La Directive Network and Information Security sur la Cybersécurité en Europe (NIS 2) est entrée en vigueur le 17 octobre 2024. Cette directive fait suite à la NIS 1, qu’elle complète pour répondre de manière plus adaptée à l’évolution du paysage numérique et des menaces en matière de cybersécurité. Découvrez quels sont les impacts de la NIS 2 pour les entreprises du secteur financier (non assujetties à DORA) en 2025.
Comprendre l'importance de la directive européenne NIS 2
Dans un monde de plus en plus interconnecté, les innovations technologiques (IA, Cloud Computing…) apportent de nouvelles opportunités pour les organisations, mais elles augmentent aussi le risque de piratage en créant des vulnérabilités susceptibles d’être exploitées par des acteurs malveillants. Il est donc important de réguler et de renforcer la résilience numérique des entreprises, notamment dans les secteurs sensibles comme celui de la finance.
C’est dans ce contexte que la Directive NIS 1 (Network and Information System) a été adoptée par l’Union européenne en 2018. Mais le paysage numérique ne cessant d’évoluer, il est nécessaire de réviser régulièrement les mesures en matière de cybersécurité. C’est pour cela que l’Union européenne a adopté, fin 2022, la Directive NIS 2. Entrée en vigueur le 17 octobre 2024, cette directive vise à compléter les exigences de la NIS 1 afin de se protéger contre les nouvelles menaces (hausse des cyberattaques, nouveaux types de piratages, attaques de plus en plus réalistes…).
Les évolutions majeures de NIS 2
NIS 2 apporte plusieurs évolutions majeures. Tout d’abord, elle élargit son champ d’application en incluant un plus grand nombre d’entités du secteur financier, englobant non seulement les grandes institutions, mais aussi certaines moyennes entreprises et fournisseurs de services essentiels.
Cependant, il est crucial de noter que le secteur financier est principalement assujetti au règlement DORA (Digital Operational Resilience Act), qui constitue sa “lex specialis”. Cela signifie que pour la majorité des acteurs financiers, DORA prévaut sur NIS 2 en matière de cybersécurité.
NIS 2 s’applique uniquement aux entités financières non couvertes par DORA, notamment :
Les sociétés de gestion de portefeuille
Les établissements de paiement et de monnaie électronique
Les plateformes de financement participatif
Les agences de notation
Quels sont les impacts de NIS2 sur les entreprises et le secteur financier?
Si la Directive NIS 2 est entrée en vigueur il y a plusieurs mois déjà, elle est encore en train de bouleverser les organisations concernées par ses nouvelles mesures. Nous faisons le point sur les impacts de cette nouvelle réglementation sur les entreprises du secteur financier.
Davantage d'entreprises concernées
Alors que la Directive NIS 1 se centrait sur la protection des infrastructures critiques et des services numériques sensibles (OSE et OIV), la Directive NIS 2 va encore plus loin en étendant son champ d’application à d’autres entités. La liste des entités critiques concernées parles obligations de la directive s’agrandit, englobant davantage d’acteurs du secteur financier.
La Directive NIS 1 concernait uniquement les opérateurs de services essentiels comme la SNCF, EDF, le Crédit Agricole… La Directive NIS 2 concerne désormais également les plateformes de services en ligne (réseaux sociaux, plateformes de commerce électronique, services de Cloud computing…). 30 fois plus d’organisations sont concernées.
Parmi les secteurs considérés comme hautement critiques , on retrouve le secteur de l’énergie, des transports, de la santé, mais aussi le secteur bancaire et les marchés financiers.
Cependant, les entités financières couvertes par le règlement DORA échappent à l’application de la directive NIS 2, consolidant ainsi un cadre juridique spécifique et adapté aux risques opérationnels propres au secteur.
NIS 2 s’applique donc aux entités financières non assujetties à DORA, comme les sociétés de gestion de portefeuille, les établissements de paiement et de monnaie électronique, les plateformes de financement participatif et les agences de notation.
Il est important de noter que NIS 2 introduit une différenciation entre les “entités essentielles” et les “entités importantes”, avec des exigences de cybersécurité adaptées à chaque catégorie. Cette distinction permet une approche proportionnée, en tenant compte de la criticité des services fournis par chaque entité. De plus, NIS 2 inclut certaines PME, reconnaissant leur rôle crucial dans la chaîne d’approvisionnement et leur vulnérabilité face aux cybermenaces. Enfin, l’inclusion des fournisseurs de services numériques est une réponse directe à l’essor du cloud computing et à la dépendance croissante des entreprises à l’égard de ces services, qui peuvent servir de points d’entrée pour des cyberattaques sophistiquées.
Des exigences renforcées en matière de cybersécurité
La Directive NIS 2 impose des exigences strictes en matière de gestion des risques et de notification des incidents et de gouvernance, ce qui a un impact important sur les institutions financières non couvertes par DORA.
La première obligation de cette directive est le renforcement des obligations de sécurité. Les entreprises devront davantage investir dans des mesures de protection avancées pour protéger leurs réseaux et systèmes d’information. Par exemple, il est indispensable de mettre en œuvre des procédures de contrôle d’accès pour limiter le risque d’intrusion et de vol des données. Il est également nécessaire d’implémenter des mesures de détection et de réponse aux incidents afin de limiter les impacts d’une éventuelle attaque sur son système.
Un exemple concret d’obligation concerne la procédure de signalement : en cas d’incident de sécurité majeur, les entreprises doivent notifier l’autorité nationale compétente (en France, l’ANSSI) dans un délai de 24 heures après détection, avec un rapport détaillé sous 72 heures. Un autre exemple est la mise en place de contrôles d’accès rigoureux pour limiter l’exposition aux cybermenaces, impliquant une authentification forte et une gestion stricte des privilèges d’accès aux systèmes critiques. et de notification des incidents et de gouvernance, ce qui a un impact important sur les institutions financières non couvertes par DORA.
La Directive NIS 2 renforce également les exigences de signalement des incidents de sécurité, ce qui signifie qu’en cas d’incident, il devient obligatoire de le signaler rapidement aux autorités concernées (en France, il s’agit de l’ANSSI). Les entreprises doivent également renforcer leur coopération avec ces autorités, afin de favoriser un partage d’informations sur les menaces et les incidents de sécurité.
Enfin, chaque entreprise a pour responsabilité d’adopter une approche de prévention continue et évolutive, en s’adaptant aux nouvelles menaces émergentes. Cette mesure est très importante pour favoriser le développement d’une cybersécurité dynamique et adaptative à l’échelle nationale et européenne.
Entités Essentielles : Un Niveau de Cybersécurité Renforcé
Les entités essentielles, opérant dans des secteurs vitaux tels que l’énergie, les transports et la finance, sont soumises aux exigences les plus rigoureuses de la directive NIS 2. Leur impact potentiel sur la société et l’économie exige une protection maximale contre les cybermenaces. Ces entités doivent mettre en œuvre des mesures de cybersécurité avancées, incluant une gestion des risques pointue, une notification rapide des incidents et des contrôles stricts de la chaîne d’approvisionnement. La supervision par les autorités compétentes est plus intense, avec des audits fréquents et des sanctions sévères en cas de non-conformité. La capacité à réagir rapidement aux incidents majeurs est cruciale, nécessitant des plans de réponse robustes et des exercices de simulation réguliers.
Entités Importantes : Des Obligations Adaptées aux Risques
Les entités importantes, couvrant un éventail plus large de secteurs, sont soumises à des exigences de cybersécurité adaptées à leur niveau de risque. Bien que moins strictes que pour les entités essentielles, ces obligations restent significatives et visent à renforcer la résilience numérique globale. Elles incluent la mise en œuvre de mesures de gestion des risques, la notification des incidents et la sécurisation de la chaîne d’approvisionnement. La supervision par les autorités compétentes est également présente, mais avec une intensité moindre. L’objectif est de garantir un niveau de cybersécurité adéquat sans imposer de charges excessives, tout en reconnaissant l’importance de ces entités pour le bon fonctionnement de l’économie et de la société.
Des sanctions plus élevées en cas de non-respect des mesures
La Directive NIS 2 renforce considérablement le régime de sanctions en cas de non-conformité, signalant ainsi l’importance cruciale accordée à la cybersécurité. Les opérateurs essentiels feront l’objet d’audits fréquents, tandis que les opérateurs importants seront contrôlés sur une base régulière. Cette surveillance accrue vise à garantir que les entreprises prennent au sérieux leurs obligations en matière de cybersécurité.
Si les mesures de cybersécurité ne sont pas jugées suffisantes, les sanctions appliquées peuvent être particulièrement sévères. Pour les entités essentielles, la sanction peut aller jusqu’à 2 % du chiffre d’affaires mondial de l’entité, ou 10 millions d’euros, selon le montant le plus élevé. Pour les entités importantes, les sanctions peuvent atteindre 1,4 % du chiffre d’affaires mondial ou 7 millions d’euros.
Ces sanctions financières significatives visent à dissuader les entreprises de négliger leur cybersécurité, surtout dans un contexte où les cyberattaques sont de plus en plus fréquentes et sophistiquées. L’actualité récente a été marquée par des attaques de rançongiciels paralysant des hôpitaux et des entreprises, soulignant l’urgence de renforcer la protection des infrastructures critiques.
Outre les sanctions financières, les autorités compétentes peuvent également prendre d’autres mesures, telles que :
- Des injonctions pour contraindre les entreprises à se conformer aux exigences de la directive.
- Des interdictions temporaires pour les dirigeants responsables.
- La publication des noms des entreprises non conformes, ce qui peut avoir un impact négatif sur leur réputation.
Les sanctions seront proportionnées à la gravité de l’infraction et à la taille de l’entreprise. Les autorités compétentes (En France: l’ANSSI) tiendront compte des efforts déployés par les entreprises pour se conformer à la directive, mais elles n’hésiteront pas à appliquer des sanctions sévères en cas de négligence grave.
Délai de Conformité : Trois Ans pour une Adaptation Réussie
Bien que la directive NIS 2 entre en vigueur en octobre 2024, les entreprises doivent dès maintenant prioriser certaines actions pour assurer leur conformité. Parmi ces actions essentielles : la cartographie des systèmes critiques, la mise en place de processus de signalement rapide des incidents, et la révision des politiques de gestion des accès.
Il est crucial de souligner que les entreprises bénéficieront d’un délai de trois ans pour se conformer pleinement à ses exigences. Cette période de mise en œuvre progressive, annoncée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), vise à accompagner les organisations dans leur transition vers les nouvelles normes de cybersécurité. Ainsi, les entreprises ont jusqu’en 2027 pour adapter leurs systèmes et procédures, leur offrant un temps précieux pour intégrer les mesures nécessaires et garantir une protection optimale face aux cybermenaces.
