Conformité NIS 2 / REC

L’ambition de la haute sécurité pour tous

La plupart des entreprises nouvellement concernées par la réglementation européenne sont des entités importantes peu matures, notamment en matière de sécurité physique.

Voici un rappel de l’article 21 de la NIS 2 qui impose une “approche tous risques visant à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique et comprend au moins” :

• L’analyse des risques
• La gestion des incidents
• La continuité des activités (dont les sauvegardes) et la gestion des crises
• La sécurité de la chaîne d’approvisionnement
• La sécurité des réseaux et des SI, y compris le traitement et la divulgation des vulnérabilités
• L’évaluation des mesures de gestion des risques
• La formation
• L’utilisation de la cryptographie et du chiffrement
• La politique de contrôle d’accès et la gestion des actifs
• L’utilisation d’authentification multi-facteurs ou d’authentification continue

Les articles 24 et 25 suggèrent aux États membres de prescrire et encourager l’utilisation de produits et services certifiés dans le cadre d’un schéma européen de certification, d’utiliser des services de confiance qualifiés, et de recourir à des normes et spécifications techniques européennes et internationales.

Concernant la REC, d’autres aspects de la sécurité physique sont approfondis (menace terroriste, aléa climatiques) et les obligations de supervision et de contrôle sont plus strictes afin de préserver les services les plus critiques.

NIS 2 et REC ont la double ambition de relever et d’homogénéiser le niveau de sécurité des entités européennes avec des obligations proportionnées qui évolueront en fonction des menaces.

27 pays, 27 transpositions

Les directives NIS 2 et REC sont en cours de transposition par chaque pays. Nous attendons donc autant de lois nationales, décrets d’application et référentiels. Chaque référentiel doit indiquer les objectifs à atteindre pour les entités en fonction de leur criticité, mais aussi de leurs ressources humaines et financières.

Naturellement, quelques différences d’interprétation ou d’obligations selon les entités sont à attendre. Fort heureusement, une commission regroupant les agences nationales a pour mission de lisser ces différences dans le temps, débouchant sur une meilleure homogénéité.

Pour accompagner ce travail, il sera pertinent de s’appuyer sur certaines normes concernant les schémas de certification (EN 17640 – FITCEM) et d’autres textes (comme le Cyber Resilience Act).

Faute de cadre règlementaire dans votre pays, les références internationales comme l’ISO 27001:2022 et le NIST CSF 2.0 couvrent la plupart des problématiques et permettent dès maintenant de vous rapprocher, voire d’atteindre, les niveaux de sécurité attendus.

Voici l’état de la transposition pour chaque pays de l’Union Européenne :

 Référentiel disponible  :

• Belgique : Cyberfundamentals

 Loi votée:

• Croatie
• Grèce
• Hongrie
• Italie
• Lituanie
• Roumanie
• Slovaquie

Le vote de ces lois indique un processus avancé mais ne donne pas de précision concernant les condition de conformité pour les entités concernées.

 Projet de loi :

• Autriche
• Allemagne
• Bulgarie
• Chypre
• Danemark
• Espagne
• Estonie
• Finlande
• France
• Irlande
• Létonie
• Luxembourg
• Malte
• Pays-bas
• Pologne
• Portugal
• République Tchèque
• Slovénie
• Suède

Votre pays est dans cette dernière liste ? Appuyez-vous sur d’autres référentiels reconnus afin de ne pas perdre de temps !

L’ISO 27001 et le NIST CSF 2.0 permettent d’avoir une approche assez complète de la sécurité. Ces deux référentiels font ressortir plusieurs objectifs et actions qui répondent aux attentes de la NIS 2 comme de la REC :

• Analyse de risque préalable
• Mapping de l’entité pour identifier les zones sensibles
• Mapping des systèmes d’information et inventaire matériel
• Contrôle des accès
• Gestion des visiteurs
• Formation
• Éléments de résilience (plan de continuité, gestion des vulnérabilités…)

D’ailleurs, certains pays permettent à leurs entités essentielles certifiées ISO 27001 de bénéficier d’une présomption de conformité à la NIS 2. Attention ! Cela ne sera pas automatique. Par exemple, la France estime l’ISO 27001 insuffisante (en matière de sauvegarde notamment) ou trop contraignante pour les entités importantes.

ISO 27001 et NIST CSF 2.0 permettent a minima de cadrer la plupart des objectifs de sécurité. Ils peuvent servir de guide aux entités les moins matures comme à celles dont le pays n’a pas encore transposé.

Le Shop SPAC Alliance regroupe les produits et services nécessaires pour viser la conformité et atteindre un niveau de sécurité adapté à vos besoins :

• Audits, tests de sécurité, mapping
• Formations
• Accompagnement à la certification CSPN, ISO 27 001

Ces services sont exclusivement fournis par des membres de SPAC Alliance dont ils partagent l’engagement et les valeurs.

Vous pouvez soumettre votre candidature pour devenir Membre SPAC Alliance, construire avec nous la souveraineté européenne et défendre les intérêts de notre marché. 

Le texte de la directive NIS 2 concerne un nombre important d’entités qui ont besoin d’un accompagnement adapté pour l’appliquer. Il peut être pertinent de s’y plonger afin d’identifier des points spécifiques à votre situation ou de comprendre l’état d’esprit de cette directive.

Par exemple, les annexes proposent un niveau élevé de détail des entités concernées par secteur et sous-secteur (Entités Essentielles et Entités importantes) en fonction de la criticité du secteur auquel elles appartiennent.

Le texte de la Directive pour la Résilience des Entités Critiques (REC) concerne les entités dont les services sont vitaux ou stratégiques pour le fonctionnement de la société.

Les entités critiques qui y sont définies doivent répondre à des objectifs plus larges en matière de sécurité physique, ainsi que des obligations d’audits externes cycliques et de supervision par les autorités nationales