La Directive NIS1 avait été adoptée en 2016 et transposée en France en 2018.
Le texte de la Directive NIS2 révisé a été adopté par le Conseil de l’Union européenne et le Parlement européen le 10 novembre 2022 et doit prochainement être publié au Journal Officiel de l’UE. Les Etats membres ont maintenant 21 mois pour la transposer dans leur législation nationale.
Objet de la Directive :
Cette Directive a pour objectif de permettre l’harmonisation des normes de cybersécurité dans les différents Etats membres. Le Conseil précise qu’elle va « fixer les règles minimales d’un cadre règlementaire et définir les mécanismes d’une coopération efficace ». Elle édictera de nouvelles règles qui permettront d’élever le niveau commun de cybersécurité dans l’UE.
Le texte initial de 2016 incluait les acteurs de l’énergie, du transport, de la finance et de l’eau, le texte qui vient d’être voté y ajoute les fournisseurs de services numériques et de l’Industrie chimique notamment.
Commentaire :
Il est encore trop tôt pour évaluer précisément le périmètre de son champ d’application en Europe puisque le législateur européen a renvoyé à chaque Etat membre la possibilité, lors de la transposition, d’élargir ce périmètre aux administrations régionales ou locales. En revanche elle ne couvre pas la sécurité nationale et publique, l’application de la loi ou le système judiciaire.
NIS2 sera complété par un texte sur la cybersécurité (Cyber Resilience Act) au stade de la proposition législative et qui s’intéressera au renforcement de la sécurité informatique des produits numériques en s’attaquant notamment au problème de la vulnérabilité des objets connectés.
Avec l’intégration des sous-traitants et prestataires de services en charge d’une infrastructure critique, la Directive NIS 2 signe la fin des OSE (Opérateurs de Services Essentiels). Dans la nouvelle directive ces opérateurs seront divisés en deux typologies d’acteurs : Les entités essentielles (EE) et les entités importantes (EI) dont la différenciation se fera selon la sensibilité des secteurs associés. Les entités essentielles seront sensées avoir un impact plus important en cas de coupure de services que les entités importantes. Cette disposition soulève quelques questions puisque ce sont les entreprises et les opérateurs qui devront s’autodésigner comme EE ou EI.
NIS2 a une dimension bien plus contraignante que NIS1. Elle contient notamment une obligation de déclaration d’un sinistre dans les 72 heures pour réagir au plus vite et endiguer une cyberattaque. Les Etats membres seront dotés d’un droit d’injonction en cas d’incident de sécurité et de refus de collaboration avec les autorités. Les entreprises devront donc se soumettre à une demande de l’Etat et faute d’obtempérer elles pourront être soumises à des amendes comprises entre 1.4 et 2% du chiffre d’affaires.
Cette directive va obliger davantage d’entités et de secteurs à prendre des mesures de gestion des risques en matière de cybersécurité, y compris dans les services publics de communications électroniques, les opérateurs de médias sociaux et les fabricants de produits critiques tels que les dispositifs médicaux.
Elle ne sera pas mise en application avant fin 2023 début 2024 ce qui permettra donc aux entreprises concernées par le texte d’avoir un peu de temps pour s’adapter à l’application du texte.
Noter bien : si le secteur des infrastructures de marchés bancaires et financiers ont été sortis du périmètre de la directive NIS2 c’est que ce secteur a fait l’objet d’un règlement à part entière (DORA) (1) qui vient lui aussi d’être récemment adopté et qui vise à protéger le système financier de l’UE contre les graves perturbations opérationnelles et les cyberattaques. Il va falloir maintenant rester attentif à ce que les interactions entre les deux textes qui restent encore à préciser soient bien en cohérence.
(1) Voir l’analyse sur ici.
Jean-Marie Cavada
Président de l’iDFrights
Colette Bouckaert
Secrétaire Générale de l’iDFrights