NIS2 Compliancy with the help of Kappa Data

Chez Kappa Data, nous collectons des informations sur la loi NIS2 et informons nos partenaires informatiques des solutions que nous pouvons proposer à notre réseau de partenaires en France.
La loi NIS2 n’a pas encore été publiée, mais nous recommandons à notre réseau de partenaires de prendre les premières mesures élémentaires afin d’améliorer le niveau de cybersécurité chez les clients finaux et d’entamer les discussions.

Suite à la dissolution de l’Assemblée nationale française le 9 juin 2024, l’examen par le Conseil des ministres du projet de loi visant à transposer la directive NIS 2 a été reporté. Étant donné que la date limite pour la transposition de la directive a été fixée au 17 octobre 2024, la transposition sera tardive.

Il convient de rappeler que la date limite pour la mise en conformité des acteurs concernés avec les mesures prévues par la directive, via la loi française transposant celle-ci, est fixée au 31 décembre 2027. Compte tenu des nombreuses obligations prévues par la directive et du large éventail d’acteurs concernés, il deviendra de plus en plus urgent de connaître les dispositions précises transposant la directive NIS 2 à l’approche de la date du 31 décembre 2027. Cela est d’autant plus vrai pour les grandes entités et/ou celles pour lesquelles le délai de mise en conformité risque d’être long.

Le 3 octobre 2024, la Commission Supérieure du Numérique et des Postes (CSNP) a publié un avis contenant 32 recommandations pour la future transposition de la directive NIS 2. L’une des recommandations de la CSNP était de « préciser dans la loi le champ d’application de l’article 28 de la directive NIS 2 relatif à la base de données d’enregistrement des noms de domaine ».

Télécharger le NIS2 Ebook
NIS2 Compliance
Sur cette page, Kappa Data vous informe sur la teneur des directives NIS2 et vous fournit des liens vers d'autres sources du ANSSI, afin que vous puissiez préparer votre organisation à ces exigences.

Qu'est-ce que NIS2 ?

La NIS2 est un ensemble de mesures minimales visant à protéger les services essentiels contre les perturbations importantes. La NIS2 succède aux directives NIS1, mises en place en 2016 pour les secteurs essentiels tels que l'énergie, la banque, les transports, la santé et l'eau potable. Compte tenu des menaces actuelles dans le cyberespace, l'UE a décidé d'étendre ces mesures, ainsi que le nombre de secteurs concernés.

L'UE a (ré)utilisé le cadre du NIST et a lancé le cadre Cyberfundamentals, comme indiqué ci-dessous.
Cyberfundamentals Framework NIS2
Identify
Identifiez vos actifs et procédez à des évaluations des risques.
Protect
Protection des actifs contre les cyberrisques
Detect
Détecter les cyberattaques et les incidents
Response
Réagissez aux incidents cybernétiques grâce à une équipe d'intervention dédiée.
Recover
Assurez la continuité de vos activités grâce à une reprise après sinistre.

À qui s'adresse NIS2 ?

Secteurs concernés

Vous trouverez ci-dessous un aperçu des secteurs essentiels déjà couverts par la NIS1 en noir et les nouvelles sections ajoutées en vert. Les deux couleurs couvrent les sections définies par l'UE pour la NIS2.
Sectors NIS2 Belgium

Qu'est-ce qu'une activité essentielle ?

Les activités essentielles ont été prises en considération lorsque l'organisation offre des services vitaux pour l'économie ou notre communauté et sont considérées comme hautement critiques. Prenons l'exemple du secteur de l'énergie : imaginez que nous n'ayons plus d'énergie, plus d'électricité pour l'éclairage, l'eau chaude ou l'électricité. Nous ne pourrions plus travailler et notre mode de vie serait gravement compromis. Cet impact a été considéré comme un service essentiel.

Qu'est-ce qu'une activité importante ?

Les services importants fournissent des services essentiels à notre économie ou à notre société, mais ils sont moins critiques que les services essentiels. Par exemple, les réseaux sociaux : lorsque nous n'avons pas accès à Instagram ou à d'autres réseaux sociaux, c'est désagréable, mais nous survivrons à cette interruption.

L'UE a mis en place une classification supplémentaire basée sur la taille des entités, comme indiqué ci-dessous.

Dimensionnement des entités pour NIS2

Important Entities NIS2
Essential Entity NIS2

Lorsque vous devez vous conformer à la loi NIS2, la taille de l’entité est un critère à prendre en compte. Seules les entités de taille moyenne et supérieure, dont la taille correspond aux chiffres indiqués ci-dessus, sont considérées comme conformes à la NIS2. MAIS, il existe quelques exceptions :

  • Différence entre le chiffre d’affaires et le total du bilan : lorsqu’une organisation de 35 employés a un chiffre d’affaires de 1 million d’euros (petite) mais un bilan de 50 millions d’euros (grande), il est important de retenir le montant le plus bas, en l’occurrence le chiffre d’affaires.
  • Une entreprise de 80 employés (moyenne) a un chiffre d’affaires annuel de 1 million d’euros (petite) et un bilan annuel de 70 millions d’euros (grande). Pour les montants financiers, elle choisit de ne tenir compte que du plus faible : son chiffre d’affaires. Comme le chiffre d’affaires est faible mais que l’effectif est moyen, il s’agit d’une entreprise de taille moyenne.
  • Entités faisant partie d’un groupe : le calcul de la taille d’une organisation faisant partie d’un groupe (appelées « entreprises partenaires » ou « entreprises liées ») implique une consolidation des données des différentes composantes de ce groupe.
  • Fournisseur dans la chaîne d’approvisionnement : une entité qui fournit des services à une entreprise essentielle ou importante peut également être considérée comme importante ou essentielle lorsque les services de cette entité sont jugés critiques pour les services des entités essentielles et importantes. Le gouvernement peut décider que cette entité est essentielle ou importante.

Exceptions NIS2 quelle que soit la taille

Il existe une liste d’exceptions à la limite de taille. Certains types d’entités relèvent du champ d’application de la loi NIS2, quelle que soit leur taille :

  • Prestataires de services de confiance qualifiés (essentiels)
  • Prestataires de services de confiance non qualifiés (importants s’il s’agit de micro, petites ou moyennes entreprises et essentiels s’il s’agit de grandes entreprises)
  • Prestataires de services DNS (essentiels)
  • Registres de noms TLD (essentiels)
  • Services d’enregistrement de noms de domaine (uniquement pour l’obligation d’enregistrement)
  • Fournisseurs de réseaux de communications électroniques accessibles au public (essentiels)
  • Entités identifiées comme opérateurs d’infrastructures critiques en vertu de la loi du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques (essentiels)
  • Entités de l’administration publique dépendant de l’État fédéral (essentiels)
Source CCB Belgium

Secteurs et sous-secteurs critiques et hautement critiques

Les services sont regroupés par secteurs. Voici la liste des différents secteurs et sous-secteurs :

Secteurs critiques (annexe I)

  1. Énergie
    1. Électricité
    2. Chauffage et refroidissement urbains
    3. Pétrole
    4. Gaz
    5. Hydrogène
  2. Transports
    1. Aérien
    2. Ferroviaire
    3. Maritime
    4. Routier
  3. Banque
  4. Infrastructure des marchés financiers
  5. Santé
  6. Eau potable
  7. Eaux usées
  8. Infrastructure numérique des TIC
  9. Gestion des services TIC (B2B)
  10. Administration publique
  11. Espace

Secteurs critiques (annexe II)

  1. Services postaux et de messagerie
  2. Gestion des déchets
  3. Fabrication, production et distribution de produits chimiques
  4. Production, transformation et distribution de denrées alimentaires
  5. Fabrication
    1. Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro
    2. Fabrication de produits informatiques, électroniques et optiques
    3. Fabrication d’équipements électriques
    4. Fabrication de machines et d’équipements n.c.a.
    5. Fabrication de véhicules automobiles, de remorques et de semi-remorques
      1. Fabrication d’autres équipements de transport
  6. Fournisseurs de services numériques
  7. Recherche
La plupart des services sont définis par référence aux définitions figurant dans les instruments législatifs de l'UE. Il est très important de consulter ces définitions afin de vérifier si elles correspondent au service effectivement fourni par une organisation.

Une organisation qui analyse si elle relève du champ d'application de la loi NIS2 doit donc établir le lien entre un service qu'elle fournit et un service mentionné dans les annexes de la loi. Il convient de noter qu'il est possible qu'une organisation couvre plusieurs services et relève de plusieurs secteurs. Pour avoir une meilleure vue d'ensemble du champ d'application de la loi, nous vous invitons à consulter notre résumé visuel du champ d'application :
Source CCB Belgium

Ce n'est pas dans le champ d'application ? Vérifiez la chaîne d'approvisionnement !

Il est possible qu’après une analyse approfondie du champ d’application de la loi NIS2, certaines organisations se rendent compte qu’elles ne relèvent en fait pas de ladite loi. Toutes les organisations non soumises à la loi NIS2 doivent savoir que celle-ci peut néanmoins les concerner de deux manières.

Premièrement, l’autorité nationale de cybersécurité (le CCB) peut identifier certaines organisations, quelle que soit leur taille, comme des entités essentielles ou importantes au sens de la loi NIS2 dans quatre cas différents :

  1. l’entité est le seul fournisseur, en Belgique, d’un service essentiel au maintien d’activités sociétales ou économiques critiques ;
  2. la perturbation du service fourni par l’entité pourrait avoir un impact significatif sur la sécurité publique, la sûreté publique ou la santé publique ;
  3. la perturbation du service fourni par l’entité pourrait induire un risque systémique significatif, en particulier pour les secteurs où une telle perturbation pourrait avoir un impact transfrontalier ;
  4. l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service concerné, ou pour d’autres secteurs interdépendants en Belgique.

Ce processus se déroule en concertation avec l’entité concernée et d’autres acteurs concernés, tels que l’autorité sectorielle (si elle existe) et les entités fédérées compétentes.

Deuxièmement, une organisation peut faire partie de la chaîne d’approvisionnement d’une entité NIS2 et être confrontée à l’obligation de mettre en œuvre des mesures de gestion des risques liés à la cybersécurité en raison d’une exigence contractuelle. Les entités NIS2 ont en effet l’obligation d’assurer la sécurité de leur chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs.

Dans ce contexte, le Centre pour la cybersécurité Belgique conseille à toutes les organisations susceptibles de se trouver dans la chaîne d’approvisionnement d’une entité NIS2 de se conformer au moins aux mesures définies dans le CyberFundamentals (CyFun®) Framework level Basic. Une entité NIS2 pourrait théoriquement imposer la conformité à un certain niveau CyFun® à ses fournisseurs ou prestataires de services directs.

Source CCB Belgium
Faites le test Scope ici

Questions fréquemment posées

Consultez notre section FAQ où vous trouverez les premières questions qui nous ont été posées au cours des derniers mois.

Contactez-nous

  • Comment un SOC peut-il aider les organisations à se conformer aux directives NIS2 ?

    Un SOC peut aider les organisations à se conformer aux directives NIS 2 en :

    • Surveillance et détection : assurer une surveillance continue afin de détecter et de réagir aux incidents de sécurité en temps réel.
    • Réponse aux incidents : mettre en œuvre des procédures efficaces de réponse aux incidents afin d’atténuer l’impact des failles de sécurité.
    • Rapports : garantir la communication rapide et précise des incidents importants aux autorités compétentes.
    • Renseignements sur les menaces : tenir l’organisation informée des menaces et vulnérabilités émergentes.
    • Audits de sécurité : réaliser régulièrement des audits et des évaluations de sécurité afin de garantir la conformité aux exigences de la directive NIS 2.

  • Que sont les directives NIS2 ?

    Les directives NIS2 (sécurité des réseaux et de l’information) sont un ensemble de réglementations introduites par l’Union européenne afin de renforcer la cybersécurité des infrastructures critiques et des services essentiels dans tous les États membres. Ces directives visent à garantir un niveau élevé de cybersécurité dans toute l’UE en exigeant des organisations qu’elles mettent en œuvre des mesures de sécurité robustes et signalent les incidents importants.

  • Quelles évolutions peut-on attendre concernant la directive NIS2 ?

    Les développements futurs comprennent l’amélioration des législations nationales afin de se conformer pleinement à la directive, la mise en place de cadres de cybersécurité plus solides, des mises à jour continues pour faire face aux menaces émergentes et une collaboration renforcée au niveau de l’UE afin de garantir une posture de cybersécurité unifiée et efficace.

  • Quel est l’impact de la directive NIS2 sur les petites et moyennes entreprises (PME) ?

    Si la directive NIS2 se concentre sur les opérateurs de services essentiels et les fournisseurs de services numériques, les PME des secteurs critiques doivent également se conformer aux exigences de la directive. Toutefois, celle-ci prévoit des mesures de proportionnalité afin de garantir que les obligations soient adaptées à la taille et aux ressources des entités concernées.

  • Quels mécanismes de coopération la directive NIS2 met-elle en place ?

    La directive NIS2 établit des groupes de coopération afin de faciliter la coopération stratégique et l’échange d’informations entre les États membres. Elle crée également un réseau de CSIRT nationaux afin de garantir une coopération opérationnelle efficace.

  • Quel rôle jouent les équipes d’intervention en cas d’incident de sécurité informatique (CSIRT) dans le cadre de la directive NIS2 ?

    Les CSIRT sont chargés de surveiller, détecter et répondre aux incidents. Ils fournissent des capacités d’alerte précoce, d’évaluation des risques et de réponse aux incidents afin d’aider les opérateurs de services essentiels et les fournisseurs de services numériques.

  • Comment la directive NIS2 garantit-elle le respect des dispositions et quelles sanctions peuvent être imposées ?

    Les autorités nationales sont habilitées à effectuer des audits et des inspections. Les sanctions en cas de non-respect peuvent inclure des amendes, des sanctions administratives et une atteinte à la réputation. Les sanctions exactes sont déterminées par chaque État membre.

  • Quelles sont les obligations en matière de notification des incidents prévues par la directive NIS2 ?

    Les entités doivent signaler sans délai à l’autorité nationale compétente les incidents ayant une incidence significative sur la fourniture de leurs services. La notification initiale doit être suivie d’un rapport final une fois que la cause profonde et l’incidence ont été pleinement comprises.

  • Obligations des exploitants

    La directive NIS2 couvre un large éventail de secteurs, notamment l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’approvisionnement en eau potable et la distribution, les infrastructures numériques, les services publics

  • NIS2 Portée et couverture

    Les opérateurs de services essentiels sont tenus d’adopter des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d’information. Cela comprend la gestion des incidents, la continuité des activités, la surveillance, l’audit et le contrôle.