Directive NIS 2 - renforcer la cybersécurité dans l'Union Européenne

Face aux cybermenaces de plus en plus sophistiquées ciblant un nombre croissant d'entités insuffisamment protégées, cette directive élargit ses objectifs et son champ d'application pour offrir une protection renforcée.

Cette expansion sans précédent en matière de réglementation cyber incite également les États membres à intensifier leur coopération en gestion de crise, notamment en formalisant le réseau CyCLONe (Cyber Crisis Liaison Organisation Network), qui regroupe l'ANSSI et ses homologues européens.

Quelles sont les entreprises concernées par la directive NIS 2 ?

En France, la directive NIS 2 élargit considérablement le nombre d'entités soumises à des obligations en matière de cybersécurité.

Alors que la directive NIS 1 concernait environ 300 entités, NIS 2 en cible désormais plus de 10 000, appartenant à 18 secteurs d'activité. Cette extension inclut des entreprises de tailles variées, des administrations publiques, ainsi que des collectivités territoriales, reflétant une volonté d'améliorer la résilience numérique à travers un large éventail d'acteurs économiques et institutionnels.

Les secteurs d'activité concernés sont répartis en deux catégories principales : les entités essentielles (EE) et les entités importantes (EI).

Les entités essentielles opèrent dans des secteurs hautement critiques, tels que :

• Énergie : électricité, gaz, pétrole, hydrogène
• Transport : aérien, ferroviaire, maritime, routier
• Secteur bancaire
• Infrastructures des marchés financiers.
• Santé : hôpitaux, laboratoires
• Fourniture et distribution d'eau potable
• Gestion des eaux usées
• Infrastructures numériques : fournisseurs de services DNS, registres de noms de domaine
• Administration publique
• Espace : infrastructures spatiales

Les entités importantes opèrent dans d'autres secteurs critiques, notamment :

• Services postaux et de messagerie
• Gestion des déchets
• Industrie chimique : production, transformation et distribution de produits chimiques
• Production, transformation et distribution de denrées alimentaires
• Fabrication : industries manufacturières
• Fournisseurs de services numériques : plateformes en ligne, services cloud
• Recherche : institutions et laboratoires de recherche

Quelles sont les obligations des entités concernées par NIS 2 ?

Les entités concernées doivent mettre en place des mesures de sécurité robustes, assurer une gestion rigoureuse des risques et signaler les incidents significatifs aux autorités compétentes. Elles sont tenues de :

• fournir plusieurs d'informations à l'autorité nationale désignée et de les mettre à jour.
• mettre en place des mesures juridiques, techniques et organisationnelle pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d'information.
• signaler à l'autorité nationale désignée leurs incidents de sécurité ayant un impact important et fournir des rapports concernant l'évolution de la situation.

Risques en cas de non-conformité à la directive NIS 2

Le non-respect des obligations de la directive NIS 2 expose les entreprises à des sanctions significatives :

• Amendes financières : les entités essentielles risquent des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour les entités importantes, les amendes peuvent s'élever à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial
• Atteinte à la réputation : les incidents de cybersécurité non gérés adéquatement peuvent nuire à la confiance des clients et partenaires, affectant durablement l'image de l'entreprise.
• Poursuites judiciaires : les violations peuvent entraîner des actions en justice de la part de parties prenantes affectées, augmentant les coûts et les risques juridiques.

Conseils pratiques pour la mise en conformité

Pour se conformer à la directive NIS 2, les entreprises peuvent suivre les étapes suivantes :

• Évaluation de la maturité cyber : réaliser un audit interne pour identifier les forces et faiblesses des systèmes de sécurité actuels.
• Identification des obligations spécifiques : analyser les exigences de la directive applicables à l'entreprise, en fonction de sa classification (entité essentielle ou importante) et de son secteur d'activité..
• Mise en place de mesures de sécurité : adopter des politiques de gestion des risques, des protocoles de réponse aux incidents et des formations pour le personnel..

Collaboration avec des experts : travailler avec des consultants en cybersécurité et des courtiers en assurance spécialisés pour assurer une protection optimale et une conformité réglementaire.

Le rôle crucial des courtiers en assurance professionnelle

Les assurances professionnelles, et en particulier les assurances cyber, deviennent des alliées indispensables pour les entreprises.

Elles offrent une protection financière contre les conséquences des cyberattaques, couvrant les coûts liés aux violations de données, aux interruptions d'activité et aux responsabilités légales. De plus, elles accompagnent les entreprises dans la mise en place de mesures préventives, contribuant ainsi à la conformité avec les obligations de la directive NIS 2.

Pour naviguer efficacement dans ce paysage réglementaire complexe, il est essentiel pour les entreprises de collaborer avec des courtiers spécialisés en assurance professionnelle. Ces experts peuvent évaluer les risques spécifiques de chaque organisation et proposer des solutions d'assurance adaptées, garantissant une couverture optimale face aux menaces cybernétiques et aux exigences réglementaires en vigueur.

Exemples concrets de couverture assurantielle en cas de cyberattaques

Les cyberattaques représentent une menace croissante pour les entreprises, avec des conséquences financières et opérationnelles significatives. Les assurances cyber offrent une protection essentielle en couvrant divers aspects liés à ces incidents.

Voici des exemples concrets de couverture assurantielle en cas de cyberattaques :

Rançongiciels (ransomware)

Lorsqu'un logiciel malveillant chiffre les données de l'entreprise et exige une rançon pour leur déchiffrement, une assurance cyber peut intervenir de plusieurs manières :

• Frais de négociation : prise en charge des coûts liés à l'engagement de spécialistes pour négocier avec les cybercriminels.
• Paiement de la rançon : bien que controversé, le paiement de la rançon peut être couvert, selon les termes du contrat d'assurance.
• Restauration des systèmes : financement des opérations de décontamination, de restauration des données et de remise en état des systèmes informatiques.

Attaques par déni de service distribué (DDoS)

Ces attaques visent à rendre les services indisponibles en submergeant les serveurs de requêtes.

Les assurances cyber peuvent offrir les protections suivantes :

• Indemnisation des pertes d'exploitation : compensation des pertes financières résultant de l'interruption d'activité due à l'attaque.
• Frais de mitigation : couverture des coûts engagés pour déployer des solutions techniques visant à atténuer l'impact de l'attaque et restaurer les services.

Violations de données

L'accès non autorisé à des informations sensibles peut entraîner des fuites de données clients. Les assurances cyber offrent généralement les couvertures suivantes :

• Frais de notification : prise en charge des coûts liés à l'information des personnes concernées par la violation, conformément aux obligations légales.
• Amendes réglementaires : couverture des sanctions financières imposées par les autorités de protection des données, telles que la CNIL en France.
• Frais juridiques : financement des dépenses liées à la défense en cas de poursuites engagées par des tiers affectés par la violation.

Il est essentiel pour les entreprises de bien comprendre les termes de leur police d'assurance cyber afin de s'assurer qu'elle couvre adéquatement les différents types de cyberattaques et les coûts associés.