Directive NIS 2 : renforcer la cybersécurité dans l'UE

1. En résumé

• ➜ La directive NIS 2 renforce le cadre européen de cybersécurité en élargissant considérablement son périmètre et en consolidant la coopération entre États membres via le réseau CyCLONe.
• ➜ Elle s’applique désormais à plus de 10 000 entités françaises, réparties en secteurs essentiels et importants, incluant entreprises, administrations et infrastructures critiques.
• ➜ Les organisations concernées doivent mettre en place des mesures strictes de sécurité, gérer leurs risques, sécuriser leur supply chain et déclarer rapidement tout incident majeur.
• ➜ Le non-respect de la directive expose les entités à de lourdes sanctions financières, à des risques juridiques et à des atteintes à leur réputation.
• ➜ Les assurances cyber jouent un rôle clé en soutenant les entreprises dans la prévention, la gestion et la couverture financière des cyberattaques, notamment en cas de ransomware, DDoS ou violation de données.

2. Renforcement du cadre européen face à l’escalade des cybermenaces

Face aux cybermenaces de plus en plus sophistiquées ciblant un nombre croissant d'entités insuffisamment protégées, cette directive élargit ses objectifs et son champ d'application pour offrir une protection renforcée.

Cette expansion sans précédent en matière de réglementation cyber incite également les États membres à intensifier leur coopération en gestion de crise, notamment en formalisant le réseau CyCLONe (Cyber Crisis Liaison Organisation Network), qui regroupe l'ANSSI et ses homologues européens.

3. Quelles sont les entreprises concernées par la directive NIS 2 ?

En France, la directive NIS 2 élargit considérablement le nombre d'entités soumises à des obligations en matière de cybersécurité.

Alors que la directive NIS 1 ne concernait que quelques centaines d’entités, NIS 2 en cible désormais plus de 10 000, appartenant à 18 secteurs d'activité. Cette extension inclut des entreprises de tailles variées et des administrations publiques. L’inclusion exacte des collectivités territoriales dépendra des textes français de transposition.

Les secteurs d'activité concernés sont répartis en deux catégories principales : les entités essentielles (EE) et les entités importantes (EI).

Les entités essentielles opèrent dans des secteurs hautement critiques :

• ● Énergie : électricité, gaz, pétrole, hydrogène
• ● Transport : aérien, ferroviaire, maritime, routier
• ● Secteur bancaire
• ● Infrastructures des marchés financiers
• ● Santé : hôpitaux, laboratoires
• ● Fourniture et distribution d'eau potable
• ● Gestion des eaux usées
• ● Infrastructures numériques : fournisseurs de services DNS, registres de noms de domaine, fournisseurs de services de réseaux ou de centres de données
• ● Administration publique
• ● Espace : infrastructures spatiales (termes susceptibles d’être précisés dans les décrets français de transposition)

Les entités importantes opèrent dans d'autres secteurs critiques :

• ● Services postaux et de messagerie
• ● Gestion des déchets
• ● Industrie chimique : production, transformation et distribution de produits chimiques
• ● Production, transformation et distribution de denrées alimentaires
• ● Fabrication : industries manufacturières
• ● Fournisseurs de services numériques : plateformes en ligne, services cloud
• ● Recherche : institutions et laboratoires de recherche

La directive NIS 2 doit être transposée en droit français, et certaines obligations seront précisées dans les décrets d’application.

La directive vise principalement les entreprises de taille moyenne et grande. Certaines entités plus petites peuvent également être incluses lorsqu’elles exercent une activité considérée comme critique au sens de NIS 2.

4. Quelles sont les obligations des entités concernées par NIS 2 ?

Les entités concernées doivent mettre en place des mesures de sécurité robustes, assurer une gestion rigoureuse des risques et signaler les incidents significatifs aux autorités compétentes. Elles sont tenues de :

• ● fournir des informations précises à l’autorité nationale désignée et les mettre à jour régulièrement.
• ● mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d'information.
• ● signaler à l'autorité nationale désignée leurs incidents de sécurité ayant un impact important et fournir des rapports concernant l'évolution de la situation.

La directive renforce également les obligations liées à la sécurité de la chaîne d’approvisionnement (supply chain) et la responsabilité des dirigeants en matière de cybersécurité.

5. Risques en cas de non-conformité à la directive NIS 2

Le non-respect des obligations de la directive NIS 2 expose les entreprises à des sanctions significatives :

• ● Amendes financières : les entités essentielles risquent des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour les entités importantes, les amendes peuvent s'élever jusqu’à 7 millions d’euros ou jusqu’à 1,4 % du chiffre d’affaires annuel mondial.
• ● Atteinte à la réputation : les incidents de cybersécurité non gérés adéquatement peuvent nuire à la confiance des clients et partenaires, affectant durablement l'image de l'entreprise.
• ● Poursuites judiciaires : les violations peuvent entraîner des actions en justice de la part de parties prenantes affectées, augmentant les coûts et les risques juridiques.

6. Conseils pratiques pour la mise en conformité

Pour se conformer à la directive NIS 2, les entreprises peuvent suivre les étapes suivantes :

• ● Évaluation de la maturité cyber : réaliser un audit interne pour identifier les forces et faiblesses des systèmes de sécurité actuels.
• ● Identification des obligations spécifiques : analyser les exigences de la directive applicables à l'entreprise, en fonction de sa classification (entité essentielle ou importante) et de son secteur d'activité.
• ● Mise en place de mesures de sécurité : adopter des politiques de gestion des risques, des protocoles de réponse aux incidents et des formations pour le personnel.

Collaboration avec des experts : travailler avec des consultants en cybersécurité et des courtiers en assurance spécialisés pour assurer une protection optimale et une conformité réglementaire.

7. Le rôle crucial des courtiers en assurance professionnelle

Les assurances professionnelles, et en particulier les assurances cyber, deviennent des alliées indispensables pour les entreprises.

Elles offrent une protection financière contre les conséquences des cyberattaques, couvrant les coûts liés aux violations de données, aux interruptions d'activité et aux responsabilités légales. De plus, elles accompagnent les entreprises dans la mise en place de mesures préventives, contribuant ainsi à la conformité avec les obligations de la directive NIS 2.

Pour naviguer efficacement dans ce paysage réglementaire complexe, il est essentiel pour les entreprises de collaborer avec des courtiers spécialisés en assurance professionnelle. Ces experts peuvent évaluer les risques spécifiques de chaque organisation et proposer des solutions d'assurance adaptées, garantissant une couverture optimale face aux menaces cybernétiques et aux exigences réglementaires en vigueur.

8. Exemples concrets de couverture assurantielle en cas de cyberattaques

Les cyberattaques représentent une menace croissante pour les entreprises, avec des conséquences financières et opérationnelles significatives. Les assurances cyber offrent une protection essentielle en couvrant divers aspects liés à ces incidents.

Voici des exemples concrets de couverture assurantielle en cas de cyberattaques :

Rançongiciels (ransomware)

Lorsqu'un logiciel malveillant chiffre les données de l'entreprise et exige une rançon pour leur déchiffrement, une assurance cyber peut intervenir de plusieurs manières :

• ● Frais de négociation : prise en charge des coûts liés à l'engagement de spécialistes pour négocier avec les cybercriminels.
• ● Paiement de la rançon : bien que controversé, le paiement de la rançon peut être couvert dans certains contrats, selon leurs conditions spécifiques.
• ● Restauration des systèmes : financement des opérations de décontamination, de restauration des données et de remise en état des systèmes informatiques.

Attaques par déni de service distribué (DDoS)

Ces attaques visent à rendre les services indisponibles en submergeant les serveurs de requêtes.

Les assurances cyber peuvent offrir les protections suivantes :

• ● Indemnisation des pertes d'exploitation : compensation des pertes financières résultant de l'interruption d'activité due à l'attaque.
• ● Frais de mitigation : couverture des coûts engagés pour déployer des solutions techniques visant à atténuer l'impact de l'attaque et restaurer les services.

Violations de données

L'accès non autorisé à des informations sensibles peut entraîner des fuites de données clients. Les assurances cyber offrent généralement les couvertures suivantes :

• ● Frais de notification : prise en charge des coûts liés à l'information des personnes concernées par la violation, conformément aux obligations légales.
• ● Conséquences financières liées aux sanctions des autorités : certaines polices peuvent, dans la limite de ce qui est légalement assurable et selon les conditions du contrat, prendre en charge certains frais et conséquences financières liés à des procédures devant les autorités de protection des données, telles que la CNIL en France. Les amendes elles-mêmes ne sont pas systématiquement couvertes.
• ● Frais juridiques : financement des dépenses liées à la défense en cas de poursuites engagées par des tiers affectés par la violation.

Il est essentiel pour les entreprises de bien comprendre les termes de leur police d'assurance cyber afin de s'assurer qu'elle couvre adéquatement les différents types de cyberattaques et les coûts associés.