21 juillet 2023

La directive NIS 2 est-elle applicable à votre entreprise ?

Claranet et ses clients évoluent dans un environnement en constante évolution et exposé à des menaces cyber toujours plus nombreuses. Pour y faire face, de multiples initiatives de normalisation et de règlementation ont vu et verront le jour afin d’apporter de la confiance dans l’écosystème. La directive NIS1 est une législation de l'UE introduite en 2016 qui vise à renforcer la cybersécurité des réseaux et systèmes d'information de certains opérateurs dits "de services essentiels" et "fournisseurs de services numériques". Elle est remplacée par la directive NIS 2 fin 2022, dans une optique d'amélioration continue du niveau de cybersécurité en Europe : elle élargit d'une part les attentes en terme de gestion des risques et mesures associées, et d'autre part le périmètre d'applicabilité.

Pourquoi la directive NIS 2 a-t-elle été mise en place ?

  • Pour faire face à l'augmentation des cyber attaques auxquelles toute la société est confrontée et exposée.
  • Pour apporter plus d’homogénéité au niveau de l’Union Européenne dans la prévention et le traitement des cyber attaques

Comment la directive NIS 2 répond-elle à ces objectifs ?

  • En élargissant le champ d’application de la directive à toutes les entités qui entrent dans les critères d’”entités essentielles” et “entités importantes”. Ces notions font notamment entrer de nouveaux secteurs d’activités, des PME ou encore des nouvelles entités publiques.
  • En précisant les obligations et objectifs à atteindre par les entités concernées.
  • En renforçant les contrôles des entités concernées.

Comment savoir si je suis concerné ? Et si oui, suis-je une entité essentielle ou une entité importante ?

Cette question est essentielle, et pourtant, y répondre peut être compliqué.

En effet, il faut réussir déchiffrer les articles 2 et 3 de la directive, les sous-articles, les renvois à d’autres textes, etc.

Pour nous approprier la Directive, nous avons formalisé les critères dans un arbre de décision qui :

  • traite toutes les catégories identifiées comme concernées par NIS 2 (article 2) ;
  • précise pour chaque catégorie si elle est une entité essentielle ou une entité importante (article 3).
logigramme cics

Nous avons fait le choix de rédiger cet arbre de décision en anglais pour éviter toute erreur d’interprétation. Certaines traductions en français peuvent notamment paraître éloignées des intitulées utilisées par les professionnels du secteur, à l’instar de l’infogérance qui de l'anglais “managed services” est traduit en “services gérés”.

Issu d’un travail de nos équipes internes, nous partageons cet arbre qui pourra peut-être également vous aider dans votre appropriation du texte. Et pour ceux qui se sont également penchés sur les subtilités de NIS 2, il est l’occasion de partager vos avis, vos propositions d’amélioration en attendant que la loi de transposition en cours à l’ANSSI n’apporte de nouveaux éléments.

Références utilisées dans l’arbre de décision

Faites-vous accompagner par nos experts

Définitions issues de NIS2

Art.6.19) «Système de noms de domaine» ou «DNS» / “domain name system’ or ‘DNS”:

Un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de
connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources;

Art 6.20) «Fournisseur de services DNS» / “DNS service provider”

Une entité qui fournit :

  • a) des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de
    l’internet; ou
  • b) des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des
    serveurs de noms de racines;

Art 6.21) «Registre de noms de domaine de premier niveau» / “top-level domain name registry” or “TLD name registry”

Une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage

22) «Entité fournissant des services d’enregistrement de noms de domaine» / “entity providing domain name registration services”

Un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire;

Le règlement eIDAS ( règlement 910/2014) établit une distinction entre les services de confiance qualifiés et les services de confiance non qualifiés. Les services de confiance qualifiés répondent à des exigences particulières et peuvent notamment bénéficier d’effets juridiques spécifiques ( charge de la preuve, etc.). Les services de confiance qualifiés sont assurés par des prestataires de services de confiance qualifiés qui font l’objet de contrôle. L’ANSSI tient une liste services qualifiés.

Art.6.24) «Service de confiance» / “trust service”

Un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014 :

«service de confiance», un service électronique normalement fourni contre rémunération qui consiste:

  • a) en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services; ou
  • b) en la création, en la vérification et en la validation de certificats pour l’authentification de site internet; ou
  • c) en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services;

Art.6.25) «prestataire de services de confiance» / “trust service provider”

un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;

«prestataire de services de confiance», une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié;

Art.6.26) «service de confiance qualifié»/ “qualified trust service”

un service de confiance qualifié au sens de l’article 3, point 17, du règlement (UE) no 910/2014; ( règlement 910/2014= règlement eIDAS)

«service de confiance qualifié», un service de confiance qui satisfait aux exigences du présent règlement;

Les conditions de qualification d’un service de confiance sont définies dans le règlement eIDAS.

Art.6.27) «prestataire de services de confiance qualifié»/ “qualified trust service provider”

prestataire de services de confiance qualifié au sens de l’article 3, point 20, du règlement (UE) no 910/2014;

«prestataire de services de confiance qualifié», un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié;