Quelles sont les Principales Différences entre NIS 1 et NIS 2 ?

La transition de la Directive NIS originale (NIS 1) à la Directive NIS 2 constitue une étape importante dans le renforcement des mesures de cybersécurité au sein de l'Union européenne. Cet article propose une analyse détaillée des Principales Différences entre NIS 1 et NIS 2 pour mieux comprendre l'évolution de la réglementation en matière de sécurité des réseaux et des systèmes d'information.

Au programme

Partie 1 : Élargissement du champ d'application

Partie 2 : Renforcement des exigences de sécurité

Partie 3 : Obligations de notification améliorées

Partie 4 : Sanctions renforcées

Partie 5 : Cadre de gouvernance amélioré

‍FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement‍‍

  1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?
  1. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?
  1. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

Partie 1 : Élargissement du champ d'application

La directive NIS 1 ciblait principalement les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN) alors que la directive NIS 2 étend considérablement le champ d'application pour inclure un plus grand nombre d'entités et de secteurs.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Fournisseurs de Services Numériques (FSN):

 

  • Places de Marché en Ligne (IXP)
  • Moteurs de Recherche en Ligne
  • Fournisseurs de Services de Cloud
  • Fournisseurs de Services DNS
  • Gestionnaires de Domaines de Premier Niveau (TLD)

Les Entités Importantes (EI):

 

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Récapitulatif des changements notables :

 

  1. La directive NIS 2 remplace la distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) par des "Entités Essentielles (EE) et des Entités Importantes (EI)", élargissant considérablement le champ d'application.

 

  1. Les obligations pour les FSN sont renforcées dans NIS 2 et s'alignent davantage sur celles des Entités Essentielles et des Entités Importante

 

  1. NIS 2 ajoute les plateformes de services de réseaux sociaux à la catégorie des FSN.

 

  1. Le champ d'application sectoriel est considérablement élargi dans NIS 2, couvrant plus de secteurs critiques de l'économie et de la société.

Partie 2 : Renforcement des exigences de sécurité

La directive NIS 2 impose des mesures de sécurité plus strictes, axées sur la gestion des risques à travers la prévention, la détection, la réponse aux incidents et la récupération.

Ces mesures sont désormais obligatoires pour une plus grande variété d'entités, y compris celles qui n'étaient pas auparavant couvertes par la NIS 1, reflétant l'importance accrue de la cybersécurité dans tous les secteurs critiques .

Pour la compatibilité, le coffre-fort numérique que vous choisissez doit être compatible avec les outils de travail que vous utilisez déjà.

Pour l'assistance technique, il vous faut un support client réactif et compétent. Vous voulez être sûr que si vous rencontrez un problème, vous obtiendrez l'aide nécessaire rapidement.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques (Art. 14.1)

Ajout de mesures spécifiques : politiques de cybersécurité, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, cryptographie, etc. (Art. 21.2)

Pas de mention explicite de la gestion des risques liés à la chaîne d'approvisionnement

Les Entités Importantes (EI):

 

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Obligation de formation régulière en cybersécurité pour le personnel (Art. 20.2)

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Exemples concrets :

 

  • NIS 1 : Une banque devait mettre en place des mesures de sécurité appropriées, sans plus de précisions.
  • NIS 2 : Cette même banque devra mettre en place des politiques de cybersécurité spécifiques, former régulièrement son personnel, évaluer les risques liés à ses fournisseurs IT et potentiellement utiliser des produits certifiés pour ses systèmes critiques.

Récapitulatif des changements notables :

 

  1. Spécification plus détaillée des mesures de sécurité requises
  2. Accent mis sur la sécurité de la chaîne d'approvisionnement
  3. Responsabilisation accrue des organes de direction
  4. Introduction d'exigences de formation du personnel
  5. Promotion de l'utilisation du chiffrement
  6. Possibilité d'exigences sectorielles spécifiques
  7. Incitation à l'utilisation de produits certifiés

Partie 3 : Obligations de notification améliorées

Sous NIS 1, la notification était requise pour les incidents ayant un impact significatif.

La directive NIS 2 va plus loin en exigeant une notification plus rapide et plus détaillée des incidents, y compris ceux susceptibles d'affecter d'autres États membres.

Cette modification vise à améliorer la transparence et la réactivité face aux cyberattaques, facilitant une réponse coordonnée à travers l'UE .

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Notification des incidents ayant un impact important sur la continuité des services essentiels (Art. 14)

Ajout d'une alerte précoce dans les 24h suivant la prise de connaissance d'un incident important (Art. 23.4)

Délai de notification non précisé

Les Entités Importantes (EI):

 

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Rapport final dans le mois suivant l'incident, avec description détaillée, impact, mesures prises, etc. (Art. 23.4)

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Exemples concrets :

 

  • NIS 1 : Un hôpital victime d'une cyberattaque paralysant ses systèmes pendant 24h devait le notifier, sans délai précis.
  • NIS 2 : Ce même hôpital devra envoyer une alerte dans les 24h, une notification détaillée dans les 72h, et un rapport complet dans le mois. Il devra aussi informer les patients des mesures à prendre (ex: report de rendez-vous non urgents).

Voici un tableau récapitulatif comparant les délais d'alerte entre NIS 1 et NIS 2 :

Etapes

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Alerte précoce

Non spécifié

24 heures

Notification d'incident

72 heures

72 heures

Rapport intermédiaire

Non spécifié

Sur demande de l'autorité compétente

Rapport final

Non spécifié

1 mois après la notification d'incident

Rapport d'avancement

Non spécifié

Si l'incident est toujours en cours après 1 mois

Rapport final (après rapport d'avancement)

Non spécifié

1 mois après le traitement de l'incident

 

Partie 4 : Sanctions renforcées

La directive NIS 2 introduit des sanctions plus sévères pour non-conformité, y compris des amendes basées sur le chiffre d'affaires de l'entité.

Ces sanctions ont pour but de renforcer la conformité et de souligner la gravité des manquements en matière de cybersécurité.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Les États membres fixent les règles relatives aux sanctions applicables en cas d'infraction aux dispositions nationales.

Maintien des sanctions fixées par les États membres

Pas de montants ou pourcentages spécifiques mentionnés dans la directive

Les Entités Importantes (EI):

 

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Maintien du principe de sanctions "effectives, proportionnées et dissuasives

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Exemples :

 

  • NIS 1 : Un État membre pourrait fixer une amende maximale de 100 000.
  • NIS 2 : Une grande entreprise du secteur de l'énergie avec un CA de 1 milliard € pourrait se voir infliger une amende allant jusqu'à 20 millions €.

Partie 5 : Cadre de gouvernance amélioré

Un cadre de gouvernance plus structuré est mis en place sous NIS 2, avec des autorités nationales renforcées et une coopération accrue entre les États membres.

Ce cadre comprend également des mécanismes de partage d'informations plus efficaces, essentiels pour une réponse rapide et efficace aux incidents de cybersécurité.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Groupe de coopération pour faciliter la coopération stratégique

 

  • Échange de bonnes pratiques

Groupe de coopération renforcé avec des tâches élargies

 

  • Élaboration de lignes directrices pour les évaluations des risques sectorielss

Réseau des CSIRT (Computer Security Incident Response Teams)

 

  • Échange d'informations sur les incidents

Les Entités Importantes (EI):

 

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Points de contact uniques avec un rôle de coordination renforcé

  • Transmission des notifications d'incidents transfrontaliers

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Pas de mention de base de données des vulnérabilités

Création d'une base de données européenne des vulnérabilités

 

  • Centralisation des informations sur les vulnérabilités découvertes dans les logiciels couramment utilisés

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement

NIS 2 exige que les entités gèrent les risques associés à leurs fournisseurs et sous-traitants, adoptant une approche de sécurité holistique.

Cette exigence est particulièrement pertinente dans un monde où les chaînes d'approvisionnement sont de plus en plus interconnectées et susceptibles de propager des vulnérabilités .

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Pas de mention spécifique de la chaîne d'approvisionnement

Focus explicite sur la sécurité de la chaîne d'approvisionnement

Exigences de sécurité générales pour les opérateurs de services essentiels

  • Mesures techniques et organisationnelles appropriées pour gérer les risques

Exigences spécifiques pour la gestion des risques liés à la chaîne d'approvisionnement

  • Évaluation des risques de sécurité des fournisseurs critiques

Pas d'obligation d'évaluer les risques des fournisseurs

Obligation d'évaluer la qualité et la cybersécurité des produits et services des fournisseurs

  • Audit de sécurité des pratiques de développement logiciel d'un fournisseur clé

Pas de mention des facteurs non techniques

Prise en compte des facteurs non techniques dans l'évaluation des risques

  • Évaluation de l'influence potentielle d'un pays tiers sur un fournisseur critique

Pas d'évaluations coordonnées des risques au niveau de l'UE

Introduction d'évaluations coordonnées des risques pour les chaînes d'approvisionnement critiques

  • Évaluation coordonnée des risques liés aux fournisseurs de services cloud au niveau de l'UE

Pas de mention des accords contractuels

Encouragement à inclure des exigences de cybersécurité dans les accords contractuels

  • Clauses contractuelles imposant des normes de sécurité minimales aux fournisseurs

Pas de focus sur les fournisseurs de services de sécurité gérés

Attention particulière portée aux fournisseurs de services de sécurité gérés

  • Diligence renforcée dans la sélection des fournisseurs de services de détection et de réponse aux incidents

Pas de mention de la divulgation coordonnée des vulnérabilités

Introduction de politiques de divulgation coordonnée des vulnérabilités

  • Procédure standardisée pour signaler les vulnérabilités découvertes dans les produits des fournisseurs

Pas de mention des dépendances sectorielles

Prise en compte des dépendances intersectorielles dans l'évaluation des risques

  • Évaluation de l'impact d'une défaillance d'un fournisseur d'énergie sur le secteur bancaire

Pas d'exigences spécifiques pour les petites et moyennes entreprises (PME)

Recommandations pour aider les PME à gérer les risques de la chaîne d'approvisionnement

  • Lignes directrices simplifiées pour l'évaluation des risques des fournisseurs pour les PME

FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

  1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?

NIS 2 élargit considérablement le champ d'application en remplaçant la distinction OSE/FSN par des Entités Essentielles et Importantes. Il couvre plus de secteurs critiques et renforce les obligations pour les FSN.

 

  1. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?

 

NIS 2 impose une alerte précoce dans les 24h, une notification détaillée dans les 72h et un rapport complet dans le mois. Les entités doivent aussi informer les utilisateurs des mesures à prendre face aux cybermenaces importantes.

 

  1. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

 

NIS 2 introduit des amendes administratives spécifiques basées sur le chiffre d'affaires. Pour les Entités Essentielles, elles peuvent atteindre 10M€ ou 2% du CA mondial. Des astreintes et suspensions de certifications sont également possibles.

Ici, vous êtes accompagné

On prend le temps de comprendre vos usages, pour vous proposer un cadre de travail qui vous correspond

Nous contacter

Quelles sont les Principales Différences entre NIS 1 et NIS 2 ?

La transition de la Directive NIS originale (NIS 1) à la Directive NIS 2 constitue une étape importante dans le renforcement des mesures de cybersécurité au sein de l'Union européenne. Cet article propose une analyse détaillée des Principales Différences entre NIS 1 et NIS 2 pour mieux comprendre l'évolution de la réglementation en matière de sécurité des réseaux et des systèmes d'information.

Au programme

Partie 1 : Élargissement du champ d'application

Partie 2 : Renforcement des exigences de sécurité

Partie 3 : Obligations de notification améliorées

Partie 4 : Sanctions renforcées

Partie 5 : Cadre de gouvernance amélioré

‍FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement‍‍

  1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?
  1. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?
  1. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

Partie 1 : Élargissement du champ d'application

La directive NIS 1 ciblait principalement les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN) alors que la directive NIS 2 étend considérablement le champ d'application pour inclure un plus grand nombre d'entités et de secteurs.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Les Opérateurs de Services Essentiels (OSE):

 

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

 

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Fournisseurs de Services Numériques (FSN):

 

  • Places de Marché en Ligne (IXP)
  • Moteurs de Recherche en Ligne
  • Fournisseurs de Services de Cloud
  • Fournisseurs de Services DNS
  • Gestionnaires de Domaines de Premier Niveau (TLD)

Les Entités Importantes (EI):

 

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Récapitulatif des changements notables :

 

  1. La directive NIS 2 remplace la distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) par des "Entités Essentielles (EE) et des Entités Importantes (EI)", élargissant considérablement le champ d'application.

 

  1. Les obligations pour les FSN sont renforcées dans NIS 2 et s'alignent davantage sur celles des Entités Essentielles et des Entités Importante

 

  1. NIS 2 ajoute les plateformes de services de réseaux sociaux à la catégorie des FSN.

 

  1. Le champ d'application sectoriel est considérablement élargi dans NIS 2, couvrant plus de secteurs critiques de l'économie et de la société.

Partie 2 : Renforcement des exigences de sécurité

La directive NIS 2 impose des mesures de sécurité plus strictes, axées sur la gestion des risques à travers la prévention, la détection, la réponse aux incidents et la récupération.

Ces mesures sont désormais obligatoires pour une plus grande variété d'entités, y compris celles qui n'étaient pas auparavant couvertes par la NIS 1, reflétant l'importance accrue de la cybersécurité dans tous les secteurs critiques .

Pour la compatibilité, le coffre-fort numérique que vous choisissez doit être compatible avec les outils de travail que vous utilisez déjà.

Pour l'assistance technique, il vous faut un support client réactif et compétent. Vous voulez être sûr que si vous rencontrez un problème, vous obtiendrez l'aide nécessaire rapidement.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques (Art. 14.1)

Ajout de mesures spécifiques : politiques de cybersécurité, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, cryptographie, etc. (Art. 21.2)

Pas de mention explicite de la gestion des risques liés à la chaîne d'approvisionnement

Obligation d'évaluer et de prendre en compte les risques liés aux fournisseurs et prestataires de services (Art. 21.3)

Pas d'obligation spécifique concernant la formation

Obligation de formation régulière en cybersécurité pour le personnel (Art. 20.2)

Pas de mention de la responsabilité des organes de direction

Responsabilité explicite des organes de direction dans l'approbation et la supervision des mesures de cybersécurité (Art. 20.1)

Pas d'exigences spécifiques pour les différents secteurs

Possibilité d'exigences sectorielles spécifiques via des actes d'exécution de la Commission (Art. 21.5)

Pas de mention de l'utilisation de la cryptographie

Promotion de l'utilisation du chiffrement et du chiffrement de bout en bout (Art. 23.2)

Pas d'obligation d'utiliser des produits certifiés

Possibilité pour les États membres d'exiger l'utilisation de produits certifiés pour certaines entités (Art. 24.1)

 

Exemples concrets :

 

  • NIS 1 : Une banque devait mettre en place des mesures de sécurité appropriées, sans plus de précisions.
  • NIS 2 : Cette même banque devra mettre en place des politiques de cybersécurité spécifiques, former régulièrement son personnel, évaluer les risques liés à ses fournisseurs IT et potentiellement utiliser des produits certifiés pour ses systèmes critiques.

Récapitulatif des changements notables :

 

  1. Spécification plus détaillée des mesures de sécurité requises
  2. Accent mis sur la sécurité de la chaîne d'approvisionnement
  3. Responsabilisation accrue des organes de direction
  4. Introduction d'exigences de formation du personnel
  5. Promotion de l'utilisation du chiffrement
  6. Possibilité d'exigences sectorielles spécifiques
  7. Incitation à l'utilisation de produits certifiés

Partie 3 : Obligations de notification améliorées

Sous NIS 1, la notification était requise pour les incidents ayant un impact significatif.

La directive NIS 2 va plus loin en exigeant une notification plus rapide et plus détaillée des incidents, y compris ceux susceptibles d'affecter d'autres États membres.

Cette modification vise à améliorer la transparence et la réactivité face aux cyberattaques, facilitant une réponse coordonnée à travers l'UE .

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Notification des incidents ayant un impact important sur la continuité des services essentiels (Art. 14)

Ajout d'une alerte précoce dans les 24h suivant la prise de connaissance d'un incident important (Art. 23.4)

Délai de notification non précisé

Notification de l'incident dans les 72h (Art. 23.4)

Contenu de la notification non détaillé

Rapport final dans le mois suivant l'incident, avec description détaillée, impact, mesures prises, etc. (Art. 23.4)

Notification uniquement pour les Opérateurs de Services Essentiels

Élargissement aux entités importantes (Art. 23.1)

Critères généraux pour déterminer l'importance d'un incident (nombre d'utilisateurs touchés, durée, zone géographique)

Critères plus précis, par exemple pour le secteur de l'énergie : volume ou proportion d'énergie produite au niveau national (Art. 23.3)

Pas d'obligation explicite d'informer les utilisateurs

Obligation d'informer les utilisateurs des mesures qu'ils peuvent prendre face à une cybermenace importante (Art. 23.2)

Notification volontaire possible pour les autres entités (Art. 20)

Notification obligatoire des cybermenaces importantes pour certaines entités (Art. 30)

 

 

Exemples concrets :

 

  • NIS 1 : Un hôpital victime d'une cyberattaque paralysant ses systèmes pendant 24h devait le notifier, sans délai précis.
  • NIS 2 : Ce même hôpital devra envoyer une alerte dans les 24h, une notification détaillée dans les 72h, et un rapport complet dans le mois. Il devra aussi informer les patients des mesures à prendre (ex: report de rendez-vous non urgents).

Voici un tableau récapitulatif comparant les délais d'alerte entre NIS 1 et NIS 2 :

Etapes

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Alerte précoce

Non spécifié

24 heures

Notification d'incident

72 heures

72 heures

Rapport intermédiaire

Non spécifié

Sur demande de l'autorité compétente

Rapport final

Non spécifié

1 mois après la notification d'incident

Rapport d'avancement

Non spécifié

Si l'incident est toujours en cours après 1 mois

Rapport final (après rapport d'avancement)

Non spécifié

1 mois après le traitement de l'incident

Partie 4 : Sanctions renforcées

La directive NIS 2 introduit des sanctions plus sévères pour non-conformité, y compris des amendes basées sur le chiffre d'affaires de l'entité.

Ces sanctions ont pour but de renforcer la conformité et de souligner la gravité des manquements en matière de cybersécurité.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Les États membres fixent les règles relatives aux sanctions applicables en cas d'infraction aux dispositions nationales.

Maintien des sanctions fixées par les États membres

Pas de montants ou pourcentages spécifiques mentionnés dans la directive

Introduction d'amendes administratives spécifiques :

  • Pour les Entités Essentielles (EE) : 10 000 000 EUR ou 2% du chiffre d'affaires annuel mondial total
  • Pour les Entités Importantes (EI) : 7 000 000 EUR ou 1,4% du chiffre d'affaires annuel mondial total

NB : Le montant le plus élevé étant celui retenu.

Les sanctions doivent être "effectives, proportionnées et dissuasives"

Maintien du principe de sanctions "effectives, proportionnées et dissuasives

Pas de mention d'astreintes

Possibilité d'imposer des astreintes pour contraindre une entité à mettre fin à une violation

Pas de mention de suspension de certifications/autorisations

Possibilité de suspendre temporairement des certifications ou autorisations d'une entité essentielle

Pas de critères spécifiques pour déterminer les sanctions

Liste de critères à prendre en compte pour déterminer le montant des amendes (ex: gravité de l'infraction, durée, dommages causés, caractère intentionnel, etc.)

Possibilité d'imposer une interdiction temporaire d'exercer des fonctions de direction pour une personne physique

Exemples :

 

  • NIS 1 : Un État membre pourrait fixer une amende maximale de 100 000.
  • NIS 2 : Une grande entreprise du secteur de l'énergie avec un CA de 1 milliard € pourrait se voir infliger une amende allant jusqu'à 20 millions €.

Partie 5 : Cadre de gouvernance amélioré

Un cadre de gouvernance plus structuré est mis en place sous NIS 2, avec des autorités nationales renforcées et une coopération accrue entre les États membres.

Ce cadre comprend également des mécanismes de partage d'informations plus efficaces, essentiels pour une réponse rapide et efficace aux incidents de cybersécurité.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Groupe de coopération pour faciliter la coopération stratégique

 

  • Échange de bonnes pratiques

Groupe de coopération renforcé avec des tâches élargies

 

  • Élaboration de lignes directrices pour les évaluations des risques sectorielss

Réseau des CSIRT (Computer Security Incident Response Teams)

 

  • Échange d'informations sur les incidents

Réseau des CSIRT avec des capacités opérationnelles renforcées

 

  • Coordination des réponses aux incidents transfrontaliers

Points de contact uniques dans chaque État membre

  • Liaison pour la coopération transfrontalière

 

Points de contact uniques avec un rôle de coordination renforcé

  • Transmission des notifications d'incidents transfrontaliers

Pas de mention d'exercices de cybersécurité au niveau de l'UE

Introduction d'exercices de cybersécurité paneuropéens biennaux

 

  • Simulation d'une cyberattaque à grande échelle sur les infrastructures critiques

Pas de mécanisme d'évaluation par les pairs

Introduction d'évaluations par les pairs pour vérifier l'efficacité des politiques nationales

  • Examen de la stratégie nationale de cybersécurité d'un État membre par ses pairs

Pas de mention d'EU-CyCLONe

Création d'EU-CyCLONe (EU - Cyber Crisis Liaison Organisation Network)

 

  • Coordination de la gestion des incidents majeurs de cybersécurité au niveau de l'UE

Stratégies nationales de cybersécurité requises

  • Définition d'objectifs généraux

Stratégies nationales de cybersécurité plus détaillées et alignées

 

  • Inclusion de politiques sur la divulgation des vulnérabilités

Coopération limitée avec les pays tiers

Cadre renforcé pour la coopération internationale

 

  • Partage d'informations sur les menaces avec des partenaires stratégiques

Pas de mention de base de données des vulnérabilités

Création d'une base de données européenne des vulnérabilités

 

  • Centralisation des informations sur les vulnérabilités découvertes dans les logiciels couramment utilisés

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement

NIS 2 exige que les entités gèrent les risques associés à leurs fournisseurs et sous-traitants, adoptant une approche de sécurité holistique.

Cette exigence est particulièrement pertinente dans un monde où les chaînes d'approvisionnement sont de plus en plus interconnectées et susceptibles de propager des vulnérabilités .

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Pas de mention spécifique de la chaîne d'approvisionnement

Focus explicite sur la sécurité de la chaîne d'approvisionnement

Exigences de sécurité générales pour les opérateurs de services essentiels

  • Mesures techniques et organisationnelles appropriées pour gérer les risques

Exigences spécifiques pour la gestion des risques liés à la chaîne d'approvisionnement

  • Évaluation des risques de sécurité des fournisseurs critiques

Pas d'obligation d'évaluer les risques des fournisseurs

Obligation d'évaluer la qualité et la cybersécurité des produits et services des fournisseurs

  • Audit de sécurité des pratiques de développement logiciel d'un fournisseur clé

Pas de mention des facteurs non techniques

Prise en compte des facteurs non techniques dans l'évaluation des risques

  • Évaluation de l'influence potentielle d'un pays tiers sur un fournisseur critique

Pas d'évaluations coordonnées des risques au niveau de l'UE

Introduction d'évaluations coordonnées des risques pour les chaînes d'approvisionnement critiques

  • Évaluation coordonnée des risques liés aux fournisseurs de services cloud au niveau de l'UE

Pas de mention des accords contractuels

Encouragement à inclure des exigences de cybersécurité dans les accords contractuels

  • Clauses contractuelles imposant des normes de sécurité minimales aux fournisseurs

Pas de focus sur les fournisseurs de services de sécurité gérés

Attention particulière portée aux fournisseurs de services de sécurité gérés

  • Diligence renforcée dans la sélection des fournisseurs de services de détection et de réponse aux incidents

Pas de mention de la divulgation coordonnée des vulnérabilités

Introduction de politiques de divulgation coordonnée des vulnérabilités

  • Procédure standardisée pour signaler les vulnérabilités découvertes dans les produits des fournisseurs

Pas de mention des dépendances sectorielles

Prise en compte des dépendances intersectorielles dans l'évaluation des risques

  • Évaluation de l'impact d'une défaillance d'un fournisseur d'énergie sur le secteur bancaire

Pas d'exigences spécifiques pour les petites et moyennes entreprises (PME)

Recommandations pour aider les PME à gérer les risques de la chaîne d'approvisionnement

  • Lignes directrices simplifiées pour l'évaluation des risques des fournisseurs pour les PME

FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

  1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?

NIS 2 élargit considérablement le champ d'application en remplaçant la distinction OSE/FSN par des Entités Essentielles et Importantes. Il couvre plus de secteurs critiques et renforce les obligations pour les FSN.

 

  1. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?

 

NIS 2 impose une alerte précoce dans les 24h, une notification détaillée dans les 72h et un rapport complet dans le mois. Les entités doivent aussi informer les utilisateurs des mesures à prendre face aux cybermenaces importantes.

 

  1. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

 

NIS 2 introduit des amendes administratives spécifiques basées sur le chiffre d'affaires. Pour les Entités Essentielles, elles peuvent atteindre 10M€ ou 2% du CA mondial. Des astreintes et suspensions de certifications sont également possibles.

Ici, vous êtes accompagné

On prend le temps de comprendre vos usages, pour vous proposer un cadre de travail qui vous correspond

Nous contacter

Quelles sont les Principales Différences entre NIS 1 et NIS 2 ?

La transition de la Directive NIS originale (NIS 1) à la Directive NIS 2 constitue une étape importante dans le renforcement des mesures de cybersécurité au sein de l'Union européenne. Cet article propose une analyse détaillée des Principales Différences entre NIS 1 et NIS 2 pour mieux comprendre l'évolution de la réglementation en matière de sécurité des réseaux et des systèmes d'information.

Au programme

Partie 1 : Élargissement du champ d'application

Partie 2 : Renforcement des exigences de sécurité

Partie 3 : Obligations de notification améliorées

Partie 4 : Sanctions renforcées

Partie 5 : Cadre de gouvernance amélioré

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement‍‍

‍FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

  1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?
  1. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?
  1. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

Partie 1 : Élargissement du champ d'application

La directive NIS 1 ciblait principalement les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN) alors que la directive NIS 2 étend considérablement le champ d'application pour inclure un plus grand nombre d'entités et de secteurs.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Les Opérateurs de Services Essentiels (OSE):

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Fournisseurs de Services Numériques (FSN):

  • Places de Marché en Ligne (IXP)
  • Moteurs de Recherche en Ligne
  • Fournisseurs de Services de Cloud
  • Fournisseurs de Services DNS
  • Gestionnaires de Domaines de Premier Niveau (TLD)

Les Entités Importantes (EI):

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Récapitulatif des changements notables :

 

  1. La directive NIS 2 remplace la distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) par des "Entités Essentielles (EE) et des Entités Importantes (EI)", élargissant considérablement le champ d'application.

 

  1. Les obligations pour les FSN sont renforcées dans NIS 2 et s'alignent davantage sur celles des Entités Essentielles et des Entités Importante

 

  1. NIS 2 ajoute les plateformes de services de réseaux sociaux à la catégorie des FSN.

 

  1. Le champ d'application sectoriel est considérablement élargi dans NIS 2, couvrant plus de secteurs critiques de l'économie et de la société.

Partie 2 : Renforcement des exigences de sécurité

La directive NIS 2 impose des mesures de sécurité plus strictes, axées sur la gestion des risques à travers la prévention, la détection, la réponse aux incidents et la récupération.

Ces mesures sont désormais obligatoires pour une plus grande variété d'entités, y compris celles qui n'étaient pas auparavant couvertes par la NIS 1, reflétant l'importance accrue de la cybersécurité dans tous les secteurs critiques .

Pour la compatibilité, le coffre-fort numérique que vous choisissez doit être compatible avec les outils de travail que vous utilisez déjà.

Pour l'assistance technique, il vous faut un support client réactif et compétent. Vous voulez être sûr que si vous rencontrez un problème, vous obtiendrez l'aide nécessaire rapidement.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques (Art. 14.1)

Ajout de mesures spécifiques : politiques de cybersécurité, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, cryptographie, etc. (Art. 21.2)

Pas de mention explicite de la gestion des risques liés à la chaîne d'approvisionnement

Obligation d'évaluer et de prendre en compte les risques liés aux fournisseurs et prestataires de services (Art. 21.3)

Pas d'obligation spécifique concernant la formation

Obligation de formation régulière en cybersécurité pour le personnel (Art. 20.2)

Pas de mention de la responsabilité des organes de direction

Responsabilité explicite des organes de direction dans l'approbation et la supervision des mesures de cybersécurité (Art. 20.1)

Pas d'exigences spécifiques pour les différents secteurs

Possibilité d'exigences sectorielles spécifiques via des actes d'exécution de la Commission (Art. 21.5)

Pas de mention de l'utilisation de la cryptographie

Promotion de l'utilisation du chiffrement et du chiffrement de bout en bout (Art. 23.2)

Pas d'obligation d'utiliser des produits certifiés

Possibilité pour les États membres d'exiger l'utilisation de produits certifiés pour certaines entités (Art. 24.1)

 

Exemples concrets :

 

  • NIS 1 : Une banque devait mettre en place des mesures de sécurité appropriées, sans plus de précisions.
  • NIS 2 : Cette même banque devra mettre en place des politiques de cybersécurité spécifiques, former régulièrement son personnel, évaluer les risques liés à ses fournisseurs IT et potentiellement utiliser des produits certifiés pour ses systèmes critiques.

Récapitulatif des changements notables :

 

  1. Spécification plus détaillée des mesures de sécurité requises
  2. Accent mis sur la sécurité de la chaîne d'approvisionnement
  3. Responsabilisation accrue des organes de direction
  4. Introduction d'exigences de formation du personnel
  5. Promotion de l'utilisation du chiffrement
  6. Possibilité d'exigences sectorielles spécifiques
  7. Incitation à l'utilisation de produits certifiés

Partie 3 : Obligations de notification améliorées

Sous NIS 1, la notification était requise pour les incidents ayant un impact significatif.

La directive NIS 2 va plus loin en exigeant une notification plus rapide et plus détaillée des incidents, y compris ceux susceptibles d'affecter d'autres États membres.

Cette modification vise à améliorer la transparence et la réactivité face aux cyberattaques, facilitant une réponse coordonnée à travers l'UE .

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Notification des incidents ayant un impact important sur la continuité des services essentiels (Art. 14)

Ajout d'une alerte précoce dans les 24h suivant la prise de connaissance d'un incident important (Art. 23.4)

Délai de notification non précisé

Notification de l'incident dans les 72h (Art. 23.4)

Contenu de la notification non détaillé

Rapport final dans le mois suivant l'incident, avec description détaillée, impact, mesures prises, etc. (Art. 23.4)

Notification uniquement pour les Opérateurs de Services Essentiels

Élargissement aux entités importantes (Art. 23.1)

Critères généraux pour déterminer l'importance d'un incident (nombre d'utilisateurs touchés, durée, zone géographique)

Critères plus précis, par exemple pour le secteur de l'énergie : volume ou proportion d'énergie produite au niveau national (Art. 23.3)

Pas d'obligation explicite d'informer les utilisateurs

Obligation d'informer les utilisateurs des mesures qu'ils peuvent prendre face à une cybermenace importante (Art. 23.2)

Notification volontaire possible pour les autres entités (Art. 20)

Notification obligatoire des cybermenaces importantes pour certaines entités (Art. 30)

 

 

Exemples concrets :

 

  • NIS 1 : Un hôpital victime d'une cyberattaque paralysant ses systèmes pendant 24h devait le notifier, sans délai précis.
  • NIS 2 : Ce même hôpital devra envoyer une alerte dans les 24h, une notification détaillée dans les 72h, et un rapport complet dans le mois. Il devra aussi informer les patients des mesures à prendre (ex: report de rendez-vous non urgents).

Voici un tableau récapitulatif comparant les délais d'alerte entre NIS 1 et NIS 2 :

Etapes

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Alerte précoce

Non spécifié

24 heures

Notification d'incident

72 heures

72 heures

Rapport intermédiaire

Non spécifié

Sur demande de l'autorité compétente

Rapport final

Non spécifié

1 mois après la notification d'incident

Rapport d'avancement

Non spécifié

Si l'incident est toujours en cours après 1 mois

Rapport final (après rapport d'avancement)

Non spécifié

1 mois après le traitement de l'incident

 

Partie 4 : Sanctions renforcées

La directive NIS 2 introduit des sanctions plus sévères pour non-conformité, y compris des amendes basées sur le chiffre d'affaires de l'entité.

Ces sanctions ont pour but de renforcer la conformité et de souligner la gravité des manquements en matière de cybersécurité.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Les États membres fixent les règles relatives aux sanctions applicables en cas d'infraction aux dispositions nationales.

Maintien des sanctions fixées par les États membres

Pas de montants ou pourcentages spécifiques mentionnés dans la directive

Introduction d'amendes administratives spécifiques :

  • Pour les Entités Essentielles (EE) : 10 000 000 EUR ou 2% du chiffre d'affaires annuel mondial total
  • Pour les Entités Importantes (EI) : 7 000 000 EUR ou 1,4% du chiffre d'affaires annuel mondial total

NB : Le montant le plus élevé étant celui retenu.

Les sanctions doivent être "effectives, proportionnées et dissuasives"

Maintien du principe de sanctions "effectives, proportionnées et dissuasives

Pas de mention d'astreintes

Possibilité d'imposer des astreintes pour contraindre une entité à mettre fin à une violation

Pas de mention de suspension de certifications/autorisations

Possibilité de suspendre temporairement des certifications ou autorisations d'une entité essentielle

Pas de critères spécifiques pour déterminer les sanctions

Liste de critères à prendre en compte pour déterminer le montant des amendes (ex: gravité de l'infraction, durée, dommages causés, caractère intentionnel, etc.)

Possibilité d'imposer une interdiction temporaire d'exercer des fonctions de direction pour une personne physique

Exemples :

 

  • NIS 1 : Un État membre pourrait fixer une amende maximale de 100 000.
  • NIS 2 : Une grande entreprise du secteur de l'énergie avec un CA de 1 milliard € pourrait se voir infliger une amende allant jusqu'à 20 millions €.

Partie 5 : Cadre de gouvernance amélioré

Un cadre de gouvernance plus structuré est mis en place sous NIS 2, avec des autorités nationales renforcées et une coopération accrue entre les États membres.

Ce cadre comprend également des mécanismes de partage d'informations plus efficaces, essentiels pour une réponse rapide et efficace aux incidents de cybersécurité.

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Groupe de coopération pour faciliter la coopération stratégique

 

  • Échange de bonnes pratiques

Groupe de coopération renforcé avec des tâches élargies

 

  • Élaboration de lignes directrices pour les évaluations des risques sectorielss

Réseau des CSIRT (Computer Security Incident Response Teams)

 

  • Échange d'informations sur les incidents

Réseau des CSIRT avec des capacités opérationnelles renforcées

 

  • Coordination des réponses aux incidents transfrontaliers

Points de contact uniques dans chaque État membre

  • Liaison pour la coopération transfrontalière

 

Points de contact uniques avec un rôle de coordination renforcé

  • Transmission des notifications d'incidents transfrontaliers

Pas de mention d'exercices de cybersécurité au niveau de l'UE

Introduction d'exercices de cybersécurité paneuropéens biennaux

 

  • Simulation d'une cyberattaque à grande échelle sur les infrastructures critiques

Pas de mécanisme d'évaluation par les pairs

Introduction d'évaluations par les pairs pour vérifier l'efficacité des politiques nationales

  • Examen de la stratégie nationale de cybersécurité d'un État membre par ses pairs

Pas de mention d'EU-CyCLONe

Création d'EU-CyCLONe (EU - Cyber Crisis Liaison Organisation Network)

 

  • Coordination de la gestion des incidents majeurs de cybersécurité au niveau de l'UE

Stratégies nationales de cybersécurité requises

  • Définition d'objectifs généraux

Stratégies nationales de cybersécurité plus détaillées et alignées

 

  • Inclusion de politiques sur la divulgation des vulnérabilités

Coopération limitée avec les pays tiers

Cadre renforcé pour la coopération internationale

 

  • Partage d'informations sur les menaces avec des partenaires stratégiques

Pas de mention de base de données des vulnérabilités

Création d'une base de données européenne des vulnérabilités

 

  • Centralisation des informations sur les vulnérabilités découvertes dans les logiciels couramment utilisés

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement

NIS 2 exige que les entités gèrent les risques associés à leurs fournisseurs et sous-traitants, adoptant une approche de sécurité holistique.

Cette exigence est particulièrement pertinente dans un monde où les chaînes d'approvisionnement sont de plus en plus interconnectées et susceptibles de propager des vulnérabilités .

NIS 1 (Directive 2016/1148)

NIS 2 (Directive 2022/2555)

Pas de mention spécifique de la chaîne d'approvisionnement

Focus explicite sur la sécurité de la chaîne d'approvisionnement

Exigences de sécurité générales pour les opérateurs de services essentiels

  • Mesures techniques et organisationnelles appropriées pour gérer les risques

Exigences spécifiques pour la gestion des risques liés à la chaîne d'approvisionnement

  • Évaluation des risques de sécurité des fournisseurs critiques

Pas d'obligation d'évaluer les risques des fournisseurs

Obligation d'évaluer la qualité et la cybersécurité des produits et services des fournisseurs

  • Audit de sécurité des pratiques de développement logiciel d'un fournisseur clé

Pas de mention des facteurs non techniques

Prise en compte des facteurs non techniques dans l'évaluation des risques

  • Évaluation de l'influence potentielle d'un pays tiers sur un fournisseur critique

Pas d'évaluations coordonnées des risques au niveau de l'UE

Introduction d'évaluations coordonnées des risques pour les chaînes d'approvisionnement critiques

  • Évaluation coordonnée des risques liés aux fournisseurs de services cloud au niveau de l'UE

Pas de mention des accords contractuels

Encouragement à inclure des exigences de cybersécurité dans les accords contractuels

  • Clauses contractuelles imposant des normes de sécurité minimales aux fournisseurs

Pas de focus sur les fournisseurs de services de sécurité gérés

Attention particulière portée aux fournisseurs de services de sécurité gérés

  • Diligence renforcée dans la sélection des fournisseurs de services de détection et de réponse aux incidents

Pas de mention de la divulgation coordonnée des vulnérabilités

Introduction de politiques de divulgation coordonnée des vulnérabilités

  • Procédure standardisée pour signaler les vulnérabilités découvertes dans les produits des fournisseurs

Pas de mention des dépendances sectorielles

Prise en compte des dépendances intersectorielles dans l'évaluation des risques

  • Évaluation de l'impact d'une défaillance d'un fournisseur d'énergie sur le secteur bancaire

Pas d'exigences spécifiques pour les petites et moyennes entreprises (PME)

Recommandations pour aider les PME à gérer les risques de la chaîne d'approvisionnement

  • Lignes directrices simplifiées pour l'évaluation des risques des fournisseurs pour les PME

FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

  1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?

NIS 2 élargit considérablement le champ d'application en remplaçant la distinction OSE/FSN par des Entités Essentielles et Importantes. Il couvre plus de secteurs critiques et renforce les obligations pour les FSN.

 

  1. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?

 

NIS 2 impose une alerte précoce dans les 24h, une notification détaillée dans les 72h et un rapport complet dans le mois. Les entités doivent aussi informer les utilisateurs des mesures à prendre face aux cybermenaces importantes.

 

  1. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

 

NIS 2 introduit des amendes administratives spécifiques basées sur le chiffre d'affaires. Pour les Entités Essentielles, elles peuvent atteindre 10M€ ou 2% du CA mondial. Des astreintes et suspensions de certifications sont également possibles.

Ici, vous êtes accompagné

On prend le temps de comprendre vos usages, pour vous proposer un cadre de travail qui vous correspond

Nous contacter