Rechercher

  1. Orange Cyberdefense
  2. Insights
  3. Blog
  4. NIS 2 : comment préparer sa feuille de route pour se mettre en conformité ? Nos experts répondent à vos questions

NIS 2 : comment préparer sa feuille de route pour se mettre en conformité ? Nos experts répondent à vos questions

Share

Lors de notre dernier webinar, nos experts Gaël Prado, Yann Lonlas, Axel Nardin et Florian Brossard ont établi et partagé la feuille de route idéale pour anticiper votre mise en conformité NIS 2. Ils reviennent pour vous sur les questions restées en suspens après le webinar, du périmètre d'application de NIS 2 aux méthodologies privilégiées pour se mettre en conformité. Un guide précieux pour tous ceux qui sont en quête de clarté face à l’approche de la transposition de NIS 2 dans la législation nationale de chaque État membre de l’Union européenne, fixée au 17 octobre 2024.
Avant de rentrer dans le détail de leurs explications, voici l’essentiel de ce que chacun retient de la directive.

"Ne voyez pas NIS 2 comme une contrainte mais plutôt comme une opportunité," souligne Yann Lonlas, incitant à changer de perspective face à cette directive. "La cybercriminalité n’a jamais été aussi forte, il est essentiel d’anticiper et de se préparer," ajoute-t-il, insistant sur l'urgence d'une préparation proactive.

Florian Brossard met quant à lui en lumière l'aspect évolutif et continu de cette démarche : "La directive NIS 2 est très importante, il y a beaucoup de choses à mettre en œuvre. Ce qu’il faut surtout en retenir, c’est que ce n’est pas un sprint mais un marathon."

Quant à Gaël Prado, il souligne que "la directive NIS 2 ne se limite pas à une simple checklist de conformités. Elle incite à repenser la culture de la sécurité au sein des organisations, plaçant la protection des infrastructures critiques au cœur de leur stratégie." Des propos qui révèlent la nécessité d'un changement de paradigme pour élever le niveau de maturité cyber des organisations à l’échelle européenne et garantir une résilience durable face à l’état de la menace.

"La directive NIS 2 ne doit pas être perçue comme une simple formalité administrative mais comme une opportunité de renforcer la résilience des infrastructures numériques", conclut Axel Nardin. "Pour réussir, les organisations doivent intégrer la cybersécurité dans leur ADN en adoptant une approche agile et en investissant dans des pratiques de gouvernance solides."

Définition

Avons-nous une définition précise de ce qu'est un incident important ?

D’après l’article 23 de de la directive NIS 2, un incident est considéré comme important si :

  • Il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée
  • Il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables

Des précisions seront sûrement apportées par l’ANSSI lors de la transposition française.

Suis-je soumis à NIS 2 ?

Généralités

Qui est concerné par NIS 2 ?

L’Union européenne a mis à disposition en Annexes I et II du texte de la directive NIS 2 une grille des critères permettant de savoir si une entreprise est soumise ou non à cette dernière. On y retrouve des critères basés sur la taille de l'entreprise, son chiffre d'affaires annuel (CA) et son secteur. Voici la grille des critères NIS 2 simplifiée :

Pour être contraint par la réglementation, s'agit-il bien d'un cumul de tous les critères (taille/CA + Secteur) ? Ou la seule condition de taille/CA peut suffire ?

Les entreprises concernées sont soumises lorsqu’elles remplissent les critères la qualifiant d’entreprise de taille moyenne ou grande (majoritairement) ET qu’elles interviennent dans un secteur des annexes du texte européen. Concernant les critères de taille et de CA, il s’agit d’un cumul de ces deux critères.

Existe-t-il un lien de la transposition dans la loi française ?

L’ANSSI est en charge de la réalisation de la transposition de la directive NIS 2 dans le droit français et a jusqu’au 17 octobre 2024 pour le faire. L’agence communiquera sur le texte de la transposition FR de NIS 2 le moment venu.

Vous pouvez d’ores et déjà consulter le texte européen. Les mesures de sécurité minimales attendues sont listées dans l’article 21. En guise de référence, voici le rappel des règles demandées dans le cadre de la transposition de la première directive NIS (2016/1148).

Est-ce que les entreprises de la grande distribution sont concernées ?

Selon la directive européenne NIS 2, sont concernées les entreprises assurant la « Production, transformation et distribution de denrées alimentaires » (annexe 2).

Peut-il y avoir des secteurs actuellement non présents dans la directive européenne mais qui le seront dans la transposition ?

La grille des critères établie dans la directive européenne donne un cadre pour les autorités de contrôle en charge de la réalisation de la transposition dans le droit national. Cela signifie que l’ANSSI est en droit d’ajouter (et non pas de supprimer) certains secteurs qu’elle jugerait pertinents dans son projet de transposition.

Que doit-on prendre en compte pour une holding de plusieurs petites sociétés (8 à 150 personnes) avec un service informatique commun ?

C’est à l’ANSSI de trancher concernant ce point, notamment vis-à-vis des montages juridiques (holding, filiales, GIE, etc.) existants.

Comment savoir si ma société, présente dans plusieurs pays notamment en Europe, pourrait entrer dans le périmètre d'application de NIS 2 dans certains ou tous les pays européens ?

Les règles déterminant si une entité est concernée ou non par NIS2 se veulent uniformes. Il est très probable qu’une entité soit soumise à la directive dans l’ensemble des pays dans lesquels elle est établie.
Selon l’article 26, chaque entité est soumise à la législation du pays dans lequel elle est établie, sauf exception pour les secteurs numériques, télécommunications et administration publique. L’applicabilité dépendra de la nature des établissements implantés dans différents pays.

J'ai regardé les Annexes de NIS 2 pour savoir si mon entreprise est concernée. Je n'ai pas trouvé mon activité. Mais nous avons pour client un acteur étatique sensible.  Avez-vous déjà été confronté à ce cas ?

Si votre activité n’est pas concernée vous ne devriez alors pas être soumis à la directive NIS 2. Le fait d’avoir des clients étatiques sensibles ne vous soumet pas de facto à la directive. En revanche cela n’empêche pas vos clients de vous imposer un certain nombre de mesures de sécurité contractuellement (tirées du référentiel de sécurité de leur choix).

NIS 2 requiert une compliance non seulement de l’entreprise, mais aussi de ses sous-traitants. Si ces derniers sont basés hors UE, NIS 2 s'applique-t-elle ?

La directive NIS 2 impose aux entités concernées d’assurer la sécurité de leur chaîne d’approvisionnement, ce qui laisse supposer qu’elles devront imposer des exigences à leurs prestataires sans précision sur le périmètre géographique. La directive ne s'applique pas directement à vos sous-traitants/partenaires, mais vous impose de vous assurer qu'ils possèdent un niveau de sécurité équivalent (clauses de sécurité contractuelles et contrôles).

Le milieu vini/viticole (alimentaire) d'environ 200 personnes est-il bien concerné ?

Les entités du secteur « denrées alimentaires » sont soumises à la directive NIS 2 lorsque l’activité a un but de fabrication, de production ou de transport. La taille de l’entité étant d’environ 200 personnes, vous serez considéré comme EI (Entité Importante).

Quel est le niveau d'éligibilité des ESN françaises ?

En fonction des services fournis par les ESN, ces dernières pourront ou non être soumises à la directive NIS 2.
Ces dernières pourraient être comprises dans les secteurs « Gestion des services TIC » et « Infrastructure numérique », voir le détail des types d’activité dans la grille ci-dessus.
 

Focus sur le secteur public

Le secteur public (et notamment les communautés urbaines) sera-t-il concerné par la directive NIS 2 ?  

Pour reprendre les termes de la directive européenne, les administrations publiques soumises sont les :

  • Entités de l’administration publique des pouvoirs publics centraux définies comme telles par un État membre conformément au droit national
  • Entités de l’administration publique au niveau régional définies comme telles par un État membre conformément au droit national

L’ANSSI décidera d’étendre ou non le périmètre d’application aux entités départementales ou locales, notamment vis-à-vis de leurs compétences qui justifieraient leur inclusion dans le périmètre (de plus, les collectivités assurant par exemple la gestion de l’eau ou des déchets devraient être concernées, ces secteurs étant mentionnés dans les annexes du texte européen).

Spécificités

Dans le cadre d'un groupe de type holding, contenant plusieurs sous-entités à priori concernées par NIS 2, est-ce que le respect de la directive doit être géré au niveau de la direction centrale de la holding ou au niveau de la direction des différentes entités concernées ?

Le respect de la directive et donc la mise en conformité devraient pouvoir être gérés au niveau des entités ou au niveau de la holding. Cela dépendra de la posture/stratégie que choisira la direction de la holding en fonction du contexte, de la convergence des SI, du cadre de gouvernance sécurité en place, etc.

Est-ce confirmé que les secteurs impactés par la directive CER sont de fait entités hautement critiques, peu importe la taille de l'entreprise ?

L’ensemble des secteurs cités dans la directive CER sont présent dans l’annexe 1 des secteurs hautement critiques de la directive NIS 2.
Concernant la taille de l’entité, la directive NIS 2 impose cependant une taille minimum à l’exception de certains secteurs spécifiques (Infrastructure numérique, Administrations publiques, etc. - voir grille ci-dessus).

Nous sommes assujettis à NIS 2 car nous sommes classifiés dans le secteur de la chimie au travers de notre code APE. Il n’est plus adapté à notre activité principale ni ne correspond à des activités secondaires puisque nous sommes à présent dans le commerce de gros. Peut-on de ce fait, et sans changer notre code APE, échapper aux obligations de cette directive ? Si c’est le cas, est-il prévu une extension des secteurs d’activité rattachés actuellement à NIS 2 ?

La directive NIS 2 n’impacte pas seulement les entités fabricant des produits chimiques mais également les entités les distribuant. Le commerce de gros de produits chimiques est donc impacté par NIS 2.
De plus, une extension des secteurs d’activité impactés peut également être réalisée par l’ANSSI lors de la transposition française de la directive.

Modalités de conformité

Une société certifiée 27001 est-elle de facto en conformité avec NIS 2 ?

Non, lorsqu’une entité est certifiée ISO 27001, elle n’est pas de facto en conformité NIS 2.
La certification ISO 27001 est cependant une bonne base vers la conformité puisqu’elle permet de disposer d’un cadre de gouvernance de la sécurité couvrant une grande partie des exigences NIS 2.
Plusieurs aspects sont à considérer :

  • Le périmètre de la certification ISO 27001 ou SMSI (Système de Management de la Sécurité de l'Information), peut être appliqué sur un périmètre spécifique sans couvrir l’ensemble des périmètres impactés par NIS 2. Un travail d’extension du SMSI sera alors nécessaire.
  • La transposition française n’étant pas encore arrivée, la liste exacte des exigences de sécurité n’est pas encore connue. En se basant sur la transposition française NIS 1, il apparait que certaines exigences spécifiques (postes d’administration etc.) ne sont pas couvertes par l’ISO 27001 qui pose un cadre plus macroscopique. Une fois la transposition française publiée, un travail d’analyse d’écart entre les deux référentiels sera nécessaire afin de s’assurer que le SMSI en place réponde bien à l’ensemble des exigences NIS 2.

Quelles mesures de sécurité concrètes faut-il mettre en œuvre face à chaque exigence de NIS 2 ?

La transposition nationale n’étant pas encore publiée par l’ANSSI, il n’est pas encore possible de connaitre les différentes mesures à mettre en place. L’Article 21 (Mesure de gestion des risques en matière de cybersécurité) annonce les grandes thématiques sans rentrer dans le détail des actions concrètes.

Afin d’avoir des exemples d’actions concrètes, nous vous invitons à vous référer à :

  • La transposition française NIS 1 : rappel des règles demandées dans le cadre de la transposition de la première directive NIS (2016/1148)
  • Les normes et référentiels du marché (ISO 27001, NIST CSF, etc.)

Budget

Quel est le % médian du CA que l'on doit "réserver" pour les aspects cyber ?

Il n’y a pas de % du CA défini à réserver aux aspects cyber, ce budget dépendra de divers facteurs spécifiques à votre contexte.

Méthodologie

Pourquoi parler de la méthodologie EBIOS Risk Manager ? Est-elle privilégiée par l'ANSSI ?

La directive NIS 2 impose de réaliser la mise en conformité via une approche par les risques, sans toutefois imposer de méthodologie.

La méthodologie EBIOS RM a été mise en avant lors de notre dernier webinar car il s‘agit d’une méthodologie française recommandée par l’ANSSI, faisant elle-même partie du Club EBIOS, auteur de cette méthodologie.

Accompagnement

Est-ce qu'Orange Cyberdefense propose actuellement des services d'accompagnement via l'UGAP ?

Oui. Contactez-nous pour plus d’informations !

Auteurs

Yann Lonlas, Consultant Senior en Règlementation, Orange Cyberdefense

Florian Brossard, Consultant Senior en Sécurité, Orange Cyberdefense

Gaël Prado, Consultant Senior en Règlementation, Orange Cyberdefense

Axel Nardin, Consultant en Cybersécurité, Orange Cyberdefense