Au programme
Partie 1 : Élargissement du champ d'application
Partie 2 : Renforcement des exigences de sécurité
Partie 3 : Obligations de notification améliorées
Partie 4 : Sanctions renforcées
Partie 5 : Cadre de gouvernance amélioré
Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement
FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2
- Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?
- Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?
- Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?
Partie 1 : Élargissement du champ d'application
La directive NIS 1 ciblait principalement les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN) alors que la directive NIS 2 étend considérablement le champ d'application pour inclure un plus grand nombre d'entités et de secteurs.
NIS 1 (Directive 2016/1148) |
NIS 2 (Directive 2022/2555) |
Les Opérateurs de Services Essentiels (OSE):
- Énergies (Electricité, Gaz, Pétrole, Nucléaire)
- Transports (Aériens, Ferroviaires, Maritimes, Routiers)
- Banques et Infrastructures Financières
- Service de Santé
- Fourniture et Distribution d'Eau Potable
|
Les Entités Essentielles (EE):
- Tous les secteurs OSE de NIS 1
- Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
- Gestion des services TIC (interentreprises)
- Administration Publique (selon les critères spécifiques de chaque État membre)
- Gestion des Eaux Usées
- Secteur Spatial
|
Les Fournisseurs de Services Numériques (FSN):
- Places de Marché en Ligne (IXP)
- Moteurs de Recherche en Ligne
- Fournisseurs de Services de Cloud
- Fournisseurs de Services DNS
- Gestionnaires de Domaines de Premier Niveau (TLD)
|
Les Entités Importantes (EI):
- Tous les secteurs FSN de NIS 1
- Recherche et développement
- Services postaux et d'expédition
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution des denrées alimentaires
- Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
- Plateformes de services de réseaux sociaux
- Fournisseurs de réseaux de diffusion de contenu (CDN)
- Plateformes de commerce en ligne
|
Récapitulatif des changements notables :
- La directive NIS 2 remplace la distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) par des "Entités Essentielles (EE) et des Entités Importantes (EI)", élargissant considérablement le champ d'application.
- Les obligations pour les FSN sont renforcées dans NIS 2 et s'alignent davantage sur celles des Entités Essentielles et des Entités Importante
- NIS 2 ajoute les plateformes de services de réseaux sociaux à la catégorie des FSN.
- Le champ d'application sectoriel est considérablement élargi dans NIS 2, couvrant plus de secteurs critiques de l'économie et de la société.
Partie 2 : Renforcement des exigences de sécurité
La directive NIS 2 impose des mesures de sécurité plus strictes, axées sur la gestion des risques à travers la prévention, la détection, la réponse aux incidents et la récupération.
Ces mesures sont désormais obligatoires pour une plus grande variété d'entités, y compris celles qui n'étaient pas auparavant couvertes par la NIS 1, reflétant l'importance accrue de la cybersécurité dans tous les secteurs critiques .
NIS 1 (Directive 2016/1148) |
NIS 2 (Directive 2022/2555) |
Mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques (Art. 14.1) |
Ajout de mesures spécifiques : politiques de cybersécurité, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, cryptographie, etc. (Art. 21.2) |
Pas de mention explicite de la gestion des risques liés à la chaîne d'approvisionnement |
Obligation d'évaluer et de prendre en compte les risques liés aux fournisseurs et prestataires de services (Art. 21.3) |
Pas d'obligation spécifique concernant la formation |
Obligation de formation régulière en cybersécurité pour le personnel (Art. 20.2) |
Pas de mention de la responsabilité des organes de direction |
Responsabilité explicite des organes de direction dans l'approbation et la supervision des mesures de cybersécurité (Art. 20.1) |
Pas d'exigences spécifiques pour les différents secteurs |
Possibilité d'exigences sectorielles spécifiques via des actes d'exécution de la Commission (Art. 21.5) |
Pas de mention de l'utilisation de la cryptographie |
Promotion de l'utilisation du chiffrement et du chiffrement de bout en bout (Art. 23.2) |
Pas d'obligation d'utiliser des produits certifiés |
Possibilité pour les États membres d'exiger l'utilisation de produits certifiés pour certaines entités (Art. 24.1) |
Exemples concrets :
- NIS 1 : Une banque devait mettre en place des mesures de sécurité appropriées, sans plus de précisions.
- NIS 2 : Cette même banque devra mettre en place des politiques de cybersécurité spécifiques, former régulièrement son personnel, évaluer les risques liés à ses fournisseurs IT et potentiellement utiliser des produits certifiés pour ses systèmes critiques.
Récapitulatif des changements notables :
- Spécification plus détaillée des mesures de sécurité requises
- Accent mis sur la sécurité de la chaîne d'approvisionnement
- Responsabilisation accrue des organes de direction
- Introduction d'exigences de formation du personnel
- Promotion de l'utilisation du chiffrement
- Possibilité d'exigences sectorielles spécifiques
- Incitation à l'utilisation de produits certifiés
Partie 3 : Obligations de notification améliorées
Sous NIS 1, la notification était requise pour les incidents ayant un impact significatif.
La directive NIS 2 va plus loin en exigeant une notification plus rapide et plus détaillée des incidents, y compris ceux susceptibles d'affecter d'autres États membres.
Cette modification vise à améliorer la transparence et la réactivité face aux cyberattaques, facilitant une réponse coordonnée à travers l'UE .
NIS 1 (Directive 2016/1148) |
NIS 2 (Directive 2022/2555) |
Notification des incidents ayant un impact important sur la continuité des services essentiels (Art. 14) |
Ajout d'une alerte précoce dans les 24h suivant la prise de connaissance d'un incident important (Art. 23.4) |
Délai de notification non précisé |
Notification de l'incident dans les 72h (Art. 23.4) |
Contenu de la notification non détaillé |
Rapport final dans le mois suivant l'incident, avec description détaillée, impact, mesures prises, etc. (Art. 23.4) |
Notification uniquement pour les Opérateurs de Services Essentiels |
Élargissement aux entités importantes (Art. 23.1) |
Critères généraux pour déterminer l'importance d'un incident (nombre d'utilisateurs touchés, durée, zone géographique) |
Critères plus précis, par exemple pour le secteur de l'énergie : volume ou proportion d'énergie produite au niveau national (Art. 23.3) |
Pas d'obligation explicite d'informer les utilisateurs |
Obligation d'informer les utilisateurs des mesures qu'ils peuvent prendre face à une cybermenace importante (Art. 23.2) |
Notification volontaire possible pour les autres entités (Art. 20) |
Notification obligatoire des cybermenaces importantes pour certaines entités (Art. 30) |
Exemples concrets :
- NIS 1 : Un hôpital victime d'une cyberattaque paralysant ses systèmes pendant 24h devait le notifier, sans délai précis.
- NIS 2 : Ce même hôpital devra envoyer une alerte dans les 24h, une notification détaillée dans les 72h, et un rapport complet dans le mois. Il devra aussi informer les patients des mesures à prendre (ex: report de rendez-vous non urgents).
Voici un tableau récapitulatif comparant les délais d'alerte entre NIS 1 et NIS 2 :
Etapes |
NIS 1 (Directive 2016/1148) |
NIS 2 (Directive 2022/2555) |
Alerte précoce |
Non spécifié |
24 heures |
Notification d'incident |
72 heures |
72 heures |
Rapport intermédiaire |
Non spécifié |
Sur demande de l'autorité compétente |
Rapport final |
Non spécifié |
1 mois après la notification d'incident |
Rapport d'avancement |
Non spécifié |
Si l'incident est toujours en cours après 1 mois |
Rapport final (après rapport d'avancement) |
Non spécifié |
1 mois après le traitement de l'incident |
Partie 4 : Sanctions renforcées
La directive NIS 2 introduit des sanctions plus sévères pour non-conformité, y compris des amendes basées sur le chiffre d'affaires de l'entité.
Ces sanctions ont pour but de renforcer la conformité et de souligner la gravité des manquements en matière de cybersécurité.
NIS 1 (Directive 2016/1148) |
NIS 2 (Directive 2022/2555) |
Les États membres fixent les règles relatives aux sanctions applicables en cas d'infraction aux dispositions nationales. |
Maintien des sanctions fixées par les États membres |
Pas de montants ou pourcentages spécifiques mentionnés dans la directive |
Introduction d'amendes administratives spécifiques :
- Pour les Entités Essentielles (EE) : 10 000 000 EUR ou 2% du chiffre d'affaires annuel mondial total
- Pour les Entités Importantes (EI) : 7 000 000 EUR ou 1,4% du chiffre d'affaires annuel mondial total
NB : Le montant le plus élevé étant celui retenu.
|
Les sanctions doivent être "effectives, proportionnées et dissuasives" |
Maintien du principe de sanctions "effectives, proportionnées et dissuasives |
Pas de mention d'astreintes |
Possibilité d'imposer des astreintes pour contraindre une entité à mettre fin à une violation |
Pas de mention de suspension de certifications/autorisations |
Possibilité de suspendre temporairement des certifications ou autorisations d'une entité essentielle |
Pas de critères spécifiques pour déterminer les sanctions |
Liste de critères à prendre en compte pour déterminer le montant des amendes (ex: gravité de l'infraction, durée, dommages causés, caractère intentionnel, etc.) |
Possibilité d'imposer une interdiction temporaire d'exercer des fonctions de direction pour une personne physique |
|
Exemples :
- NIS 1 : Un État membre pourrait fixer une amende maximale de 100 000.
- NIS 2 : Une grande entreprise du secteur de l'énergie avec un CA de 1 milliard € pourrait se voir infliger une amende allant jusqu'à 20 millions €.
Partie 5 : Cadre de gouvernance amélioré
Un cadre de gouvernance plus structuré est mis en place sous NIS 2, avec des autorités nationales renforcées et une coopération accrue entre les États membres.
Ce cadre comprend également des mécanismes de partage d'informations plus efficaces, essentiels pour une réponse rapide et efficace aux incidents de cybersécurité .
NIS 1 (Directive 2016/1148) |
NIS 2 (Directive 2022/2555) |
Groupe de coopération pour faciliter la coopération stratégique
- Échange de bonnes pratiques
|
Groupe de coopération renforcé avec des tâches élargies
- Élaboration de lignes directrices pour les évaluations des risques sectorielss
|
Réseau des CSIRT (Computer Security Incident Response Teams)
- Échange d'informations sur les incidents
|
Réseau des CSIRT avec des capacités opérationnelles renforcées
- Coordination des réponses aux incidents transfrontaliers
|
Points de contact uniques dans chaque État membre
- Liaison pour la coopération transfrontalière
|
Points de contact uniques avec un rôle de coordination renforcé
- Transmission des notifications d'incidents transfrontaliers
|
Pas de mention d'exercices de cybersécurité au niveau de l'UE |
Introduction d'exercices de cybersécurité paneuropéens biennaux
- Simulation d'une cyberattaque à grande échelle sur les infrastructures critiques
|
Pas de mécanisme d'évaluation par les pairs |
Introduction d'évaluations par les pairs pour vérifier l'efficacité des politiques nationales
- Examen de la stratégie nationale de cybersécurité d'un État membre par ses pairs
|
Pas de mention d'EU-CyCLONe |
Création d'EU-CyCLONe (EU - Cyber Crisis Liaison Organisation Network)
- Coordination de la gestion des incidents majeurs de cybersécurité au niveau de l'UE
|
Stratégies nationales de cybersécurité requises
- Définition d'objectifs généraux
|
Stratégies nationales de cybersécurité plus détaillées et alignées
- Inclusion de politiques sur la divulgation des vulnérabilités
|
Coopération limitée avec les pays tiers |
Cadre renforcé pour la coopération internationale
- Partage d'informations sur les menaces avec des partenaires stratégiques
|
Pas de mention de base de données des vulnérabilités |
Création d'une base de données européenne des vulnérabilités
- Centralisation des informations sur les vulnérabilités découvertes dans les logiciels couramment utilisés
|
Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement
NIS 2 exige que les entités gèrent les risques associés à leurs fournisseurs et sous-traitants, adoptant une approche de sécurité holistique.
Cette exigence est particulièrement pertinente dans un monde où les chaînes d'approvisionnement sont de plus en plus interconnectées et susceptibles de propager des vulnérabilités .
NIS 1 (Directive 2016/1148) |
NIS 2 (Directive 2022/2555) |
Pas de mention spécifique de la chaîne d'approvisionnement |
Focus explicite sur la sécurité de la chaîne d'approvisionnement |
Exigences de sécurité générales pour les opérateurs de services essentiels
- Mesures techniques et organisationnelles appropriées pour gérer les risques
|
Exigences spécifiques pour la gestion des risques liés à la chaîne d'approvisionnement
- Évaluation des risques de sécurité des fournisseurs critiques
|
Pas d'obligation d'évaluer les risques des fournisseurs |
Obligation d'évaluer la qualité et la cybersécurité des produits et services des fournisseurs
- Audit de sécurité des pratiques de développement logiciel d'un fournisseur clé
|
Pas de mention des facteurs non techniques |
Prise en compte des facteurs non techniques dans l'évaluation des risques
- Évaluation de l'influence potentielle d'un pays tiers sur un fournisseur critique
|
Pas d'évaluations coordonnées des risques au niveau de l'UE |
Introduction d'évaluations coordonnées des risques pour les chaînes d'approvisionnement critiques
- Évaluation coordonnée des risques liés aux fournisseurs de services cloud au niveau de l'UE
|
Pas de mention des accords contractuels |
Encouragement à inclure des exigences de cybersécurité dans les accords contractuels
- Clauses contractuelles imposant des normes de sécurité minimales aux fournisseurs
|
Pas de focus sur les fournisseurs de services de sécurité gérés |
Attention particulière portée aux fournisseurs de services de sécurité gérés
- Diligence renforcée dans la sélection des fournisseurs de services de détection et de réponse aux incidents
|
Pas de mention de la divulgation coordonnée des vulnérabilités |
Introduction de politiques de divulgation coordonnée des vulnérabilités
- Procédure standardisée pour signaler les vulnérabilités découvertes dans les produits des fournisseurs
|
Pas de mention des dépendances sectorielles |
Prise en compte des dépendances intersectorielles dans l'évaluation des risques
- Évaluation de l'impact d'une défaillance d'un fournisseur d'énergie sur le secteur bancaire
|
Pas d'exigences spécifiques pour les petites et moyennes entreprises (PME) |
Recommandations pour aider les PME à gérer les risques de la chaîne d'approvisionnement
- Lignes directrices simplifiées pour l'évaluation des risques des fournisseurs pour les PME
|
FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2
1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?
NIS 2 élargit considérablement le champ d'application en remplaçant la distinction OSE/FSN par des Entités Essentielles et Importantes. Il couvre plus de secteurs critiques et renforce les obligations pour les FSN.
2. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?
NIS 2 impose une alerte précoce dans les 24h, une notification détaillée dans les 72h et un rapport complet dans le mois. Les entités doivent aussi informer les utilisateurs des mesures à prendre face aux cybermenaces importantes.
3. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?
NIS 2 introduit des amendes administratives spécifiques basées sur le chiffre d'affaires. Pour les Entités Essentielles, elles peuvent atteindre 10M€ ou 2% du CA mondial. Des astreintes et suspensions de certifications sont également possibles.
Pour compléter votre lecture, lisez les autres articles pour mieux comprendre la Directive NIS 2 :