12 min read ♨️ Accessible

NIS 2 - Etes-vous concerné ?

Cet article est de niveau Accessible : il est fait pour réaliser les premiers pas dans la compréhension de la directive NIS 2, sans aucun pré-requis nécessaire.

Guide de lecture
Ce blog a été créé avec l’ambition de pouvoir exprimer le point de vue de sa créatrice et des auteurs-contributeurs sur les enjeux, les connaissances-clés et l’actualité concernant la sécurité de l’information et la protection des données personnelles. Les thématiques des publications sont bien sûr choisies en
Mamori DataJoëlie

Quelques rappels

🟣 Avant d'entrer dans le coeur du sujet, je voudrais prendre quelques mots pour rappeler ce qu'est NIS 2. La directive NIS 2, c'est un texte législatif européen qui a été adopté en 2022 et qui sera applicable à partir d’octobre 2024 (donc dans quelques mois). « NIS » signifie Network and Information Security, car cette directive a pour but d’élever le niveau de cybersécurité. Et il s’agit de NIS « 2 » car c’est la deuxième version de cette législation européenne. La première directive NIS datait de 2016, et cette seconde édition apporte beaucoup de changements. Notamment, la rédaction de NIS 2 a été motivée par le constat que la première directive NIS avait bien été appliquée par tous les Etats-Membres, mais avec beaucoup de disparités, ce qui empêchait d’appréhender les problématiques de sécurité de façon optimisée au niveau européen.

S’il est particulièrement pertinent de se pencher sur NIS 2, c’est parce qu’à l’inverse de son prédécesseur plutôt confidentiel, ce nouveau texte bénéficie d’un champ d’application beaucoup plus large. Concrètement, on sait déjà que de très nombreuses entreprises et personne publiques seront impactée par de nouvelles obligations de sécurité de l’information.

Au-delà du sujet du nombre d’entreprises impactées, on note également que la directive NIS 2 renforce les obligations de sécurité, et prévoit des sanctions financières allant jusqu’à 1,4 % ou 2 % du chiffre d’affaires en cas de non-respect ; en faisant cela, le législateur européen a créé une législation clairement plus impactante pour les entités concernées.

Le temps de lecture complet de cet article est estimé à 12 minutes. Il comporte toutefois de nombreuses listes de types d’entités, que vous ne consulterez peut-être pas intégralement. Si vous souhaitez y passer moins de temps, une synthèse vous attend en bas de page.

Les secteurs d’activité

Quelques chiffres pour commencer

La directive NIS2 vise les entités incluses dans 18 secteurs d’activités.

C'est une large extension du champ d'application de NIS1, qui ne visait que 7 de ces secteurs. Les 18 secteurs concernés par NIS2 sont répartis en deux catégories : 11 hautement critiques et 9 critiques.

Au total, 67 types d'entités sont concernés, au sein de ces 18 secteurs. Pour la plupart de ces types d'entités, au-delà de la désignation générique dans les annexes de la directive, des renvois sont faits vers des textes qui contiennent une définition plus précise de chacune des catégories concernées. Pour certains types d'entités toutefois, la directive n'opère pas de renvoi et ne définit pas non-plus précisément les entités concernées (c'est le cas pour des entités dans les secteurs numériques par exemple).

Les secteurs hautement critiques

Les secteurs hautements critiques sont : l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, l’infrastructure numérique, la gestion des services TIC interentreprises, l’administration publique et l’espace.

💡 L'énergie

  • Electricité
    • Fourniture (article 2, point 57), de la directive (UE) 2019/944)
    • Gestionnaire de réseau de distribution (article 2, point 29)
    • Gestionnaire de réseau de transport (article 2, point 35)
    • Producteur (article 2, point 38)
    • Opérateur désigné du marché de l'électricité (article 2, point 8)
    • Acteur du marché (article 2, point 25) fournissant des services d'agrégation, de participation active de la demande ou de stockage d'énergie (article 2, points 18), 20) et 59)
    • Exploitant responsable de la gestion et de l'exploitation d'un point de recherche fournissant un service de recharge aux utilisateurs finaux (pas de référence à une norme spécifique).
  • Réseaux de chaleur et de froid
    • Opérateur (article 2, point 19), de la directive (UE) 2018/2001)
  • Pétrole
    • Exploitant d'oléoducs (pas de référence à une norme spécifique).
    • Exploitant d'instations de production, raffinage, traitement stockage et transport de pétrole (pas de référence à une norme spécifique).
    • Entité de stockage (article 2, point f), de la directive 2009/119/CE)
  • Gaz
    • Fourniture (article 2, point 8, de la directive 2009/73/CE)
    • Gestionnaire de réseau de distribution (article 2, point 6)
    • Gestionnaire de réseau de transport (article 2, point 4)
    • Gestionnaire d'installation de stockage (article 2, point 10)
    • Gestionnaire d'installation de GNL (article 2, point 12)
    • Entreprise de gaz naturel (article 2, point 1)
    • Exploitant d'installations de raffinage et traitement (pas de référence à une norme spécifique).
  • Hydrogène
    • Exploitant de systèmes de production, de stockage et de transport (pas de référence à une norme spécifique).

🚃 Les transports

  • Aériens
    • Transporteur utilisé à des fins commerciales (article 3, point 4), du règlement (CE) no 300/2008).
    • Gestionnaire d’aéroports, y compris aéroport du réseau central et exploitant d’installation annexe se trouvant dans un aéroport (article 2, points 1) et 2), de la directive 2009/12/CE).
    • Contrôle de la circulation aérienne (article 2, point 1), du règlement (CE) no 549/2004)
  • Ferroviaires
    • Gestionnaire de l'infrastructure (article 3, point 2), de la directive 2012/34/UE)
    • Entreprise ferroviaire, y compris exploitant d'installation de service (article 3, points 1) et 12)).
  • Par eau
    • Transport de passagers et de fret (annexe I du règlement (CE) no 725/2004).
    • Gestionnaire de ports, y compris exploitant d’infrastructures et équipements à l’intérieur des ports (article 3, point 1), de la directive 2005/65/CE et article 2, point 11), du règlement (CE) no 725/2004)
    • Exploitant de STM (article 3, point o), de la directive 2002/59/CE)
  • Routiers
    • Autorité routière (article 2, point 12), du règlement délégué (UE) 2015/962)
    • Exploitant de système de transport intelligent (rticle 4, point 1), de la directive 2010/40/UE)

💰 Le secteur bancaire et les infrastructures des marchés financiers

  • Etablissement de crédit (article 4, point 1), du règlement (UE) no 575/2013)
  • Exploitant de plateforme de négociation (article 4, point 24), de la directive 2014/65/UE)
  • Contrepartie centrale (article 2, point 1), du règlement (UE) no 648/2012)

🧬 La santé

  • Prestataire de soins de santé (article 3, point g), de la directive 2011/24/UE)
  • Laboratoire de référence de l’UE (article 15 du règlement (UE) 2022/2371)
  • R&D en médicaments (article 1er, point 2, de la directive 2001/83/CE)
  • Fabriquant de produits ou préparations pharmaceutiques (NACE Rév. 2, section C, division 21)
  • Fabriquant de dispositifs médicaux critiques en cas d’urgence de santé publique (article 22 du règlement (UE) 2022/123)

🫧 L'eau potable et les eaux usées

  • Fournisseur ou distributeur d'eaux destinées à la consommation humaine (article 2, point 1) a), de la directive (UE) 2020/2184)
  • Collecte, évacuation ou traitement des eaux (article 2, points 1), 2) et 3), de la directive 91/271/CEE)

🖥️ L'infrastructure numérique et la gestion des services TIC interentreprises

    • Aucune référence à une norme spécifique pour les types d’entités visés ci-dessous.
  • Fournisseur de points d'échange internet
  • Fournisseur de services DNS
  • Registre de noms de domaines de premier niveau
  • Fournisseur de services d'informatique en nuage
  • Fournisseur de services de centres de données
  • Fournisseurs de réseaux de diffusion de contenu
  • Prestataire de services de confiance
  • Fournisseur de réseaux de communication électroniques publics
  • Fournisseur de services de communications électroniques accessibles au public
  • Fournisseur de services gérés
  • Fournisseur de services de sécurité gérés

🏛️ L'administration publique

  • Administration publique centralisée (renvoi au droit national).
  • Administration publique au niveau régional (renvoi au droit national).

🛰️ L'espace

  • Exploitant d'infrastructures terrestres qui soutiennent la fourniteur de services spaciaux (pas de référence à une norme spécifique).

Les secteurs critiques

Les secteurs critiques sont : les services postaux et d’expédition, la gestion des déchets, la fabrication, production et distribution de produits chimiques, la production, transformation et distribution des denrées alimentaires, la fabrication de divers produits, les fournisseurs numériques et la recherche.

📦 Services postaux et d’expédition

  • Prestataire, y compris d'expédition (article 2, point 1 bis), de la directive 97/67/CE).

🗑️ Gestion des déchets

  • Gestion des déchets à titre d'activité principale (article 3, point 9), de la directive 2008/98/CE).

⚗️ Fabrication, production et distribution de produits chimiques

  • Fabrication et distribution de substances ou de mélanges (article 3, points 9 et 14, du règlement (CE) no 1907/2006).
  • Production d’articles à partir de substances ou de mélanges (article 3, point 3).

🥖 Production, transformation et distribution des denrées alimentaires

  • Distribution en gros (article 3, point 2), du règlement (CE) no 178/2002).
  • Production industrielle (idem).
  • Transformation industrielle (idem).

⚒️ Fabrication (manufacture)

  • Dispositifs médicaux (y compris de diagnostic in vitro).
    • Dispositifs médicaux (article 2, point 1), du règlement (UE) 2017/745).
    • Dispositifs de diagnostic in vitro (article 2, point 2), du règlement (UE) 2017/746).
  • Produits informatiques, électroniques et optiques (NACE Rév. 2, section C, division 26).
  • Equipements électriques (NACE Rév. 2, section C, division 27).
  • Machines et équipements nca (NACE Rév. 2, section C, division 28).
  • Véhicules automobiles, remorques et semi-remorques (NACE Rév. 2, section C, division 29).
  • Autres matériels de transport (NACE Rév. 2, section C, division 30).

💻 Fournisseurs numériques

  • Places de marché en ligne (pas de référence à une norme spécifique).
  • Moteurs de recherche en ligne ((pas de référence à une norme spécifique).
  • Plateformes de services de réseaux sociaux (pas de référence à une norme spécifique).

🔎 Recherche

  • Organismes de recherche (pas de référence à une norme spécifique).

Sur ces 67 types d'entités visés, la plupart permettent d'être définies par renvoi à d'autres normes, afin de savoir si l'on est concerné ou non. Toutefois, 21 types d'entités ne bénéficient pas de renvoi à une définition précise (en particulier les types d'entités des secteurs numériques).

L'évolution depuis NIS 1 concernant les secteurs concernés

Sept de ces secteurs étaient représentés dans les opérateurs de services essentiels (OSE) sous l’empire de la première directive NIS (toutes retrouvées comme “entités hautement critiques” sous NIS 2) : énergie, transport, banque, finance, santé, eau potable et infrastructures numériques.

On note également une redistribution des trois types d’entités qui composaient les fournisseurs de services numériques (FSN) sous NIS1 : deux d’entre-eux (les fournisseurs de places de marché en ligne et de moteurs de recherche en ligne) se retrouvent dans la liste des secteurs critiques, et le troisième (informatique en nuage) se retrouve dans les secteurs hautement critiques.

Une question de taille

Le principe : la condition de taille d’entreprise

La taille des entreprises fait l’objet de palliers normalisés au niveau européen, par une recommandation de 2003. C'est ce texte qui fixe les paliers et plafonds des micro, petites et moyennes entreprises.

Les micro entreprises emploient moins de 10 personnes et génèrent moint de 2 millions d'Euros par an. Quant aux petites entreprises, elles emploient moins de 50 personnes et génèrent moins de 10 millions d'Euros par an. Ces deux tailles d'entreprises ne sont en principe pas concernées par la directive NIS 2.

Mais si un de ces deux paliers est franchi (50 employés ou 10 millions d'Euros de chiffre d'affaires annuel), l'entreprise devient au moins moyenne. Elle remplit alors le deuxième critère pour être concernée par NIS 2, en plus du secteur d'activité : la taille.

En effet, la directive NIS 2 s'appliquera à toutes les entreprises qui remplissent les deux critères cumulatifs suivants : exercer une activité listée dans les types d'entités vus plus haut ET être au moins une moyenne entreprise.

Les exceptions

La condition de taille est le principe, auquel des exceptions sont prévues. Neuf types d'entités seront concernés, quelle que soit leur taille.

📜 Il s'agit des 11 types d'entités suivants

  1. Fournisseurs de réseaux de communication électroniques publics.
  2. Fournisseurs de services de communications électroniques accessibles au public.
  3. Prestataires de services de confiance.
  4. Registres de noms de domaine de premier niveau et fournisseurs de services de systèmes de noms de domaines.
  5. Entité qui est dans l'Etat le seul prestataire d'un service essentiel au maintien d'activités sociétales ou économiques critiques.
  6. Entité dont la perturbation du service pourrait avoir un impact important sur la sécurité, la sûreté ou la santé publique.
  7. Entité dont la perturbation du service pourrait induire un risque systémique important (en particulier avec un impact transfrontalier).
  8. Entité critique en raison de son importance spécifique.
  9. Administration publique centralisée (ou régionale, si elle est considérée comme critique après une appréciation des risques).
  10. Entités critiques désignées par l'Etat, en application de la directive 2022/2557 sur la résilience.
  11. Fournisseurs d'enregistrement de noms de domaine.

De plus, on note que l'Etat peut également procéder à des ajustements en exemptant certaines entités remplissant pourtant les critères d'application de la directive.

Plus de notification de statut

Sous l’empire de la directive NIS 1, pour savoir si vous étiez concerné, il suffisait de vous demander si vous aviez reçu une communication de la part de l’ANSSI vous désignant comme tel.

Mais avec l’entrée en vigueur de NIS 2, la logique sera inversée. Toute entité entrant dans les critères d’application de la directive sera de plein droit sujette aux obligations de ce nouveau texte. Et elle devra elle-même se manifester auprès de l’ANSSI (probablement au moyen d’un formulaire de déclaration normalisé, bien que les détails à ce sujet ne soient pas encore communiqués).

Pourquoi cette inversion dans la logique de communication ? Sous NIS 1, le nombre d’opérateurs concernés était beaucoup plus limité, et il était envisageable de centraliser leur nomination par une autorité publique centralisée. Avec le champ d’application étendu de NIS 2, il ne serait plus du tout raisonnable de s’appuyer sur les moyens d’une entité publique pour déclencher des désignations pour l’ensemble des entités concernées. De plus, la volonté de NIS 2 étant de responsabiliser les acteurs, la prise en charge de leur déclaration par ces derniers entre de façon cohérente avec cette logique. Enfin, avec le niveau croissant de sensibilisation des acteurs économiques publics comme privés aux enjeux de cybersécurité, il est aussi beaucoup plus raisonnable aujourd’hui de s’attendre à ce que les entité elles-mêmes se renseignent pour savoir si elles sont concernées ou non par ce dispositif.

Essentiel ou important ?

Deux paliers d'obligations sont prévus : un premier pour les entités importantes, et un second plus élevé pour les entités essentielles.

Par principe, toutes les entités sont importantes, sauf si elles entrent dans l'une des sept catégories d'entités essentielles.

📜 Les entités essentielles sont les suivantes

  1. Entités hautement critiques qui dépassent le plafond des moyennes entreprises (soit : 250 salariés ou 50 millions d'Euros de chiffre d'affaires ou 53 millions d'Euros de bilan).
  2. Prestataires de services de confiances (sans condition de taille).
  3. Registres de noms de domaine de premier niveau (sans condition de taille).
  4. Fournisseurs de services DNS (sans condition de taille).
  5. Fournisseurs de réseaux publics de communications électroniques (si elles sont des moyennes entreprises).
  6. Fournisseurs de de services de communication électroniques accessibles au public (si elles sont des moyennes entreprises).
  7. Certaines entités de l'administration publique.
  8. Toute entité spécifiquement désignée comme essentielle par l'Etat.
  9. Entités critiques désignées par la directive 2022/2557.
  10. OSE en vertu de NIS 1.

Synthèse

🟣 Dans tous les cas, il faut considérer que l'on fera sûrement partie des 160 000 entités directement impactées par NIS2 si l'on est :

  • A la fois une entité exerçant dans l'un des 18 secteurs visés.
  • Et en même temps une entité comportant moins 50 salariés ou générant au moins 10 millions d'Euros de CA annuel.

➡️ A cela, on ajoutte la liste des exceptions pour les entités qui seront impactées, quelle que soit leur taille.

🟣 Et une fois que cette première qualification est acquise, on voit que plusieurs catégories sont créées :

  • Les entités critiques (EC) et hautement critiques (EHC).
  • Les entités importantes (EI) et essentielles (EE).

📌 Enfin, je prépare actuellement un tableau de synthèse regroupant tous les types d’entités impactés directement par NIS 2 avec tous leurs attributs en vertu de la directive.

Pour être au courant

dès qu'un nouvel article ou une nouvelle ressource comme celle-ci paraîtra sur ce blog...

... suivez-moi sur LinkedIn ! ☑️

Sources

Directive NIS 1
Directive NIS 2
Directive 2022/2557
Recommandation 2003/361/CE
Webinaire de l'ANSSI

Joëlie

Joëlie

🎐 Entrepreneure lyonnaise, j'aide les professionnels à maîtriser les risques liés aux traitements de l'information. ✨
Lyon, France