Alliancy

NIS 2, c’est maintenant ! Faut-il avoir peur ?

Directive européenne NIS 2

Dans sa nouvelle chronique, Eric Barbry revient sur l’actualité du 18 octobre, date à laquelle la directive européenne NIS 2 devait être transposée dans chaque Etat membre. En la matière, la France est en retard, mais cela ne signifie pas que les prochaines semaines vont être tranquilles pour les entreprises. Alors, que regarder en priorité ?

Commençons cette chronique avec une question qui revient souvent : pourquoi faut-il craindre NIS 2 ?

Je me contenterai d’indiquer simplement la double raison suivante :

Il y a là, de quoi faire réfléchir les dirigeants les plus inconscients. Il suffit de leur faire lire les articles 20 et 32 de la directive :

Quand faudra-t-il avoir peur ?

En fait, depuis le 18 octobre 00h01, date à laquelle la directive est supposée être transposée dans chaque Etat membre. Et à ce jour sauf erreur ou omission, seules la Belgique, la Croatie et la Hongrie semblent avoir transposé la directive.

A la date de publication de cette chronique et après des mois de silence, un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (qui transpose notamment NIS2) a été présenté au Conseil des ministres du 15 octobre. Une étude d’impact de 874 pages (oui… 874 pages) a également été publiée.

Quoi qu’il en soit nous serons donc hors délai de transposition. Faut-il s’en réjouir ? Que nenni. Cela fait bien longtemps que l’on sait qu’en cas d’absence de transposition c’est le juge qui appréciera une situation « à la lumière » de la directive non transposée.

En résumé NIS 2 c’est maintenant !

Qui est visé par NIS 2 ?

C’est là que les problèmes commencent ! Car le texte propose un champ d’application à l’article 2, mais ne vise finalement que les entités essentielles ou importantes alors même que les annexes visent les « secteurs hautement critiques » et les « autres secteurs critiques »…

Vous êtes perdus ? C’est normal… Donc pour faire simple les secteurs visés sont les suivants :

« Secteurs hautement critiques »

Pour plus de détails, voir l’annexe I

« Autre secteurs critiques »

Pour plus de détails, voir l’annexe II

Il est donc impératif, comme première étape, de savoir si votre entreprise est soumise ou non à NIS2 et savoir se qualifier en « entité essentielle » ou « entité importante ».

Et pour nos amis DSI et RSSI qui se diraient : « Chouette je ne suis ni dans l’annexe I ni dans l’annexe II… » Faites attention, car NIS2, comme DORA, constitueront, à n’en pas douter, des référentiels de bonne pratique ; tout comme leurs traductions opérationnelles par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Quelles seront vos obligations ?

Dans les grandes lignes les obligations sont au nombre de 7.

La première consiste naturellement à mettre en œuvre les mesures de sécurité en fonction de l’exposition au risque. Il s’agit là de répondre aux exigences de l’article 21 « Mesures de gestion des risques en matière de cybersécurité ».

Mais NIS2 ne se contente pas d’imposer des mesures techniques. Il existe bien d’autres obligations que l’on peut synthétiser comme suit

Gouvernance

Comme il revient aux « organes de direction » d’approuver et de superviser les mesures de gestion de risque il est capital de bien définir le « Qui fait quoi ?

Art 20.1

Révision des contrats TIC

Tous les contrats d’approvisionnement dont les contrats IT doivent être revus

Art 21. 3

Considérant (85)

Formation

NIS2 impose deux types de formations : une à destination des organes de direction (obligatoire) et une (fortement suggérée) à destination des utilisateurs.

Art 20.2

Information

Les entités essentielles ou importantes devront donner un certain nombre d’information et procéder à des mises à jour dans les délais requis (selon les cas 15 jours ou 3 mois)

Art 3.3 et 3.4

 

Art 27.3

Coopération

Obligation de coopérer avec l’autorité de contrôle qui aura un pouvoir de « supervision », « d’exécution » et de « sanction »

Art 32.2 et 32.4

Notification

Diverses formes de notification des incidents, cybermenace et même incidents évités

Art 23. 1 et 23. 2

Art 30

 

Vous l’aurez compris, NIS2, c’est comme le RGPD ou DORA, un savoureux mélange : 1/3 techno – 1/3 organisation – 1/3 juridique.

Alors oui, lisez NIS2, et comme disent les Américains : « Keep cool & call your lawyer ».

Quitter la version mobile