Mémo CERTitude

Sécurité numérique, Information, Réglementation, Méthode, Entités importantes, Entités essentielles, Règles de sécurité, Résilience, Certification, NIS, Europe, Gouvernance, Détection, Réaction, Cyberattaque, Incident, Gestion de crise, Standards, Notification, Contrôle, Cartographie

NIS 2
Objectifs Règles de sécurité Ressources

Objectifs

La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 dite SRI 2 ou NIS 2 établit des mesures pour obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer le fonctionnement du marché intérieur.

Pour cela, elle fixe notamment :

• des obligations qui imposent aux États membres d’adopter des stratégies nationales en matière de cybersécurité,
  de désigner ou de mettre en place des autorités compétentes, des autorités chargées de la gestion des cybercrises, des points de contact uniques en matière de cybersécurité et des Computer Security Incident Response Team (CSIRT)
• des mesures de gestion des risques en matière de cybersécurité et des obligations d’information pour certaines entités
• des règles et des obligations pour le partage d’informations en matière de cybersécurité
• les obligations des États membres en matière de supervision et d’exécution.

La directive NIS 2 :

• abroge la directive NIS 1
• étend le champ des entités concernées (le nombre de 15000 entités a été évoqué en France)
• introduit la notion d'entités essentielles et d'entités importantes
• renforce le régime de sanction. Les sanctions prévues sont effectives, proportionnées et dissuasives.
• doit être transposée en droit français avant le 17 octobre 2024.

Important :
Bien que NIS 2 constitue l'évolution de NIS 1, elle change de philosophie. Les entités concernées par la directive dépendent en effet de leur secteur d'activité, de leur taille et chiffre d'affaire et non plus de l'impact qu'un incident de sécurité numérique produit sur le service qu'elles fournissent.

Règles de sécurité

La directive prévoit que les mesures de sécurité comprennent au moins :

• les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
• la gestion des incidents
• la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises
• la sécurité de la chaîne d’approvisionnement
• la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
• des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
• les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité
• des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement
• la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
• l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins

Important :
Afin de démontrer la conformité à certaines mesures de sécurité citées précédement, les États membres peuvent prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC particuliers qui, mis au point par l’entité essentielle ou importante ou acquis auprès de tiers, sont certifiés dans le cadre de schémas européens de certification de cybersécurité.
En outre, les États membres encouragent les entités essentielles et importantes à utiliser des services de confiance qualifiés.
La directive précise également qu'afin de favoriser la mise en œuvre convergente des mesures de sécurité citées précédement, les États membres encouragent, sans imposer l’utilisation d’un type particulier de technologies ni créer de discrimination en faveur d’un tel type particulier de technologies, le recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information.

Ressources

• La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022.
• Le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019.
• Les travaux de la commission spéciale du Sénat.

Février 2025

Les Mémos CERTitude NUMERIQUE abordent en quelques mots des thèmes de la sécurité numérique.
Ils ne remplacent en aucune manière les textes réglementaires, guides et référentiels publiés par les autorités nationales et européennes.
N’hésitez pas à faire part de vos commentaires en nous contactant.