Le 14 décembre 2022, le Conseil et le Parlement européen ont publié une révision de la directive Network and Information Security (ou « NIS »), c’est-à-dire la Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS 2.
Pour rappel, la directive NIS a été adoptée le 6 juillet 2016. Elle définissait un régime européen de la cybersécurité en mettant l’accent sur la mise en place d’un niveau de sécurité élevé commun aux États Membres.
Prenant en compte le caractère évolutif des enjeux de cybersécurité et l’évolution constante des menaces, le législateur européen avait inclus dans la directive NIS un article 23 obligeant la Commission à fréquemment en réexaminer les dispositions.
Qu’a mis à jour l’analyse d’impact ?
C’est dans ce contexte qu’une analyse d’impact a été réalisée en 2020. Cette étude souligne d’abord que la directive NIS a permis un changement significatif d’état d’esprit et d’approche des enjeux de cybersécurité d’un point de vue réglementaire et institutionnelle. Toutefois, la transformation croissance de notre société et des acteurs par le numérique, récemment encore dans le contexte de la crise de la Covid-19, a une nouvelle fois étendue le champ des menaces auxquels les acteurs doivent faire face. Etant précisé que les attaques se révèlent, selon l’étude, toujours plus sophistiquées. Ce constat étant posé, les limites suivantes ont notamment été identifiées au cours de l’étude : l’absence de réponse commune en cas de crise, l’absence d’harmonisation des secteurs soumis aux dispositions de la directive NIS, un faible et inégal niveau de cyber-résilience des entités suivant leur secteur d’activité.
Dès lors, trois principaux objectifs sont assignés à la révision de la directive NIS, à savoir :
- Accroitre le niveau de cyber-résilience d’acteurs tous secteurs d’activités confondus,
- Réduire les incohérences au sein de l’Union européenne pour les secteurs d’activités déjà couverts à date par la directive NIS,
- Favoriser le partage de l’information et des connaissance, ainsi que la capacité collective de préparation et de réponse aux attaques.
Parmi les trois options envisagées, l’analyse d’impact se prononce en faveur de changements structurels et systémiques. Notons que le coût de mise en œuvre de ces changements pour les entreprises est évalué. Ainsi, est-il estimé que les acteurs nouvellement soumis à la réglementation devraient faire face à une augmentation maximale de 22% des dépenses actuellement engagées en matière de sécurité, contre une hausse de 12% pour les entités déjà soumise à la directive NIS. Ces investissements pouvant mener à terme à la réduction des coûts de gestion des incidents de cybersécurité (11,3 milliards d’euros sur 10 ans selon l’analyse d’impact).
La révision de cette directive vise donc à permettre à l’Union européenne et aux acteurs agissant sur ce marché de réagir efficacement aux cyberattaques et cybermenaces, et s’inscrit dans le large chantier de « la décennie numérique de l’Europe », entrepris par la Commission.
L’élargissement des entités soumises à la réglementation NIS 2
La révision de la directive NIS élargit son champ d’application en y intégrant une variété de nouveaux secteurs d’activités qualifiés de sensibles. Ces domaines incluent notamment les télécommunications, les plateformes de réseaux sociaux, la gestion des eaux usées, le spatial, ou les administrations publiques (hors domaine régalien des États membres).
La directive NIS laissait auparavant les États membres décider quelles catégories d’organisations entraient dans son périmètre. Le projet de révision supprime cette faculté : toute organisation de moyenne ou grande taille appartenant aux secteurs listés sera soumise aux dispositions de la directive.
Le projet distingue par ailleurs les entités définies comme essentielles (opérateurs des noms de domaines, fournisseurs cloud, administrations publiques, organismes de gestion des eaux usées…), et celles qualifiées d’importantes (moteurs de recherche, réseaux sociaux, services postaux…), la première catégorie étant soumise à des obligations renforcées.
Le renforcement des obligations
La directive NIS 2 prévoit d’imposer aux États membres de mettre en place une stratégie nationale afin d’atteindre et maintenir un haut niveau de sécurité dans les domaines susmentionnés.
Les Etats membres devront notamment s’assurer que les entités concernées mettent en œuvre les mesures assurant la sécurité de leurs réseaux et systèmes d’information, ainsi que leur environnement physique selon une approche par les risques appliquée à la cybersécurité.
Cette démarche devra donc inclure :
- L’analyse des risques et la prise en compte des cybermenaces définie par voie au règlement 2019/881 relatif à l’ENISA et à la certification de cybersécurité des technologie de l’information et des communications, comme : « toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes »,
- la détection et la remédiation des vulnérabilités, définies dans la directive NIS 2 comme : « a weakness, susceptibility or flaw of products or ICT services can be exploited by a cyber threat ».
- la prise en compte des risques associés à la chaîne de valeur (sous-traitants, fournisseurs, etc.),
- la détection des incidents définis comme : « any event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems »,
- la gestion des incidents définie comme : « all actions and procedures aiming at prevention, detection, analysis, and containment of, response to, and recovery from an incident ».
L’obligation de signaler tout incident de sécurité est en outre renforcée. Les entités affectées disposeront d’un délai de 24 heures pour signaler un incident à compter du moment où il est identifié, et devront fournir un rapport dans un délai maximum d’un mois suivant cette notification initiale.
Davantage de coordination et de contrôle prévus par NIS 2
La coordination entre acteurs de la cybersécurité européens est renforcée par la création d’une base de données des vulnérabilités, qui doivent être signalées par les entités qui les détectent.
La nouvelle directive élargirait en outre les pouvoirs de contrôle des autorités nationales, autorisant ces dernières à procéder à un audit a priori des opérateurs essentiels ; les opérateurs importants, quant à eux, pourront faire l’objet d’un contrôle a posteriori. Enfin, des sanctions administratives sont prévues par la directive. Ces sanctions incluent notamment des amendes administratives dont le montant peut aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires total annuel de l’entité concernée, le montant le plus important étant choisi. Les Etats membres pourront, le cas échéant, dans le cadre de la transposition de la directive prévoir d’autres mesures coercitives.
Le renforcement du réseau européen relatif aux risques Cyber
La directive renforce le dispositif de partage d’informations et de lutte contre les cybermenaces en renforçant la coopération entre trois types d’acteurs :
- Les « centres de réponse aux incidents de sécurité informatique » (Computer Security Incident Response Teams – CSIRTs), ces équipes des Etats membres chargées de répondre rapidement et efficacement aux incidents de sécurité crées en 2016 par la directive NIS ;
- Le Groupe de Coopération NIS, chargé de produire des lignes directrices à l’intention des autorités nationales et de coordonner leur action ;
- La nouvelle institution EU-CyCLONe (European cyber crises liaison organisation network), crée par la directive et ayant pour objet l’étude et la réponse coordonnée aux incidents de grande échelle.
Cette coopération transfrontalière devrait accroitre la confiance entre Etats membres.
Quelle intégration dans le chantier européen de la législation du numérique ?
NIS 2 a vocation à s’insérer dans les efforts législatifs entrepris par l’Union pour encadrer l’importance exponentielle prise par les outils numériques et informatiques.
La directive NIS 2 se coordonne avec les textes suivants :
- La directive relative à la résilience des entités critiques, qui prévoit des obligations visant à assurer le maintien des services essentiels et leur sécurité face aux menaces physiques.
- le règlement « DORA » (Digital Operational Resilience Act) qui prévoit des obligations relatives à la cybersécurité des acteurs de services financiers. La proposition de règlement prévoit d’ailleurs que les acteurs concernés de ce secteur pourront participer aux discussions du groupe de coopération NIS et échanger avec les CSIRTs.
- le règlement dit « cyber-résilience ». Ce dernier se repose ainsi sur les définitions « d’incident » et de « vulnérabilité » établies par la directive NIS 2 et précédemment citées ; en outre, certains produits y sont définis comme critiques sur le critère de l’usage qu’en font les entités définies comme essentielles par la directive.
La Directive NIS devra être transposée, par les États membres, dans leur droit national, au plus tard le 18 octobre 2024.
Mathias Avocats vous accompagne dans le cadre de votre mise en conformité avec ces nouvelles réglementations.
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !