Qu’est ce que la directive NIS 2 ?

Qu'est ce que la directive NIS
La protection des systèmes d’information, dans un contexte de cybercriminalité croissante, n’est pas seulement un enjeu national. C’est aussi une problématique européenne. Or, les pays de l’Union n’appliquent pas tous les mêmes exigences en matière de sécurité informatique. Cette hétérogénéité entre des États dont les économies sont étroitement connectées est forcément préjudiciable. L’idée d’une approche globale à l’échelle européenne s’imposait donc. Et la voila arrivée avec la directive NIS.

Qu'est ce que la directive NIS

Une première étape, la directive NIS 1

L’adoption, le 6 juillet 2016, de la directive Network and Information System Security (NIS) marque une première étape dans cette démarche. Transposée dans la loi française en 2018, elle fixe quatre grands objectifs. Le premier est la gouvernance, soit le renforcement des capacités des États membres en matière de sécurité. En France, la Loi de programmation militaire (LPM) répond déjà à cet objectif. Elle désigne des opérateurs d’importance vitale (OIV), qui doivent assurer la cybersécurité des systèmes d’information d’importance vitale (SIIV).

Le second objectif, la coopération, passe par la mise en place, en 2017, d’un Groupe de coopération. Celui-ci doit encourager la coopération entre les États membres, et contribuer à élever le niveau global de sécurité informatique dans l’Union. L’ANSSI y représente la France.

Le troisième objectif concerne la sécurité des opérateurs de services essentiels (OSE). Ce sont des organismes se livrant à des activités essentielles à la vie économique et sociale. Il s’agit pour l’essentiel de grandes ou moyennes entreprises et d’organismes publics. Les OSE ont l’obligation de mettre en œuvre des moyens de protection cyber adaptés aux menaces. C’est le gouvernement qui fixe la liste des OSE.

La directive NIS 2, une protection élargie

La NIS 2, actuellement en cours d’élaboration par les États membres, devrait être adoptée dans les prochains mois. La numérisation croissante de l’activité économique et des services imposait en effet une actualisation de la directive NIS. De plus, le risque cyber n’a jamais été aussi fort, et aucune organisation n’est à l’abri.

La NIS 2 prévoit la mise en place d’un réseau européen pour la préparation et la gestion des crises cyber, nommé EU-CyCLONe, destiné à répondre aux attaques cyber à grande échelle. La directive s’applique également à préciser les exigences qui s’imposent aux OSE et aux FSN. Par ailleurs, le périmètre des organisations qualifiées d’OSE passe de sept à quinze secteurs. Ainsi, à la santé, le transport, la banque et les services financiers, l’énergie, l’eau potable, les télécoms viennent s’ajouter les fournisseurs d’accès à internet, les data centers, les services des eaux usées et de gestion des déchets, certaines entreprises industrielles (comme les laboratoires pharmaceutiques), l’alimentation, les services postaux, le secteur spatial et les administrations publiques.

Sur ce dernier point, la directive entend fixer la liste des administrations centrales concernées. Pour le reste, chaque État membre décidera quelles administrations locales seront considérées comme OSE. Les critères retenus restent encore à définir, mais les grandes collectivités territoriales devraient nécessairement en faire partie. La transposition de la directive dans la loi française, qui doit intervenir dans les deux ans, viendra préciser ce périmètre.

Quelles obligations nouvelles pour les entreprises opératrices de services essentiels ?

Les entreprises désignées comme OSE par la réglementation se voient imposer un certain nombre d’obligations. Dans un premier temps, elles doivent tout d’abord désigner une personne qui les représentera auprès de l’ANSSI, et ce dans un délai de deux mois. Elles doivent dans un second temps identifier et déclarer dans les trois mois à l’ANSSI leurs systèmes d’information essentiels (SIE). Elles veilleront bien sûr à appliquer les règles de sécurité définies par la NIS. Parmi celles-ci, l’analyse de risque, l’audit de sécurité, le cloisonnement des systèmes, l’accès distant, les procédures d’authentification, la sécurité physique des systèmes, le maintien en conditions de sécurité…

Par la suite, elles devront signaler à l’ANSSI tout incident pouvant avoir un impact important sur la continuité de leurs services. Elles doivent par ailleurs prendre en compte les informations et alertes de l’Agence. Cette dernière pourra, le cas échéant, se livrer à des contrôles de sécurité au sein des OSE. Les mêmes règles s’appliquent aux OIV, avec une insistance particulière sur la prévention, par l’analyse des risques et les audits de sécurité.

Quelles solutions?

Les entreprises désignées comme OSE se voient donc imposer de nombreuses contraintes. Et il s’agit bien ici d’obligations, et non de recommandations. Leur non-respect expose les organismes contrevenants à une amende. Le montant de celle-ci peut aller jusqu’à 125 000 euros.

Pour les entreprises désignées comme OSE, il peut être précieux de s’appuyer sur un prestataire aguerri aux problématiques de sécurité. Dropcloud vous propose un panel de solutions adaptées, qui vous permettront de répondre à certaines des exigences de la NIS 2. Avec les solutions Dropcloud, la sauvegarde en ligne, le partage de fichiers et l’envoi de fichiers volumineux sont simples et sécurisés. Tous nos services utilisent des méthodes de cryptage et d’identification éprouvés. Ils sont certifiés ISO 27001 HDS. Un soutien réel pour les OSE.

sauvegarde-informatique-neobe