NIS2 : Entités essentielles et entités importantes, quelle est la différence ?

Le 16 janvier 2023, la deuxième directive NIS (EU 2022/2555) (connue sous le nom de NIS2) est entrée en vigueur pour remplacer la directive NIS1.   La directive doit être transposée en droit national par les États membres d'ici le 17 octobre 2024.    Le Centre belge de cybersécurité (CCB) a récemment publié son projet de proposition.

Nous avons déjà écrit un blogpost sur les principales nouveautés de NIS2 par rapport à NIS1 et sur les entreprises qui seront soumises à NIS2.  Dans ce post, nous explorons la différence entre les deux types d'entreprises visées par le NIS2 : les opérateurs de services essentiels ("entités essentielles") et les opérateurs de services importants ("entités importantes").

Bref rappel historique : le règlement NIS1 vise les opérateurs de services essentiels (OED) et les fournisseurs de services numériques (DSP)

Le règlement NIS est le règlement sur les réseaux et les systèmes d'information.  Le premier règlement, désormais appelé NIS1, a été adopté par le Parlement européen en juillet 2016 et est entré en vigueur le 10 mai 2018.  À l'époque, il s'agissait de la première législation au monde en matière de cybersécurité.

Le règlement visait à lutter contre les menaces pesant sur les réseaux et les systèmes d'information afin d'améliorer le fonctionnement de l'économie numérique.   Les réseaux et les systèmes d'information jouent un rôle vital dans la société et leur fiabilité et leur sécurité sont essentielles pour les activités économiques et sociales. Cependant, la taille, la fréquence et l'impact des incidents de sécurité augmentent, et les réseaux et systèmes d'information peuvent devenir la cible d'actions malveillantes.

La loi sur la sécurité des réseaux et de l'information vise principalement à améliorer la cybersécurité, mais elle n'est pas en soi une loi sur la cybersécurité. Elle couvre tout "incident" ayant un impact sur un service lorsque cet impact a un effet perturbateur significatif. Elle couvre également les impacts qui ont des causes "non cybernétiques", par exemple les pannes d'électricité ou les catastrophes naturelles telles que les inondations.

Elle s'applique à deux groupes : les opérateurs de services essentiels (OES) (infrastructures d'eau, de transport et d'énergie) et les fournisseurs de services numériques (DSP) (informatique en nuage (IaaS, PaaS, SaaS), marchés en ligne, moteurs de recherche en ligne).

La nouvelle classification des entreprises visées dans le NIS 2 : les entités essentielles et les entités de services importants.

Le NIS 2 élimine donc la classification et la distinction entre les opérateurs de services essentiels - appelés "OES" - et les fournisseurs de services numériques - appelés "DSP". Au lieu de cela, le NIS 2 prévoit des règles différentes pour les "entités essentielles" et les "entités importantes".     Les PSN n'ont pas disparu de la liste des entreprises cibles, mais ont été redistribués entre les entités essentielles et les entités importantes.

Les entités "essentielles" étaient déjà définies dans le NIS1, mais certains secteurs ont été ajoutés dans le NIS2 :

• Énergie (électricité, pétrole et gaz, couvrant les activités de production, de stockage et de transmission - hydrogène ajouté par le NIS 2)
• Eau potable
• Eaux usées (collecte, élimination ou traitement des eaux usées municipales, des eaux usées domestiques ou des eaux usées industrielles)
• Transport (aérien, ferroviaire, fluvial, routier)
• Banques
• Marchés financiers
• Infrastructure numérique (nœuds Internet ; fournisseurs de services DNS ; registres de noms TLD ; fournisseurs de services d'informatique en nuage ; fournisseurs de services de centres de données ; réseaux de fourniture de contenu ; fournisseurs de services de confiance ; fournisseurs de réseaux publics de communication électronique et de services publics de communication électronique)
• Gestion des services TIC (fournisseurs de services gérés et fournisseurs de services de sécurité gérés)
• Gouvernements (central et régional, ce dernier uniquement en fonction des risques, mais à l'exclusion de la défense ou de la sécurité nationale et de l'application de la loi, ainsi que du pouvoir judiciaire, des parlements et des banques centrales)
• Soins de santé (hôpitaux, mais dans le cadre du NIS, les laboratoires de référence, les fabricants de dispositifs médicaux ou de préparations pharmaceutiques et autres sont également inclus)
  l'espace.

La nouveauté du NIS 2 est l'introduction d'entités "importantes", y compris les secteurs suivants :

• Services postaux et de messagerie
• Gestion des déchets
• les cabinets d'experts-comptables
• Fournisseurs numériques (marchés en ligne, moteurs de recherche en ligne et plateformes de réseaux sociaux)
• Organismes de recherche (à l'exclusion de l'éducation)
• Services postaux et de messagerie ;
• Production et distribution de produits chimiques ;
• Production et distribution de produits chimiques ; Production et transformation d'aliments en gros et industriels ;
• Fabrication de :
  • Dispositifs médicaux
  • Matériel électrique
  • Véhicules à moteur, remorques et semi-remorques.
  • Machines et équipements

Comme nous l'avons expliqué dans ce blogpost, la taille et le chiffre d'affaires des entreprises jouent un rôle, et certaines entreprises de secteurs "importants" peuvent être considérées comme "essentielles" par les autorités nationales.   Certaines entreprises dans des segments qui ne font pas partie de ceux ciblés par le NIS2 peuvent néanmoins être considérées comme importantes.

En quoi les entités essentielles et les entités importantes sont-elles traitées différemment dans le cadre du NIS2 ?

Les exigences sont les mêmes

Une bonne vue d'ensemble des 10 exigences minimales de la NIS est disponible ici.  Il est important de comprendre que ces exigences s'appliquent exactement de la même manière aux entités essentielles et aux entités importantes.  En d'autres termes, il n'y a pas de régime allégé pour les entités importantes.

Supervision uniquement pour les entités essentielles

Les entités essentielles devront se conformer aux exigences de supervision dès l'introduction du NIS2, tandis que les entités importantes seront soumises à une supervision a posteriori, ce qui signifie que des mesures seront prises si les autorités reçoivent des preuves de non-conformité.  

Les États membres peuvent déterminer ce qui constitue une surveillance. La directive NIS 2 prévoit les options suivantes :

• inspections sur place et surveillance hors site, y compris des contrôles aléatoires ;
• des audits réguliers
• des audits de sécurité ciblés fondés sur des évaluations des risques ou des informations disponibles relatives aux risques ;
• des analyses de sécurité fondées sur des critères d'évaluation des risques objectifs, non discriminatoires, équitables et transparents ;
• les demandes d'informations nécessaires pour évaluer les mesures de cybersécurité adoptées par l'entité, y compris les politiques de cybersécurité documentées ;
• les demandes d'accès aux données, documents ou informations nécessaires à l'accomplissement de leurs missions de contrôle ;
  les demandes de preuves de la mise en œuvre de la politique de cybersécurité, telles que les résultats des audits de sécurité menés par un auditeur qualifié et les preuves sous-jacentes correspondantes.

Les amendes pour non-conformité sont élevées, mais elles le sont encore plus pour les entités essentielles

Au niveau de l'organisation, la non-conformité peut entraîner de lourdes amendes imposées par les organismes de réglementation, ainsi que d'éventuelles poursuites judiciaires résultant de violations de données dues à un manque de conformité.  Les amendes prévues par le NIS 2 sont les suivantes :

Pour les entités essentielles : amendes administratives pouvant aller jusqu'à 10 000 000 euros ou au moins 2 % du chiffre d'affaires annuel global de l'exercice précédent de l'entreprise à laquelle appartient l'entité essentielle, le montant le plus élevé étant retenu.
Pour les entités importantes : amendes administratives pouvant aller jusqu'à 7 000 000 euros ou au moins 1,4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent par l'entreprise à laquelle appartient l'entité clé, le montant le plus élevé étant retenu.

Conclusion

L'impact du NIS2 pour les entités essentielles et importantes n'est pas très différent en ce qui concerne la mise en œuvre des contrôles pour se conformer, puisqu'ils sont les mêmes pour les entreprises des deux catégories.    

L'effort opérationnel pour se conformer au NIS2 sera nettement plus important pour les entités essentielles, car elles font l'objet d'une surveillance constante, alors que les entités importantes ne doivent faire des rapports que sur une base ad hoc.  Toutefois, les exigences en matière de surveillance des entités essentielles et donc l'impact peuvent varier considérablement d'un pays à l'autre !

À propos de Ceeyu et de NIS 2

La plateforme SaaS et les services professionnels de Ceeyu sont des éléments clés de la conformité aux exigences du NIS 2 en ce qui concerne la gestion et la detection des vulnérabilités (par le biais de techniques de scanning passif - alias gestion de la surface d'attaque externe - ou de scanning actif de vulnerabilités, et de tests de pénétration) et la gestion des risques liés à la sécurité de la chaîne d'approvisionnement.