Quelles sont les Principales Différences entre NIS 1 et NIS 2 ?

NIS 1 à gauche et NIS 2 à droite pour illustrer leurs différences

La transition de la Directive NIS originale (NIS 1) à la Directive NIS 2 constitue une étape importante dans le renforcement des mesures de cybersécurité au sein de l'Union européenne. Cet article propose une analyse détaillée des Principales Différences entre NIS 1 et NIS 2 pour mieux comprendre l'évolution de la réglementation en matière de sécurité des réseaux et des systèmes d'information.

Au programme

Partie 1 : Élargissement du champ d'application

Partie 2 : Renforcement des exigences de sécurité

Partie 3 : Obligations de notification améliorées

Partie 4 : Sanctions renforcées

Partie 5 : Cadre de gouvernance amélioré

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement

FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

  1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?
  2. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?
  3. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

Partie 1 : Élargissement du champ d'application

La directive NIS 1 ciblait principalement les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN) alors que la directive NIS 2 étend considérablement le champ d'application pour inclure un plus grand nombre d'entités et de secteurs.

NIS 1 (Directive 2016/1148) NIS 2 (Directive 2022/2555)

Les Opérateurs de Services Essentiels (OSE):

  • Énergies (Electricité, Gaz, Pétrole, Nucléaire)
  • Transports (Aériens, Ferroviaires, Maritimes, Routiers)
  • Banques et Infrastructures Financières
  • Service de Santé
  • Fourniture et Distribution d'Eau Potable

Les Entités Essentielles (EE):

  • Tous les secteurs OSE de NIS 1
  • Énergies (Hydrogène et Réseaux de Chaleur et de Froid)
  • Gestion des services TIC (interentreprises)
  • Administration Publique (selon les critères spécifiques de chaque État membre)
  • Gestion des Eaux Usées
  • Secteur Spatial

Les Fournisseurs de Services Numériques (FSN):

  • Places de Marché en Ligne (IXP)
  • Moteurs de Recherche en Ligne
  • Fournisseurs de Services de Cloud
  • Fournisseurs de Services DNS
  • Gestionnaires de Domaines de Premier Niveau (TLD)

Les Entités Importantes (EI):

  • Tous les secteurs FSN de NIS 1
  • Recherche et développement
  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication d'importance critique (dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules, autres équipements de transport)
  • Plateformes de services de réseaux sociaux
  • Fournisseurs de réseaux de diffusion de contenu (CDN)
  • Plateformes de commerce en ligne

Récapitulatif des changements notables :

  1. La directive NIS 2 remplace la distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) par des "Entités Essentielles (EE) et des Entités Importantes (EI)", élargissant considérablement le champ d'application.
  2. Les obligations pour les FSN sont renforcées dans NIS 2 et s'alignent davantage sur celles des Entités Essentielles et des Entités Importante
  3. NIS 2 ajoute les plateformes de services de réseaux sociaux à la catégorie des FSN.
  4. Le champ d'application sectoriel est considérablement élargi dans NIS 2, couvrant plus de secteurs critiques de l'économie et de la société.

Partie 2 : Renforcement des exigences de sécurité


La directive NIS 2 impose des mesures de sécurité plus strictes, axées sur la gestion des risques à travers la prévention, la détection, la réponse aux incidents et la récupération.

Ces mesures sont désormais obligatoires pour une plus grande variété d'entités, y compris celles qui n'étaient pas auparavant couvertes par la NIS 1, reflétant l'importance accrue de la cybersécurité dans tous les secteurs critiques .

NIS 1 (Directive 2016/1148) NIS 2 (Directive 2022/2555)
Mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques (Art. 14.1) Ajout de mesures spécifiques : politiques de cybersécurité, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, cryptographie, etc. (Art. 21.2)
Pas de mention explicite de la gestion des risques liés à la chaîne d'approvisionnement Obligation d'évaluer et de prendre en compte les risques liés aux fournisseurs et prestataires de services (Art. 21.3)
Pas d'obligation spécifique concernant la formation Obligation de formation régulière en cybersécurité pour le personnel (Art. 20.2)
Pas de mention de la responsabilité des organes de direction Responsabilité explicite des organes de direction dans l'approbation et la supervision des mesures de cybersécurité (Art. 20.1)
Pas d'exigences spécifiques pour les différents secteurs Possibilité d'exigences sectorielles spécifiques via des actes d'exécution de la Commission (Art. 21.5)
Pas de mention de l'utilisation de la cryptographie Promotion de l'utilisation du chiffrement et du chiffrement de bout en bout (Art. 23.2)
Pas d'obligation d'utiliser des produits certifiés Possibilité pour les États membres d'exiger l'utilisation de produits certifiés pour certaines entités (Art. 24.1)

Exemples concrets :

  • NIS 1 : Une banque devait mettre en place des mesures de sécurité appropriées, sans plus de précisions.
  • NIS 2 : Cette même banque devra mettre en place des politiques de cybersécurité spécifiques, former régulièrement son personnel, évaluer les risques liés à ses fournisseurs IT et potentiellement utiliser des produits certifiés pour ses systèmes critiques.

Récapitulatif des changements notables :

  1. Spécification plus détaillée des mesures de sécurité requises
  2. Accent mis sur la sécurité de la chaîne d'approvisionnement
  3. Responsabilisation accrue des organes de direction
  4. Introduction d'exigences de formation du personnel
  5. Promotion de l'utilisation du chiffrement
  6. Possibilité d'exigences sectorielles spécifiques
  7. Incitation à l'utilisation de produits certifiés

Partie 3 : Obligations de notification améliorées


Sous NIS 1, la notification était requise pour les incidents ayant un impact significatif.

La directive NIS 2 va plus loin en exigeant une notification plus rapide et plus détaillée des incidents, y compris ceux susceptibles d'affecter d'autres États membres.

Cette modification vise à améliorer la transparence et la réactivité face aux cyberattaques, facilitant une réponse coordonnée à travers l'UE .

NIS 1 (Directive 2016/1148) NIS 2 (Directive 2022/2555)
Notification des incidents ayant un impact important sur la continuité des services essentiels (Art. 14) Ajout d'une alerte précoce dans les 24h suivant la prise de connaissance d'un incident important (Art. 23.4)
Délai de notification non précisé Notification de l'incident dans les 72h (Art. 23.4)
Contenu de la notification non détaillé Rapport final dans le mois suivant l'incident, avec description détaillée, impact, mesures prises, etc. (Art. 23.4)
Notification uniquement pour les Opérateurs de Services Essentiels Élargissement aux entités importantes (Art. 23.1)
Critères généraux pour déterminer l'importance d'un incident (nombre d'utilisateurs touchés, durée, zone géographique) Critères plus précis, par exemple pour le secteur de l'énergie : volume ou proportion d'énergie produite au niveau national (Art. 23.3)
Pas d'obligation explicite d'informer les utilisateurs Obligation d'informer les utilisateurs des mesures qu'ils peuvent prendre face à une cybermenace importante (Art. 23.2)
Notification volontaire possible pour les autres entités (Art. 20) Notification obligatoire des cybermenaces importantes pour certaines entités (Art. 30)

Exemples concrets :

  • NIS 1 : Un hôpital victime d'une cyberattaque paralysant ses systèmes pendant 24h devait le notifier, sans délai précis.
  • NIS 2 : Ce même hôpital devra envoyer une alerte dans les 24h, une notification détaillée dans les 72h, et un rapport complet dans le mois. Il devra aussi informer les patients des mesures à prendre (ex: report de rendez-vous non urgents).

Voici un tableau récapitulatif comparant les délais d'alerte entre NIS 1 et NIS 2 :

Etapes NIS 1 (Directive 2016/1148) NIS 2 (Directive 2022/2555)
Alerte précoce Non spécifié 24 heures
Notification d'incident 72 heures 72 heures
Rapport intermédiaire Non spécifié Sur demande de l'autorité compétente
Rapport final Non spécifié 1 mois après la notification d'incident
Rapport d'avancement Non spécifié Si l'incident est toujours en cours après 1 mois
Rapport final (après rapport d'avancement) Non spécifié 1 mois après le traitement de l'incident

Partie 4 : Sanctions renforcées


La directive NIS 2 introduit des sanctions plus sévères pour non-conformité, y compris des amendes basées sur le chiffre d'affaires de l'entité.

Ces sanctions ont pour but de renforcer la conformité et de souligner la gravité des manquements en matière de cybersécurité.

NIS 1 (Directive 2016/1148) NIS 2 (Directive 2022/2555)
Les États membres fixent les règles relatives aux sanctions applicables en cas d'infraction aux dispositions nationales. Maintien des sanctions fixées par les États membres
Pas de montants ou pourcentages spécifiques mentionnés dans la directive Introduction d'amendes administratives spécifiques :
  • Pour les Entités Essentielles (EE) : 10 000 000 EUR ou 2% du chiffre d'affaires annuel mondial total
  • Pour les Entités Importantes (EI) : 7 000 000 EUR ou 1,4% du chiffre d'affaires annuel mondial total
NB : Le montant le plus élevé étant celui retenu.
Les sanctions doivent être "effectives, proportionnées et dissuasives" Maintien du principe de sanctions "effectives, proportionnées et dissuasives
Pas de mention d'astreintes Possibilité d'imposer des astreintes pour contraindre une entité à mettre fin à une violation
Pas de mention de suspension de certifications/autorisations Possibilité de suspendre temporairement des certifications ou autorisations d'une entité essentielle
Pas de critères spécifiques pour déterminer les sanctions Liste de critères à prendre en compte pour déterminer le montant des amendes (ex: gravité de l'infraction, durée, dommages causés, caractère intentionnel, etc.)
Possibilité d'imposer une interdiction temporaire d'exercer des fonctions de direction pour une personne physique

Exemples :

  • NIS 1 : Un État membre pourrait fixer une amende maximale de 100 000.
  • NIS 2 : Une grande entreprise du secteur de l'énergie avec un CA de 1 milliard € pourrait se voir infliger une amende allant jusqu'à 20 millions €.

Partie 5 : Cadre de gouvernance amélioré


Un cadre de gouvernance plus structuré est mis en place sous NIS 2, avec des autorités nationales renforcées et une coopération accrue entre les États membres.

Ce cadre comprend également des mécanismes de partage d'informations plus efficaces, essentiels pour une réponse rapide et efficace aux incidents de cybersécurité .

NIS 1 (Directive 2016/1148) NIS 2 (Directive 2022/2555)
Groupe de coopération pour faciliter la coopération stratégique
  • Échange de bonnes pratiques
 Groupe de coopération renforcé avec des tâches élargies
  • Élaboration de lignes directrices pour les évaluations des risques sectorielss
Réseau des CSIRT (Computer Security Incident Response Teams)
  • Échange d'informations sur les incidents
 Réseau des CSIRT avec des capacités opérationnelles renforcées
  • Coordination des réponses aux incidents transfrontaliers
Points de contact uniques dans chaque État membre
  • Liaison pour la coopération transfrontalière
 Points de contact uniques avec un rôle de coordination renforcé
  • Transmission des notifications d'incidents transfrontaliers
Pas de mention d'exercices de cybersécurité au niveau de l'UE Introduction d'exercices de cybersécurité paneuropéens biennaux
  • Simulation d'une cyberattaque à grande échelle sur les infrastructures critiques
Pas de mécanisme d'évaluation par les pairs Introduction d'évaluations par les pairs pour vérifier l'efficacité des politiques nationales
  • Examen de la stratégie nationale de cybersécurité d'un État membre par ses pairs
Pas de mention d'EU-CyCLONe Création d'EU-CyCLONe (EU - Cyber Crisis Liaison Organisation Network)
  • Coordination de la gestion des incidents majeurs de cybersécurité au niveau de l'UE
Stratégies nationales de cybersécurité requises
  • Définition d'objectifs généraux
 Stratégies nationales de cybersécurité plus détaillées et alignées
  • Inclusion de politiques sur la divulgation des vulnérabilités
Coopération limitée avec les pays tiers Cadre renforcé pour la coopération internationale
  • Partage d'informations sur les menaces avec des partenaires stratégiques
Pas de mention de base de données des vulnérabilités Création d'une base de données européenne des vulnérabilités
  • Centralisation des informations sur les vulnérabilités découvertes dans les logiciels couramment utilisés

Partie 6 : Focus sur la résilience de la chaîne d'approvisionnement


NIS 2 exige que les entités gèrent les risques associés à leurs fournisseurs et sous-traitants, adoptant une approche de sécurité holistique.

Cette exigence est particulièrement pertinente dans un monde où les chaînes d'approvisionnement sont de plus en plus interconnectées et susceptibles de propager des vulnérabilités .

NIS 1 (Directive 2016/1148) NIS 2 (Directive 2022/2555)
Pas de mention spécifique de la chaîne d'approvisionnement Focus explicite sur la sécurité de la chaîne d'approvisionnement
Exigences de sécurité générales pour les opérateurs de services essentiels
  • Mesures techniques et organisationnelles appropriées pour gérer les risques
 Exigences spécifiques pour la gestion des risques liés à la chaîne d'approvisionnement
  • Évaluation des risques de sécurité des fournisseurs critiques
Pas d'obligation d'évaluer les risques des fournisseurs Obligation d'évaluer la qualité et la cybersécurité des produits et services des fournisseurs
  • Audit de sécurité des pratiques de développement logiciel d'un fournisseur clé
Pas de mention des facteurs non techniques Prise en compte des facteurs non techniques dans l'évaluation des risques
  • Évaluation de l'influence potentielle d'un pays tiers sur un fournisseur critique
Pas d'évaluations coordonnées des risques au niveau de l'UE Introduction d'évaluations coordonnées des risques pour les chaînes d'approvisionnement critiques
  • Évaluation coordonnée des risques liés aux fournisseurs de services cloud au niveau de l'UE
Pas de mention des accords contractuels Encouragement à inclure des exigences de cybersécurité dans les accords contractuels
  • Clauses contractuelles imposant des normes de sécurité minimales aux fournisseurs
Pas de focus sur les fournisseurs de services de sécurité gérés Attention particulière portée aux fournisseurs de services de sécurité gérés
  • Diligence renforcée dans la sélection des fournisseurs de services de détection et de réponse aux incidents
Pas de mention de la divulgation coordonnée des vulnérabilités Introduction de politiques de divulgation coordonnée des vulnérabilités
  • Procédure standardisée pour signaler les vulnérabilités découvertes dans les produits des fournisseurs
Pas de mention des dépendances sectorielles Prise en compte des dépendances intersectorielles dans l'évaluation des risques
  • Évaluation de l'impact d'une défaillance d'un fournisseur d'énergie sur le secteur bancaire
Pas d'exigences spécifiques pour les petites et moyennes entreprises (PME) Recommandations pour aider les PME à gérer les risques de la chaîne d'approvisionnement
  • Lignes directrices simplifiées pour l'évaluation des risques des fournisseurs pour les PME

FAQ : 3 questions sur les Principales Différences entre NIS 1 et NIS 2

1. Comment le champ d'application de NIS 2 diffère-t-il de NIS 1 ?

NIS 2 élargit considérablement le champ d'application en remplaçant la distinction OSE/FSN par des Entités Essentielles et Importantes. Il couvre plus de secteurs critiques et renforce les obligations pour les FSN.

 

2. Quelles sont les principales nouveautés en matière de notification d'incidents dans NIS 2 ?

NIS 2 impose une alerte précoce dans les 24h, une notification détaillée dans les 72h et un rapport complet dans le mois. Les entités doivent aussi informer les utilisateurs des mesures à prendre face aux cybermenaces importantes.

 

3. Comment NIS 2 renforce-t-il les sanctions pour non-conformité ?

NIS 2 introduit des amendes administratives spécifiques basées sur le chiffre d'affaires. Pour les Entités Essentielles, elles peuvent atteindre 10M€ ou 2% du CA mondial. Des astreintes et suspensions de certifications sont également possibles.

Pour compléter votre lecture, lisez les autres articles pour mieux comprendre la Directive NIS 2 :

Pour en savoir plus :

Découvrir tous les articles de Nestor

Article publié le :

4/9/2024

Article modifié le :

16/9/2024

À propos de l'auteur

la photo de l'auteur du post de blog
Nestor
Votre assistant en Cyber Conformité
Réseau Social Linkedin NestorRéseau Social X Facebook NestorRéseau Social Instagram NestorRéseau Social Youtube NestorRéseau Social Github Nestor

Vous êtes sous le charme de Nestor ?

Démarrez votre relation, sans aucune installation !

Démarrer dès maintenant