielles ont des exigences de supervision, tandis que les entités importantes sont soumises à une supervision rétroactive, ce qui signifie que des mesures seront prises si elles ne sont pas conformes. Les États membres peuvent déterminer ce qui constitue une « supervision » à partir d’une série d’options décrites dans la directive.

Les amendes et les sanctions sont également plus élevées pour les entités essentielles comparativement. Les entités essentielles font face à des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou au moins 2 % du chiffre d’affaires annuel mondial total de l’entreprise au cours de l’exercice précédent, selon le montant le plus élevé. Les entités importantes non conformes font face à des amendes administratives pouvant aller jusqu’à 7 millions d’euros ou au moins 1,4 % du chiffre d’affaires annuel mondial total de l’entreprise, selon le montant le plus élevé. Avec ces sanctions plus sévères et une vision stricte de la responsabilité personnelle des dirigeants, NIS2 vise à augmenter les enjeux de la non-conformité.

Qui doit se conformer à NIS2 ?

Les secteurs nouvellement réglementés – et les dirigeants qui les supervisent – sont désormais dans le champ d’application de NIS2. Cette directive ne concerne pas seulement la couverture, elle concerne qui sera tenu responsable des perturbations. Pour votre organisation, la responsabilité NIS2 s’étend au-delà de l’informatique et implique :

  • La gestion de la continuité des activités (BCM) : Maintenir les services essentiels en fonctionnement
  • La résilience opérationnelle : Coordonner la reprise entre les unités commerciales
  • La gouvernance, le risque et la conformité (GRC) : Assurer le respect des protocoles de surveillance et de gouvernance
  • La cybersécurité : Se défendre contre les menaces et soutenir le signalement des incidents

Avec cette responsabilité partagée, la coordination interfonctionnelle est essentielle pour maintenir les services en fonctionnement et atténuer les risques de perturbation. Un manque de collaboration peut entraîner des risques de non-conformité tels que la divulgation publique ou même des changements obligatoires de direction.

Les 10 exigences de conformité essentielles de NIS2

NIS2 exige 10 mesures minimales de gestion des risques que votre organisation doit mettre en pratique. Ces mesures sont la base ; les régulateurs s’attendront à des preuves, et les dirigeants seront tenus responsables si elles ne sont pas respectées :

1. Analyse des risques et sécurité des systèmes d’information

Attente : Identifier les vulnérabilités et mettre en place des contrôles de protection.
Les lacunes dans ce domaine sont la cause principale de la plupart des échecs de conformité, et on demandera aux conseils d’administration pourquoi elles ont été négligées.

2. Gestion des incidents

Attente : Répondre efficacement pour réduire l’impact opérationnel et financier.
Les délais sont serrés sous NIS2, et un processus d’incident faible risque de manquer les échéances.

3. Mesures de continuité des activités

Attente : Maintenir les services essentiels pendant les perturbations.
Si votre plan échoue sous pression, les services essentiels pourraient être interrompus.

4. Sécurité de la chaîne d’approvisionnement

Attente : Prévenir les perturbations ou les violations liées aux fournisseurs.
Un fournisseur faible peut mettre toute votre organisation hors conformité. Les régulateurs n’accepteront pas « notre fournisseur a échoué » comme excuse.

5. Sécurité dans l’acquisition, le développement et la maintenance des systèmes, y compris la gestion et la divulgation des vulnérabilités

Attente : Sécuriser les systèmes dès le départ pour réduire les risques.
Si la sécurité est ajoutée trop tard, les vulnérabilités se multiplient, vous rendant responsable de faiblesses évitables.

6. Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques de cybersécurité

Attente : S’assurer que les contrôles de risque restent efficaces au fil du temps.
Des contrôles obsolètes ne satisferont pas les régulateurs. Les conseils d’administration doivent montrer des preuves que les protections sont testées et toujours efficaces.

7. Hygiène informatique de base et formations

Attente : Équiper les employés pour prévenir les violations et les erreurs.
La plupart des violations sont dues à des erreurs simples. Une formation inadéquate peut exposer votre organisation à des sanctions pour négligence.

8. Politiques sur l’utilisation appropriée de la cryptographie et du chiffrement

Attente : Protéger les données sensibles et les communications.
Une cryptographie faible peut exposer les données des clients, déclenchant des amendes et des exigences de divulgation publique qui nuisent directement à la crédibilité.

9. Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs :

Attente : Limiter l’exposition aux menaces internes et externes.
Un mauvais contrôle d’accès est l’une des façons les plus rapides d’échouer aux audits de conformité.

10. Utilisation de l’authentification multifactorielle, de la communication vocale/vidéo/texte sécurisée et de la communication d’urgence sécurisée

Attente : Appliquer un accès fort et assurer la communication pendant les crises.
Une authentification faible ou des canaux de communication défaillants peuvent paralyser la réponse à la crise.

Selon les directives, ces mesures doivent être mises en œuvre proportionnellement au risque, à la taille, au coût et à l’impact des incidents. En vertu de la directive, l’UE peut également effectuer des évaluations des risques des services, systèmes ou chaînes d’approvisionnement critiques, imposer des obligations de certification et adopter des exigences techniques relatives à ces mesures.

Ces 10 mesures doivent être considérées comme le plancher, et non le plafond, de la résilience. Les régulateurs s’attendront à ce que vous les démontriez dans la pratique et tiendront les dirigeants personnellement responsables si l’une d’entre elles est négligée.

Obstacles courants à la conformité NIS2

De nombreuses organisations peuvent rencontrer ces problèmes en essayant de se conformer à NIS2 :

  • Absence de propriété désignée entre les équipes de gouvernance, opérationnelles et informatiques
    • Piège : Tout le monde suppose que « quelqu’un d’autre » est responsable de la conformité. Les délais de reporting peuvent glisser car aucune équipe ne se sent vraiment responsable.
    • Comment l’éviter : Désignez un seul responsable exécutif avec une autorité transversale, puis suivez les responsabilités de toutes les équipes en toute transparence.
  • Stratégies de cybersécurité et de résilience opérationnelle mal alignées
    • Piège : Les équipes de cybersécurité se concentrent étroitement sur les défenses techniques tandis que les équipes de continuité des activités se concentrent sur la reprise, laissant un écart entre les deux. Cette déconnexion apparaît lorsqu’un incident se produit et que les plans de reprise ne correspondent pas à la menace réelle.
    • Comment l’éviter : Traitez la résilience et la cybersécurité comme un processus continu, et non comme des silos séparés. Effectuez des exercices de simulation conjoints pour que les plans ne s’effondrent pas sous la pression.
  • Conformité disjointe entre les sites et les équipes
    • Piège : Les grandes organisations peuvent laisser les sites régionaux interpréter NIS2 différemment. Certains sur-respectent, d’autres sous-respectent, créant des rapports incohérents et des lacunes d’audit.
    • Comment l’éviter : Centralisez les politiques de conformité, puis adaptez-les localement si nécessaire. Utilisez des tableaux de bord logiciels pour maintenir une source unique de vérité.
  • Délais de reporting et de documentation manqués
    • Piège : Les équipes se précipitent après un incident car les voies d’escalade ne sont pas claires. Les rapports sont envoyés en retard ou incomplets, déclenchant des pénalités réglementaires.
    • Comment l’éviter : Prédéfinissez les protocoles d’escalade et automatisez la collecte de preuves. Entraînez-vous au cycle de reporting de 24/72 heures à l’avance, pour qu’il ne faille pas au moment crucial.
  • Fournisseurs non surveillés
    • Piège : Les entreprises supposent que les fournisseurs ont des contrôles adéquats mais ne vérifient pas. Lorsqu’une violation chez un fournisseur se produit, les régulateurs vous tiendront pour responsable.
    • Comment l’éviter : Intégrez des examens des risques des fournisseurs dans les contrats et exigez des preuves de conformité. Surveillez vos fournisseurs en continu, pas seulement annuellement.

La plupart des échecs de NIS2 ne se produisent pas parce que les organisations ignorent les règles. Ils se produisent à cause de petites lacunes dans la propriété, le timing ou la surveillance des fournisseurs. La différence entre la conformité et un échec coûteux se résume souvent à savoir si ces lacunes sont comblées à l’avance.

Comment se préparer à la conformité NIS2

Pour être prêtes, les organisations devraient :

  • Effectuer une analyse des écarts pour identifier les faiblesses par rapport aux 10 mesures NIS2.
  • Établir une collaboration entre les équipes BCM, GRC et de cybersécurité.
  • Renforcer la surveillance des fournisseurs et de la chaîne d’approvisionnement pour prévenir les perturbations externes.
  • Définir des protocoles de gouvernance et d’escalade pour des décisions opportunes et conformes.
  • Intégrer la résilience dans la planification des activités avec des tests réguliers et des audits de continuité.

Les organisations qui prennent ces mesures dès maintenant sont mieux positionnées pour éviter les retards de reporting et les interruptions de service. Plus tôt vous commencez, plus vous avez de temps pour combler les lacunes, et moins vous risquez d’être pris au dépourvu lorsque les régulateurs exigeront des preuves.

Comment le logiciel de gestion des risques simplifie la conformité NIS2

Lorsque les équipes se précipitent pour trouver des preuves après un incident, le logiciel automatise toute votre piste de preuves. Votre organisation peut utiliser un logiciel pour combler les lacunes courantes de NIS2 en :

  • Effectuant une analyse des écarts pour identifier les faiblesses par rapport aux 10 mesures NIS2.
  • Centralisant les données : Votre organisation dispose d’une source de vérité unique prête pour l’audit sans feuilles de calcul dispersées ni rapports contradictoires.
  • Automatisant le reporting : Vous pouvez automatiser le flux de travail de reporting de 24/72 heures avec des preuves horodatées, des escalades automatiques et un acheminement des approbations.
  • Liant la responsabilité de la direction aux résultats : Rendez la responsabilité de la direction visible avec des tableaux de bord et des journaux d’actions qui associent les risques aux propriétaires et aux décisions.
  • Suivant la conformité en temps réel : Fournissez des aperçus exécutifs prêts pour l’audit sur demande, afin que le conseil d’administration puisse voir la posture actuelle et les remédiations en suspens.
  • Fournissant une documentation structurée : Capturez des pistes d’audit inviolables, y compris les horodatages, les historiques de versions et les pièces jointes, afin que les audits ne provoquent pas le chaos.

Les flux de travail automatisés peuvent vous aider à remettre aux régulateurs un ensemble de preuves structuré et opportun. En particulier pendant une crise stressante, vous pouvez maintenir une conformité calme plutôt que de vous précipiter pour rassembler des documents et manquer des délais.

NIS2 fixe une barre plus haute pour la résilience avec de nouveaux leviers d’application, comme des délais stricts, des mesures minimales et des pénalités personnelles. Comme NIS2 est déjà en place, il est temps de s’assurer que votre organisation a mis en place une responsabilité assignée, un reporting automatisé des incidents et une surveillance continue.

Avec un logiciel efficace, vous pouvez montrer un aperçu vérifiable de votre posture NIS2 à temps pour votre prochaine réunion du conseil d’administration. Dans l’ensemble, la capacité de votre organisation à montrer des preuves aux régulateurs sur demande – et votre responsabilité personnelle en tant que leader – est ce qui définit le succès sous NIS2.

Pour plus d’informations sur la résilience, lisez notre ebook, Votre guide de la cyber-résilience, et pour en savoir plus sur le renforcement de votre programme de cyber-résilience, consultez le logiciel de gestion de la continuité des activités et le logiciel GRC de Riskonnect.