NIS 2 - Transposition des mesures de sécurité en droit national

Adoptée le 14 décembre 2022, elle devra être transposée dans tous les États membres le 17 octobre 2024 au plus tard. En France, cette transposition est pilotée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Dans son annexe I, la directive NIS 2 reprend et complète des secteurs inclus par la France au niveau national en 2018.

Elle établit une liste des secteurs hautement critiques, une liste des secteurs critiques et introduit également un changement de paradigme en instaurant un niveau de sécurité collectif.

Les étapes de la transposition :

• 2021 : Négociations européennes autour de la révision de NIS 1
• 2022 : 27 décembre 2022 - Publication de la directive NIS 2 au Journal Officiel de l’UE
• 2024 : 17 octobre 2024 - Échéance de transposition nationale pour les États membres
• 2025 : 17 janvier 2025 - Les États membres informent la Commission européenne des règles et mesures adoptées. Chaque État membre établit la liste des EE et EI.

La conséquence de l’augmentation exponentielle du nombre de cyberattaques et de leurs conséquences désastreuses pour les entreprises françaises et les services publics, réhausse, à la grande satisfaction des membres de la CSNP (Commission Supérieure du Numérique et des Postes), le niveau global de la sécurité numérique que va permettre la mise en application de la directive NIS 2. A cet effet, le 7 mai 2024, l’ANSSI a saisi la CSNP pour rendre un avis sur les dispositions du titre II « Cybersécurité », consacré :

• A la transposition de la directive NIS 2, du projet de loi relatif à la résilience des activités d’importance vitale
• A la protection des infrastructures critiques
• Et à la cybersécurité et à la résilience opérationnelle numérique du secteur financier.

La transposition de la directive NIS 2 introduit un changement majeur qui porte sur l’extension aux entités importantes, aux collectivités locales de plus de 30 000 habitants et aux entreprises privées qui dépasseront certains seuils (nombre de salariés, chiffre d’affaires, bilan). L’article 6 du projet de loi distingue les entités essentielles actives pour l’essentiel dans des secteurs hautement critiques des entités importantes. Si vous le souhaitez, vous pouvez vérifier si votre entité est concernée par la Directive NIS 2 en cliquant sur ce lien.

Même si l'échéance pour la transposition des mesures de sécurité en droit français est fixée au 17 octobre 2024, l'ANSSI, par la voix de son Directeur général Vincent Strubel, a communiqué lors du Forum InCyber Europe 2024 (ex FIC), qu'aucune sanction ne sera appliquée avant au moins 3 ans à compter de la publication de la transposition, le temps que les entités françaises se mettent en conformité.

L'échéance de la transposition nationale pour les États membres a pour date buttoir le 17 octobre 2024. L’ANSSI a rédigé un document de travail mi-novembre 2023 : « Référentiel de cybersécurité pour les futurs acteurs économiques assujettis à NIS 2 » qui présente la synthèse des réflexions internes relatives à la transposition nationale des mesures de gestion des risques cyber requises par la directive NIS 2. C’est un outil de discussion transmis avec le futur écosystème des acteurs économiques régulés dans le cadre du processus de consultation avec les représentants de ces mêmes acteurs économiques (fédérations et associations professionnelles ainsi que leurs adhérents). Maintenant, l’ANSSI souhaite que ce document ne soit, ni rendu public, ni communiqué à l’extérieur du cercle des consultations, je respecterai donc cette volonté, même si je l’ai en ma possession. Si vous souhaitez vraiment en prendre connaissance, sachez qu'il y a eu quelques fuites sur le Web, sur des sites tels que le « LeMagIT » ou encore « L’Informé » par exemple. Je laisse alors le soin aux curieux qui le souhaitent, de commencer leur jeu de piste...

Ce que je peux dire, c’est que c’est l’article 21 de le directive NIS 2 qui régit les mesures de gestion des risques liés à la cybersécurité. Il demande aux États membres de s’assurer que les entités essentielles et importantes gèrent les risques qui visent à protéger leurs réseaux et systèmes d'information ainsi que leurs environnements physiques.

On y retrouve une déclinaison de 10 mesures qui vont concerner :

1. Les politiques en matière d'analyse des risques et de sécurité des systèmes d'information
2. Le traitement des incidents
3. La continuité des activités, notamment la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises
4. La sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services
5. La sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités
6. Les politiques et procédures permettant d'évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité
7. Les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité
8. Les politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement
9. La sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs
10. L'utilisation de solutions d'authentification multifactorielle ou d'authentification continue (accès zero-trust)

Et dans ces 10 mesures, on retrouve 20 objectifs pour lesquels l'ANSSI travaille sur la transposition nationale des mesures de sécurité et de gestion des risques cyber. Ces 20 objectifs sont classés dans 4 grands domaines :

1. La gouvernance : 6 objectifs (Numéro 1 à 6)
2. La protection : 9 objectifs (Numéro 7 à 15)
3. La défense : 2 objectifs (Numéro 16 et 17)
4. La résilience : 3 objectifs (Numéro 18 à 20)

Chaque objectif est composé d’un tableau qui détaille la transposition des mesures de sécurité requises par la directive NIS 2. Dans la première colonne, on retrouve les lettres correspondant aux mesures de l’objectif. Dans la deuxième colonne, une description des mesures de sécurité, et dans les deux dernières, les entités (importantes et/ou essentielles) pour laquelle ou lesquelles s’appliquent ces mesures.

Juste un exemple, sans dévoiler l’intégralité du contenu bien entendu. Le domaine « Protection » comprend l’objectif 9/20 « Sécuriser l’architecture de ses Systèmes d’Information Réglementés (SIR), notamment le cloisonnement ». Pour cet objectif, la transposition des mesures de sécurité en droit français regroupent les besoins de cloisonnement des différents SI, qu’ils soient physiques, logiques, segmentés (avec des sous-systèmes), des passerelles entrantes/sortantes et des interconnexions sécurisées.

Renseignez-vous, l’éditeur Systancia propose des webinars sur la thématique NIS 2. Ils mettent en évidence et présentent plus en détail la transposition des mesures en droit français par rapport aux différents objectifs que couvre l'ensemble de ses produits :

• Ses solutions on-premise :
  • Systancia Gate (ZTNA)
  • Systancia Cleanroom (PAM)
  • Systancia Identity et Systancia Access (IAM)
  • Nota : Les concepts de virtualisation, issus de son produit VDI Systancia Workplace, peuvent également apporter une plus-value à ces objectifs.
• Sa solution SaaS :
  • cyberelements.io (Plateforme SaaS Zero Trust).

N’hésitez pas à vous rapprocher d’eux pour avoiir plus d’informations sur le sujet (site officiel de l'éditeur).