La directive européenne « Network and Information Security » (NIS 2) sur la cybersécurité a été publiée le 16 janvier 2023. Visant à renforcer la cybersécurité et la protection contre les menaces en Europe, la directive NIS 2 contient des règles plus strictes. En parallèle, le périmètre d'application des mesures est élargi à un plus grand nombre de secteurs et d’organisations. Quelles sont réellement les implications de NIS 2 par rapport à la précédente directive NIS 1, et quel impact aura-t-elle sur l’aviation ?
Différences principales entre NIS 1 et NIS 2.
L'élargissement du périmètre d'application signifie que la directive concernera un plus grand nombre d'organisations, y compris votre propre chaîne d'approvisionnement.
La directive NIS 2 s'applique à un groupe nettement plus important d'entités que NIS 1. Tandis que NIS 1 concernait principalement les exploitants d'infrastructures essentielles comme les fournisseurs d'énergie ou les aéroports, NIS 2 va plus loin en élargissant le périmètre des entités devant se conformer à la nouvelle législation – pour y inclure notamment les fournisseurs. La directive NIS 2 introduit des règles harmonisées pour les moyennes et grandes entités (ainsi que les principaux fournisseurs de ces entités critiques) classées comme « importantes » ou « essentielles ». Une entité sera classée comme importante ou essentielle selon qu'elle opère dans un secteur critique ou très critique, et selon sa taille et son impact potentiel sur l'économie nationale et européenne.
L'un des éléments clés de la directive NIS 2 concerne les exigences relatives à l'évaluation de la sécurité de la chaîne d'approvisionnement. L'une des responsabilités des entités essentielles ou importantes consistera à mettre en place des mesures techniques, opérationnelles et organisationnelles adaptées et proportionnées pour assurer la sécurité de la chaîne d'approvisionnement. La réglementation exige des États membres qu'ils s'assurent que les entités concernées par NIS 2 « tiennent compte des vulnérabilités spécifiques de tous les prestataires de services et fournisseurs directs, ainsi que de la qualité générale des produits et des pratiques de cybersécurité de leurs fournisseurs, y compris leurs procédures de développement sécurisées. Les États membres devront également s'assurer que, pour décider lesquelles de ces mesures sont appropriées, les entités tiennent compte des résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques, effectuées conformément à l'article 22(1). »
Parmi les nouveaux secteurs et services désormais concernés figurent les fabricants de produits chimiques et de matériel médical, les fournisseurs numériques de plateformes sociales, mais aussi les secteurs industriels comme l'aérospatiale et les activités comme l'administration publique. Les entités essentielles et les entités importantes sont soumises aux mêmes exigences de gestion et de reporting en matière de cybersécurité, la seule différence résidant dans la structure d'application et de pénalités. Le tableau ci-dessous illustre plus clairement les entités désormais concernées par NIS 2. Les nouvelles entités y figurent en gras.
Des exigences étendues pour inclure de nouvelles politiques et de la formation.
Non seulement le périmètre d'application de la directive NIS 2 a été élargi, mais ses exigences sont plus complexes que celles de NIS 1. NIS 2 vise directement la gestion des entités en termes de nouvelles obligations de gouvernance et de responsabilité. Le comité de direction doit approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur mise en œuvre, et sa responsabilité peut être engagée si ces mesures ne sont pas conformes aux obligations de sécurité. En outre, en vertu de la directive NIS 2, les membres du comité de direction doivent suivre des formations afin d'acquérir les compétences nécessaires pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité, ainsi que leur impact sur les services fournis.
Autre exigence de NIS 2 : toutes les organisations concernées doivent mettre en place un minimum de mesures techniques et organisationnelles. Il s'agit notamment de politiques relatives au management des risques, à la sécurité des systèmes d'information, à la sauvegarde, au traitement des incidents, à la cryptographie, à l'authentification multi-facteurs et à bien d'autres aspects.
Plus d'échappatoire possible face à des règles de reporting plus strictes.
Les obligations de reporting initialement définies par NIS 1 sont également étendues dans le cadre de la directive NIS 2. Tout incident de cybersécurité doit être signalé dans les 24 heures aux équipes de traitement des incidents de sécurité informatique de l'État membre ou de l'autorité de contrôle responsable, ce qui n'était pas strictement exigé par la précédente législation. L'importance d'un incident (et donc les actions appropriées à entreprendre) se mesure à l'impact plus large, avec des critères tels que la perturbation opérationnelle grave des services de l'organisation, les pertes économiques, ou l'affaiblissement d'autres protections contre les dommages ou d'autres perturbations. Il en résulte que l'on attend davantage des États qu'ils travaillent ensemble et avec une entité paneuropéenne de coordination de cybersécurité.
L'un des principaux changements induits par NIS 2 en termes de reporting réside dans la nécessité de signaler à d'autres parties des incidents significatifs susceptibles d'avoir un impact sur la fourniture de prestations spécifiques. Comme pour le Règlement général sur la protection des données (« RGPD »), selon lequel une organisation est tenue d'informer immédiatement d'autres parties de la survenue d'un incident de cybersécurité, les organisations concernées par NIS 2 ne sont plus autorisées à dissimuler l'existence d'incidents significatifs.
L'application demeure la responsabilité des Etats membres de l'UE.
L'application des règles nouvellement définies est un élément clé du processus de conformité générale à la directive NIS 2. Étant donné que NIS 2 est une législation de l'Union européenne, il incombe aux États membres de veiller à ce que les autorités compétentes (c.-à-d. les autorités et institutions nationales) assument un rôle de contrôle et prennent les mesures nécessaires pour assurer la conformité à cette législation. Le rôle de contrôle de l'autorité compétente peut aller de la simple demande d'informations ou de preuves à l'exécution d'inspections, d'audits de sécurité, ou à l'accès aux données. Lorsque les mesures exécutoires sont inefficaces, les autorités de contrôle peuvent recourir à des mesures de suivi, susceptibles d'aboutir à la suspension d'une certification, voire à des mesures plus draconiennes et plus coûteuses. Les amendes peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel global pour les entités essentielles et jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel global pour les entités importantes.
On observe également un changement d'attitude dans l'approche de la cybersécurité. Alors que NIS 1 adoptait une approche plutôt réactive, en mettant l'accent sur des mesures préventives pour améliorer la cybersécurité, NIS 2 adopte une approche plus proactive, à travers l'application des règles définies, ainsi que l'amendement de compromis 1 (amendement de la législation) qui définit les obligations d'application des États membres.