Tout savoir sur la Directive NIS

Co-écrit par Bilal Echoui et François Herder.

Qu’est-ce que la Directive NIS ?

Dans l’objectif de créer en Europe un environnement digital fiable et sécurisé, le Parlement Européen et l’Union Européenne ont adopté, le 6 juillet 2016, la directive sur la sécurité des réseaux et des systèmes d’information, plus connu sous le nom « directive NIS » (Network and Information Security).

Cette directive définit une série d’exigences en matière de sécurité des réseaux et de l’information qui s’appliquent aux « Fournisseurs de Services Numériques » (FSN) et aux « Opérateurs de services essentiels » (OSE). Cette directive concerne notamment les entreprises des secteurs de l’énergie, des transports, de la banque, des marchés financiers, de la santé, de la distribution d’eau potable et des infrastructures numériques. Les sociétés n’intégrant pas ce périmètre, pourront en prendre connaissance dans le cas où leurs fournisseurs et partenaires sont concernés par ces obligations.

Quels sont ses enjeux ?

La directive européenne NIS met en avant 4 enjeux majeurs :

Directive NIS - 4 enjeux

Concrètement, que doivent faire les entreprises ?

Les acteurs concernés par la directive NIS doivent, dans le cadre de leurs projets de mise en conformité et d’amélioration de leur sécurité globale, implémenter 5 mesures essentielles :

Directive NIS - 5 mesures

Quelles sont les limites de la Directive NIS ?

Néanmoins, des zones d’ombres sont laissées par le décret. On peut souligner :

  1. La liste des SI non soumis à cartographie et déclaration
  2. La profondeur et la durée des audits annuels
  3. Le niveau acceptable d’alertes

Certaines mesures de la directive NIS peuvent êtres déjà définies dans d’autres référentiels. Il est par conséquent nécessaire de les adapter en fonction de l’environnement et du système d’information, mais ne doivent en aucun cas être affaiblies. Par exemple, l’aspect gouvernance déjà imposé par la certification HAS (Haute autorité de santé), l’obligation de signalement des incidents ou la remontée d’indicateurs.

Lien avec d’autres Frameworks

La directive encourage le recours à des normes et spécifications européennes ou internationales pour la sécurité des réseaux et des systèmes d’information.

La conformité avec la Directive NIS est envisageable en adoptant un système de gestion intégré, intégrant les normes ISO 27001 et ISO 22301. Il aide une organisation à obtenir une posture internationalement acceptée de cyber-résilience sur la base des bonnes pratiques de gestion des risques.

Qui plus est, la directive NIS s’inspire directement de la loi de programmation militaire (LPM). Elle entend instaurer à une échelle européenne des dispositions semblables à celles prévues à destination des Opérateurs d’Importance Vitale (OIV) par la LPM. Ceci afin de protéger les systèmes d’information les plus sensibles. Toutefois, la liste des entreprises concernées par la directive NIS sera plus élargie et seules des sanctions financières sont prévues en cas de manquements. Ces sanctions appliquées sous forme d’amendes varieront entre 75.000€ et 125.000€, selon le type de manquement.

Quant aux OIV déjà soumis à l’obligation de conformité LPM, la directive NIS apportera quelques règles supplémentaires liées à la sécurité physique et environnementale.

Comparé à la LPM, les délais de mise en application des règles imposées par la directive NIS sont publics et similaires à tous les secteurs. Ci-dessous, une indication de délais pour certaines règles à mettre en œuvre :

  • Identification d’une personne chargée de le représenter auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un délai de deux mois.
  • Etablissement d’une liste des réseaux et systèmes d’information nécessaires à la fourniture des services essentiels dans un délai de trois mois.

L’approche de Beijaflore, présentation de success story

 Dans un contexte similaire à celui de la directive NIS, Beijaflore a su accompagner des organisations issues de différents secteurs dans la mise en conformité de leur SIIV à la loi de programmation militaire (LPM). Notamment en établissant un plan stratégique comprenant une estimation du budget, un accompagnement pour l’instruction des dossiers d’homologation (rédaction de procédure, cartographie, stratégie d’homologation) et en intervenant sur la partie gestion des incidents de cybersécurité de la LPM.

 

Sources :

  1. https://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/
  2. https://www.ssi.gouv.fr/actualite/publication-du-decret-dapplication-pour-la-directive-europeenne-network-and-information-security-nis/
  3. https://www.twobirds.com/fr/events/france/2018/cybersecurite-22-mars-2018
  4. https://www.zdnet.fr/actualites/operateurs-d-importance-vitale-la-directive-nis-en-renfort-de-la-loi-de-programmation-militaire-39831728.htm
  5. https://www.industrie-techno.com/cybersecurite-cinq-mesures-a-prendre-pour-etre-en-conformite-avec-la-nouvelle-directive-europeenne-nis.53188
  6. https://www.pdgb.com/images/lettres/adoption-du-decret-d-application-de-la-loi-de-transposition-de-la-directive-network-and-information-security-nis-juin-2018-.pdf