NIS2 : risques et opportunités pour les entreprises

Introduction et références réglementaires

NIS est l'acronyme de « Sécurité des réseaux et de l'information ».

Par cet acronyme, la Communauté européenne entendait désigner l'effort législatif visant à définir une approche harmonisée de la cybersécurité dans tous les États membres de l'UE.

En 2018, le premier règlement européen intitulé NIS1 (directive européenne 2016/1148) a été adopté ; il a été transposé au niveau national par le décret législatif n° 65 du 18 mai 2018.

Le décret NIS prévoyait également l'adoption d'une « stratégie nationale de cybersécurité » en créant le CSIRT italien (Computer Security Incident Response Team), chargé de missions techniques liées à la prévention, à la réaction et à la surveillance des incidents de cybersécurité, en collaboration avec les CSIRT européens.

Le NIS1 a ensuite été remplacé par le NIS2 (directive européenne 2022/2555) ; transposé au niveau national par le décret législatif n° 138 du 4 septembre 2024.

La directive NIS 2 vise à pallier les limites de la directive NIS 1, qui laissait une trop grande marge d'appréciation aux États membres lors de la transposition, ce qui a empêché d'atteindre l'objectif d'harmonisation, et qui excluait également certaines catégories d'entités qui auraient dû être réglementées en raison de leur importance pour le marché européen.

Par ailleurs, la directive NIS 2 a été mise en place pour répondre à l'accélération du rythme de la numérisation observée dans tous les États membres et exacerbée par la pandémie, qui a élargi la surface d'attaque sans que les systèmes de sécurité ne soient renforcés en conséquence.

Enfin, un autre objectif de la directive NIS 2 est d'obliger les opérateurs de services essentiels et importants ainsi que les fournisseurs de services numériques à mettre en place des mesures de sécurité adéquates et à signaler sans délai les incidents aux autorités compétentes et aux utilisateurs de leurs services.

La nouvelle directive a été harmonisée avec d'autres réglementations sectorielles européennes spécifiques, notamment :

- la directive sur la résilience opérationnelle numérique dans le secteur financier (DORA). Il s'agit du règlement adopté le 10 novembre 2022, qui vise à renforcer les mesures de sécurité afin d'améliorer la résilience et la cybersécurité du secteur financier grâce à la mise en œuvre d'une série de mesures de sécurité obligatoires garantissant l'intégrité des informations et la cybersécurité des services ;

- la directive relative à la résilience des entités critiques (CER) ; visant à garantir la clarté juridique et la cohérence entre les différentes directives.

Les entreprises concernées ont été classées comme suit :

• Entités essentielles (énergie ; transports ; santé ; approvisionnement en eau ; administration publique ; finances ; espace ; infrastructures numériques)
• Secteurs clés (recherche ; produits chimiques ; agroalimentaire ; production industrielle ; fournisseurs de services numériques ; services postaux ; gestion des déchets)
• Organismes publics : Administration centrale (organismes constitutionnels et relevant de la Constitution ; Cabinet du Premier ministre et ministères ; administrations fiscales ; autorités administratives indépendantes) | Administration régionale (régions et provinces autonomes) | Administration locale (villes métropolitaines ; communes de plus de 100 000 habitants ; capitales régionales ; autorités sanitaires locales) | Autres entités publiques (organismes de régulation économique ; prestataires de services économiques ; associations ; prestataires de services sociaux, récréatifs et culturels ; organismes et institutions de recherche ; instituts zooprophylactiques expérimentaux) | Autres types d'entités (entités fournissant des services de transport public local ; établissements d'enseignement menant des activités de recherche ; entités menant des activités d'intérêt culturel ; entreprises internes ; sociétés en participation et sociétés sous contrôle public)
• Fournisseurs : les organisations qui fournissent des services essentiels aux entités concernées par la directive NIS2 doivent renforcer leur sécurité numérique, même si elles ne figurent pas explicitement parmi les secteurs soumis à cette obligation.

Contenu de la directive NIS2

Les obligations générales découlant du contenu de la directive NIS 2 peuvent être résumées en quatre grands axes :

Gouvernance : la direction doit approuver les mesures de gestion des risques adoptées par l'organisation et évaluer leur efficacité au fil du temps : suivre régulièrement des formations sur les questions de cybersécurité et proposer des formations similaires aux employés.

Gestion des risques : l'organisation doit évaluer les risques liés à la sécurité et au réseau et adopter des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de prévenir ou de minimiser l'impact des incidents sur les bénéficiaires de ses services.

Continuité des activités : l'organisation doit mettre en place des solutions visant à garantir la continuité des activités (par exemple, des sauvegardes, un plan de reprise après sinistre et une procédure de gestion de crise) ; ces mesures ont pour objectif de minimiser l'impact de toute interruption des services fournis.

Chaîne d'approvisionnement : l'entreprise doit évaluer les vulnérabilités de chaque fournisseur direct ainsi que la qualité globale des produits et des pratiques en matière de cybersécurité de ses fournisseurs. Cette évaluation portera sur les fournisseurs de technologies de l'information et de la communication (TIC) ainsi que sur d'autres fournisseurs critiques susceptibles de perturber le service pour lequel l'organisation a été incluse dans le périmètre NIS2.

Les entreprises devront donc être en mesure de mesurer et de rendre compte des éléments suivants :

• Analyse des risques et politiques de sécurité des systèmes d'information
• Procédures de gestion des incidents
• Solutions de continuité des activités (sauvegarde et reprise après sinistre) et procédures de gestion de crise et de communication
• Politiques de sécurité de la chaîne d'approvisionnement (fournisseurs et prestataires de services)
• Sécurité dans l'acquisition, le développement, la maintenance et la gestion des vulnérabilités des systèmes d'information et des réseaux

Calendrier NIS2

Les entreprises et les administrations publiques devront procéder à une évaluation afin de déterminer si elles sont soumises ou non aux obligations de la directive NIS2.

Du 1er décembre 2024 au 28 février 2025, les entreprises devront s'être authentifiées sur le portail de l'ACN (Agence nationale de cybersécurité) à l'aide de leurs identifiants SPID. Au cours de cette période, les utilisateurs désignés comme points de contact pour chaque entreprise devront avoir rempli une déclaration via le service NIS/Enregistrement.

En particulier, les entreprises sont tenues de :

• Veuillez indiquer si l'entité fait partie d'un groupe de sociétés et préciser le numéro d'identification fiscale de la société mère, le cas échéant.
  
• Énumérez les sociétés liées et indiquez leurs numéros d'identification fiscale.
  
• Indiquez les codes ATECO correspondant à l'activité de l'entité.
• Veuillez indiquer les réglementations sectorielles pertinentes de l'Union européenne.
• Veuillez fournir les chiffres d'affaires, le bilan et l'effectif afin de déterminer la catégorie de l'entreprise.
• Énumérez les types d'entités auxquelles appartient l'entreprise.

D'ici le 17 janvier 2025, les opérateurs de registres de noms de domaine de premier niveau, les fournisseurs de services liés au système de noms de domaine et d'enregistrement de noms de domaine, les prestataires de services de cloud computing, les centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, les fournisseurs de moteurs de recherche en ligne et les fournisseurs de plateformes de réseaux sociaux devront s'être enregistrés sur la plateforme.

Au 31 mars 2025, l'ACN avait dressé une liste des entités essentielles et importantes sur la base des inscriptions reçues via la plateforme.

Entre le 1er avril 2025 et le 15 avril 2025, l'ACN a informé les entités concernées de leur inscription ou non sur la liste des entités essentielles ou importantes.

Au plus tard le 15 avril 2025, les entités ayant reçu la notification étaient tenues de désigner, par un acte spécifique, une entité chargée de s'acquitter des obligations prévues par le décret.

Par la suite, les entités concernées par la directive devront se conformer à d'autres exigences :

• au plus tard le 1er janvier 2026 ; obligation de signalement des incidents
• avant le 1er octobre 2026 ; les obligations relatives aux organes administratifs et aux mesures de sécurité doivent être respectées

Chaque année, l'ACN mettra à jour la liste des entités concernées. Les entreprises et les administrations publiques auront la possibilité de s'inscrire chaque année, entre janvier et février, si elles estiment faire partie des entités concernées.

Des risques pour les entreprises, mais aussi des opportunités

Une fois la directive NIS 2 entrée en vigueur et les opérateurs concernés identifiés, les autorités compétentes pourront procéder à des contrôles de surveillance et à des vérifications ponctuelles afin de s'assurer du respect de la directive. En cas de non-respect, des sanctions seront infligées aux entreprises concernées.

Les sanctions sont très lourdes : pour les grandes entreprises, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial ; pour les moyennes entreprises, jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial.

Si le respect de la réglementation exige un effort et un investissement considérables de la part des entreprises, il faut également reconnaître que cette réglementation vise à apporter une réponse concrète au problème des cyberattaques, auxquelles les entreprises italiennes restent très vulnérables et qu’elles ont souvent tendance à dissimuler pour des raisons d’image. Sur le plan économique, le préjudice moyen estimé pour chaque cyberattaque s’élève à plus de 2 millions d’euros, quel que soit le chiffre d’affaires de l’entreprise.

Comment ERA peut vous aider à gérer la conformité à la directive NIS2

Malgré tout ce qui précède, qui pourrait laisser penser que les entreprises s’intéressent de très près aux questions de cybersécurité et s’y investissent fortement, il n’est pas rare, notamment parmi les petites et moyennes entreprises (PME), de trouver des entreprises qui n’ont pris que peu ou pas de mesures à cet égard et qui sont actuellement incapables de définir leur position face aux risques auxquels elles sont exposées, tant d’un point de vue technique qu’en matière de conformité aux différentes réglementations en vigueur.

Certaines entreprises abordent la question de la cybersécurité par le biais d'une couverture d'assurance. Cependant, les compagnies d'assurance sont souvent réticentes à offrir ce type de protection aux entreprises qui n'ont jamais pris de mesures concrètes dans le domaine cybernétique. Cela s'explique par l'absence de méthode fiable permettant d'estimer avec précision les dommages causés par une cyberattaque. Par conséquent, les « offres NIS2 » se concentrent sur les services d'évaluation des risques cybernétiques, mais laissent aux entreprises le soin de prendre les mesures nécessaires pour combler les lacunes. ERA est en mesure de proposer un service plus complet, en s'appuyant sur un réseau de prestataires hautement qualifiés à des conditions commerciales très compétitives.

Plus précisément, l'aide apportée par l'ERA comprend :

• Une évaluation de la structure organisationnelle et technique de l'entreprise, à l'aide de questionnaires d'auto-évaluation reposant sur des indicateurs prédéfinis ;
• Formations de sensibilisation et de perfectionnement, comprenant des cours de base destinés à l'ensemble du personnel et des modules avancés destinés aux cadres supérieurs et intermédiaires, conformément aux lignes directrices NIS2 ;
• Tests spécifiques et hautement qualifiés portant sur l'analyse des vulnérabilités, la lutte contre le phishing et l'évaluation des risques liés aux ransomwares ;
• L'accompagnement par des consultants spécialisés pendant la phase de remise en état qui suit l'évaluation ;
• Un accompagnement spécialisé assuré par des consultants spécialisés pour vous guider dans vos décisions stratégiques en matière de cybersécurité.

Notre solution comprend l'analyse de la conformité à la réglementation NIS2, ce qui constitue sans aucun doute la priorité absolue ; mais elle peut également accompagner le client dans la gestion de projet de la phase de mise en conformité, c'est-à-dire la phase au cours de laquelle le client doit remédier aux différentes « lacunes » identifiées lors du processus de diagnostic ; et c'est précisément au cours de cette phase que les difficultés rencontrées par certaines entreprises apparaissent le plus clairement, tant en termes de compétences internes que de disponibilité en temps et en ressources.