NIS 2 : Qu’est-ce que c’est ? Présentation de la Directive (1/4)

Mickaël MARTIN Responsable Sécurité des Systèmes d'Information chez Blue

Entre NIS 1 & NIS 2, quels sont les changements importants ?

La principale différence entre la directive NIS 1 et NIS 2 réside dans l'élargissement significatif du champ d'application. Alors que NIS 1 ciblait uniquement un nombre limité de secteurs présentés comme critiques, NIS 2 inclut désormais de nouvelles entités essentielles et importantes.

Par exemple, sous NIS 1, seules des entreprises comme les opérateurs d'infrastructures critiques (énergie, transport, santé, etc.) étaient concernées. Désormais, avec NIS 2, des secteurs comme les fournisseurs de services cloud, les data centers, ou même les entreprises de l’alimentation et du traitement des eaux sont également soumis à des obligations de cybersécurité renforcées.

Autre évolution à bien prendre en compte, la directive NIS 2 impose des mesures de sécurité plus strictes. Là où NIS 1 demandait simplement de notifier les incidents majeurs, NIS 2 introduit des règles de gestion des risques plus avancées, incluant des contrôles sur les chaînes d’approvisionnement. Imaginez, une entreprise exerçant dans le traitement de l’eau qui sous-traite tout ou une partie de son SI rend applicable la directive NIS 2 au sous-traitant. Sous NIS 2, non seulement l'entreprise doit renforcer sa propre cybersécurité, mais elle doit aussi s'assurer que ses sous-traitants respectent des normes élevées de sécurité.

Pourquoi l’Europe décide-t-elle d’imposer cette directive ?

Le but principal est clair : mieux répondre à l’intensification des cybermenaces. Les attaques sont devenues plus sophistiquées, plus fréquentes et ciblent des infrastructures critiques pouvant avoir des impacts potentiellement dévastateurs. Un exemple marquant est l'attaque par ransomware contre le service de santé en Irlande en 2021, qui a paralysé des hôpitaux pendant plusieurs semaines. Un autre exemple est le piratage d’une usine de traitement de l’eau dans l’état de Floride en 2021. Les répercussions de ces attaques ne se limitent plus à une seule entreprise, elles menacent directement la sécurité et la santé publique.

L’Union Européenne souhaite donc harmoniser les niveaux de sécurité au sein de ses États membres, et développer un socle de sécurité commun. En introduisant NIS 2, elle s’assure que tous les pays adoptent des normes communes, favorisant ainsi une réponse collective et plus efficace aux menaces. Aujourd’hui, l’Europe veut mettre en place une défense collective et particulièrement face à des acteurs malveillants souvent internationaux. C’est un excellent point pour notre cyberprotection entre états membres.

Pourquoi les entreprises doivent-elles prendre avec importance, cette directive ?

Avant tout, les entreprises doivent voir la directive NIS 2 non pas comme une simple obligation légale et contraignante, mais comme une opportunité de renforcer leur résilience face aux cyberattaques.

Une entreprise qui se conforme à NIS 2 réduit significativement ses risques d’être paralysée par un ransomware, par exemple. Si on prend l’exemple d’une PME dans le secteur industriel : si elle néglige ses mesures de cybersécurité, une attaque pourrait bloquer ses machines de production pendant des jours, voire des semaines, ce qui entraînerait des pertes financières considérables, des ruptures de chaîne de production et une perte de confiance de ses clients. Autrement dit, ces attaques peuvent sérieusement impacter des entreprises.

Il faut aussi savoir que se conformer à NIS 2, c’est aussi protéger la réputation de son entreprise. Les clients et partenaires accordent de plus en plus d’importance à la sécurité des données. Une entreprise qui montre qu’elle respecte les normes de cybersécurité les plus récentes et les plus rigoureuses (comme celles de NIS 2) se démarque clairement.