NIS2

La directive NIS 2 succède à la directive NIS initiale et représente une avancée majeure dans le cadre juridique de la cybersécurité de l’UE. Reprenant les fondements de la version précédente, la directive NIS 2 introduit une couverture sectorielle plus étendue, des exigences plus strictes en matière de sécurité et des pénalités plus élevées en cas de non-conformité. Le texte intégral de la directive NIS 2 est disponible dans le Journal officiel de l’Union européenne. En outre, l'Agence de l'Union européenne pour la cybersécurité (« ENISA ») propose des conseils et des ressources aux entités souhaitant assurer leur conformité aux objectifs de la directive.

La directive NIS 2 concerne les entités « essentielles » et « importantes » dans 18 secteurs d'activité. Il s'agit des « secteurs hautement critiques » (par exemple, énergies, transport, secteur bancaire, santé, eaux et infrastructure numérique) et des « autres secteurs critiques » (par exemple, services postaux et d'expédition, gestion des déchets, production, transformation et distribution de denrées alimentaires et industries manufacturières). Pour consulter la liste complète des secteurs concernés, reportez-vous à l’Annexe 1 et l’Annexe 2 de la directive NIS.

Oui, Cloudflare relève du champ d'application de la directive NIS 2, en tant que fournisseur d'infrastructure numérique. Cloudflare s’était auparavant enregistré comme « opérateur de services essentiels » et « fournisseur de services numériques », en vertu de la directive NIS initiale.

Les entités sont classées en fonction de leur taille et de leur importance pour l'économie et la société. Si les deux catégories d'entités réglementées par cette législation (c'est-à-dire « essentielles » et « importantes ») sont soumises aux mêmes exigences en matière de sécurité et de signalement des incidents, les entités essentielles font l'objet d'une surveillance plus proactive et stricte de la part des autorités nationales.

Oui. La directive NIS 2 s'applique à toutes les entités fournissant des services « essentiels » ou « importants » au sein de l'UE, indépendamment de l'endroit où est établi le siège social de l'entreprise. Par ailleurs, dans la mesure où la directive NIS 2 impose la gestion des risques liés à la chaîne d'approvisionnement, de nombreuses entreprises dont l'activité est réglementée par cette directive, tant dans l'UE que hors de celle-ci, exigeront désormais de leurs fournisseurs et de leurs prestataires de services internationaux qu'ils fournissent la preuve de leur conformité à des normes de sécurité satisfaisant à la directive NIS 2.

L'article 21 de la directive impose aux entités soumises à cette réglementation de prendre des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » afin de gérer les risques liés à la cybersécurité. Ces mesures incluent notamment les dispositifs suivants :

• Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information.
• Traitement des incidents (prévention, détection et réponse).
• Continuité de l'activité et la gestion des crises.
• Sécurité de la chaîne d'approvisionnement, notamment les risques concernant la relation entre chaque entité et ses fournisseurs directs.
• Sécurité des processus d’acquisition, de développement et de maintenance des réseaux et des systèmes d’information.
• Politiques et procédures destinées à évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité.
• Utilisation de la cryptographie et du chiffrement.

Oui, l'article 21 impose expressément aux entités de veiller à de la sécurité de la chaîne d'approvisionnement, notamment des relations entre l'entité et ses fournisseurs directs. Cloudflare peut vous aider dans cette démarche en fournissant des documents de sécurité transparents (par exemple, des rapports de conformité) et des outils tels que le service Data Localization Suite, qui aide les clients à gérer les risques juridiques et géographiques liés au traitement des données et aux prestataires de services.

La directive NIS 2 renforce considérablement son caractère contraignant au travers d'un système d'amendes progressif, reposant sur la classification des entités :

• Entités essentielles  : des amendes pouvant s'élever à au moins 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
• Entités importantes : des amendes pouvant s'élever à au moins 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Par ailleurs, la directive NIS 2 marque un tournant en matière de responsabilité de la direction. En vertu de l'article 20, les « organes de direction » d'une entreprise soumise à cette réglementation, (par exemple, l'équipe de direction générale et les conseils d'administration) sont désormais directement responsables de la supervision de la mise en œuvre des mesures de gestion des risques liés à la cybersécurité. Les dirigeants peuvent être tenus personnellement responsables en cas de négligence grave à la suite d'une violation de sécurité. En ce qui concerne les entités essentielles, les autorités nationales peuvent même avoir le pouvoir d'interdire temporairement à des certaines personnes d'occuper des postes de direction.

Cloudflare propose un accès en libre-service à ses derniers rapports concernant les normes ISO 27001, ISO 27701 et SOC 2 Type II depuis son Centre de confiance. Ces documents constituent des pièces justificatives fondamentales concernant vos obligations au regard de la « sécurité de la chaîne d'approvisionnement », conformément à l'article 21 de la directive NIS 2.

Pour aller plus loin, vous pouvez également télécharger notre livre blanc consacré à la conformité à la directive NIS 2, qui présente les différentes façons dont les produits Cloudflare peuvent aider les clients dont l'activité est réglementée par la directive NIS 2.