Quelles sont les exigences en matière de cybersécurité auxquelles les entités régulées à la directive NIS 2 devront se soumettre ?
La directive NIS 2 définit dans son article 20 et dans son article 21 des mesures de gestion des risques en matière de cybersécurité minimales à mettre en œuvre par les futures entités essentielles et importantes.
Conformément à l’article 20, les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21 et de superviser sa mise en œuvre. En outre, l’article 20 prévoit que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation. Ils sont également encouragés à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.
Conformément à l’article 21, ces mesures, qui garantissent, pour les réseaux et les systèmes d’information des futures entités essentielles et importantes, « un niveau de sécurité adapté et proportionné au risque existant en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en œuvre », comprennent au moins :
A) Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
B) La gestion des incidents ;
C) La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
D) La sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
E) La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
F) Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
G) Les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
H) Les politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
I) La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
J) L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
Comme prévu par le processus de transposition de la directive en droit national piloté par l’ANSSI, ces mesures seront précisées dans les textes législatifs et réglementaires, au travers notamment d’un référentiel d’exigences en matière de cybersécurité. Ces exigences s’inscriront dans la suite logique de l’actuelle réglementation NIS 1 et porteront principalement sur des aspects d’hygiène informatique fondamentale afin que les entités puissent se protéger contre les menaces les plus courantes.
L’ANSSI travaille actuellement à la rédaction de ce référentiel. Il est envisagé qu’il s’articule autour d’une vingtaine d’objectifs de sécurité qui seront la traduction technique, opérationnelle et organisationnelle des mesures de l’article 20 et de l’article 21 de la directive NIS2 listées supra, et qui seront obligatoires. Chaque objectif serait assorti de mesures proposées qui constitueraient des « moyens acceptables de mise en œuvre », dont le respect permettrait d’atteindre les objectifs. Mais ceux-ci ne seront pas obligatoires en tant que tels, l’entité restant libre de mettre en œuvre les moyens qu’elle souhaite tant qu’ils permettent l’atteinte des objectifs susmentionnés.
Le détail des mesures sera donc défini prochainement et intègrera notamment le principe de proportionnalité entre les entités essentielles et les entités importantes afin qu’il y ait une différence claire entre les entités essentielles qui devront respecter un niveau d’exigence plus haut, et les entités importantes, qui constitueront la majorité des nouveaux acteurs régulés.
Il intègrera également les avis donnés par les représentants des entités au travers des consultations en cours.
A noter : certains types d’entité relevant des secteurs « Infrastructures numériques », « Gestion des services TIC » et « Fournisseurs numériques » tels que définis par les annexes de la directive NIS 2 font l’objet d’un règlement d’exécution spécifique de la Commission européenne. Elles seront donc, dans ce cas particulier, soumises à des mesures de gestion des risques cyber et à des obligations en matière de réponse à incident spécifiques. Elles ne seront par conséquent pas soumises aux mesures de sécurité ni aux règles de notification d’incidents s’appliquant aux entités régulées par NIS 2. Elles devront en revanche bien s’enregistrer auprès de l’autorité nationale de la juridiction de laquelle elles relèvent.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Conformément à l’article 20, les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21 et de superviser sa mise en œuvre. En outre, l’article 20 prévoit que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation. Ils sont également encouragés à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.
Conformément à l’article 21, ces mesures, qui garantissent, pour les réseaux et les systèmes d’information des futures entités essentielles et importantes, « un niveau de sécurité adapté et proportionné au risque existant en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en œuvre », comprennent au moins :
A) Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
B) La gestion des incidents ;
C) La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
D) La sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
E) La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
F) Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
G) Les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
H) Les politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
I) La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
J) L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
Comme prévu par le processus de transposition de la directive en droit national piloté par l’ANSSI, ces mesures seront précisées dans les textes législatifs et réglementaires, au travers notamment d’un référentiel d’exigences en matière de cybersécurité. Ces exigences s’inscriront dans la suite logique de l’actuelle réglementation NIS 1 et porteront principalement sur des aspects d’hygiène informatique fondamentale afin que les entités puissent se protéger contre les menaces les plus courantes.
L’ANSSI travaille actuellement à la rédaction de ce référentiel. Il est envisagé qu’il s’articule autour d’une vingtaine d’objectifs de sécurité qui seront la traduction technique, opérationnelle et organisationnelle des mesures de l’article 20 et de l’article 21 de la directive NIS2 listées supra, et qui seront obligatoires. Chaque objectif serait assorti de mesures proposées qui constitueraient des « moyens acceptables de mise en œuvre », dont le respect permettrait d’atteindre les objectifs. Mais ceux-ci ne seront pas obligatoires en tant que tels, l’entité restant libre de mettre en œuvre les moyens qu’elle souhaite tant qu’ils permettent l’atteinte des objectifs susmentionnés.
Le détail des mesures sera donc défini prochainement et intègrera notamment le principe de proportionnalité entre les entités essentielles et les entités importantes afin qu’il y ait une différence claire entre les entités essentielles qui devront respecter un niveau d’exigence plus haut, et les entités importantes, qui constitueront la majorité des nouveaux acteurs régulés.
Il intègrera également les avis donnés par les représentants des entités au travers des consultations en cours.
A noter : certains types d’entité relevant des secteurs « Infrastructures numériques », « Gestion des services TIC » et « Fournisseurs numériques » tels que définis par les annexes de la directive NIS 2 font l’objet d’un règlement d’exécution spécifique de la Commission européenne. Elles seront donc, dans ce cas particulier, soumises à des mesures de gestion des risques cyber et à des obligations en matière de réponse à incident spécifiques. Elles ne seront par conséquent pas soumises aux mesures de sécurité ni aux règles de notification d’incidents s’appliquant aux entités régulées par NIS 2. Elles devront en revanche bien s’enregistrer auprès de l’autorité nationale de la juridiction de laquelle elles relèvent.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 24/10/2024
Merci !