Historique et périmètre de la directive européenne NIS 2.

La directive européenne NIS (Network and Information System Security) a été adoptée le 6 juillet 2016 afin d’élever la maturité cyber des États membre de l’Union européenne (UE) et de préserver leurs intérêts économiques et sociaux. Elle a ensuite été transposée en France le 26 février 2018 (NIS 1).
L’objectif majeur de la directive NIS est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne.

NIS 1 : la législation actuelle sur la cybersécurité

La numérisation croissante des sociétés européennes et l’interconnexion des États membres ont exposé le marché européen à de nouvelles cybermenaces. Face à cette situation, il était urgent d’assurer collectivement des conditions de sécurité adéquates pour l’ensemble de l’Union européenne. C’est ainsi que le Parlement européen et le Conseil de l’Union européenne ont adopté le 6 juillet 2016 la directive « Network and Information Security » (NIS). L’objectif majeur de la directive NIS est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’UE. Cette directive, transposée en France le 26 février 2018 (NIS 1), visait à renforcer la cybersécurité des principaux acteurs de dix secteurs d’activité, ce qui représente plusieurs centaines d’entités en France. À travers ce premier dispositif, ces grandes entités ont été tenues de signaler leurs incidents de sécurité à l’ANSSI et de mettre en place les mesures de sécurité nécessaires pour réduire considérablement les cybermenaces pesant sur leurs systèmes les plus critiques.
En réponse à l’évolution constante des acteurs malveillants, de plus en plus performants et mieux outillés, qui ciblent un nombre croissant d’entités souvent insuffisamment protégées, la directive NIS 2, publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne, renforce les objectifs de NIS 1 et son champ d’application pour offrir une protection accrue. L’élargissement du périmètre prévu par la NIS 2 constitue une avancée sans précédent dans le domaine de la réglementation en matière de cybersécurité.

Les évolutions des obligations sur la cybersécurité : de NIS 1 vers NIS 2

La directive NIS 1 couvrait deux types d’acteurs :

1. Les opérateurs de services essentiels (OSE), qui sont des entreprises et des organisations jouant un rôle crucial dans le fonctionnement de l’économie et de la société, tels que ceux des secteurs de l’énergie, des transports, de la santé, de l’eau et des services financiers.
2. Les fournisseurs de services numériques (FSN), également connus sous le nom de DSP (Digital Service Provider), comprenant les moteurs de recherche, les plateformes de vente en ligne et les fournisseurs de services de Cloud Computing.

Sous la directive NIS 1, ces acteurs étaient soumis aux obligations suivantes :

• Mise en place de mesures de sécurité : adoption des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. Ces mesures devaient être proportionnées au risque encouru et pouvaient inclure des actions de prévention, de détection, de réaction et de rétablissement en cas d’incident.
• Gestion des incidents de sécurité : les acteurs concernés devaient disposer de procédures pour gérer efficacement les incidents de sécurité, en identifiant et classant les incidents, en évaluant leur impact et en déployant des actions correctives pour rétablir la sécurité.
• Notification des incidents : les OSE et les FSN avaient l’obligation de signaler rapidement les incidents de sécurité ayant un impact significatif sur la continuité de leurs services aux autorités nationales compétentes (l’Autorité nationale de la sécurité des systèmes d’information, ANSSI, en France).

La directive NIS 2 s’applique désormais à deux catégories d’entités :

• Les Entités Essentielles (EE), déjà présentes sous le nom d’Opérateur de Services Essentiels (OSE) dans la première version de la directive.
• Les Entités Importantes (EI).

La création de cette nouvelle catégorie vise principalement à renforcer la sécurité dans l’évolution des pratiques numériques au sein de la société, notamment dans des domaines tels que la fabrication d’équipements informatiques, les fournisseurs numériques, les services postaux et d’expédition… Les Entités Importantes (EI) sont considérées comme moins critiques que les Entités Essentielles (EE), ce qui implique des obligations moins contraignantes dans les transpositions nationales.

Quant aux EE, le législateur élargit la liste des secteurs d’activités en y incluant l’espace, l’administration publique, les eaux usées et la gestion des Technologies de l’Information et de la Communication (TIC). De plus, le secteur de l’énergie voit son champ d’application élargi pour inclure les sous-secteurs de l’hydrogène ainsi que des réseaux de chaleur et de froid.

Les règles de cybersécurité à mettre en place sur les activités et les systèmes d’information (SI) des entités concernées par la directive NIS 2 seront précisées dans les transpositions nationales, tout comme cela était le cas pour la NIS 1.

Cependant, la directive européenne NIS 2 impose déjà dans son texte l’adoption d’une approche basée sur les risques. Elle exige également que les entités adoptent des mesures sur les aspects de cybersécurité suivants :

1. Élaboration de politiques de sécurité des systèmes d’information (SSI), y compris l’analyse des risques.
2. Gestion des incidents.
3. Continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et gestion des crises.
4. Sécurité de la chaîne d’approvisionnement (gestion des tiers).
5. Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités.
6. Mise en place de procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité (audit).
7. Adoption de pratiques de base en matière de cyberhygiène et formation à la cybersécurité.
8. Mise en œuvre de politiques et procédures liées à la cryptographie (chiffrement).
9. Renforcement de la sécurité des ressources humaines, des politiques de contrôle d’accès et de la gestion des actifs.
10. Utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Certaines de ces mesures sont déjà présentes dans certaines transpositions nationales de la première version de la directive.

La suppression du mécanisme de désignation nominative des OSE par les autorités nationales

Définition d’un OSE et différence avec OIV :

Les définitions des Opérateurs d’Importance Vitale (OIV) et des Opérateurs de Services Essentiels (OSE) présentent des similitudes marquées. Selon l’ANSSI :

• Les OIV désignent des installations considérées comme « indispensables pour la survie de la Nation ».
• Les OSE fournissent « un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société ».

La similitude entre ces deux catégories n’est pas fortuite. Les travaux de la Loi de Programmation Militaire (LPM) ont influencé la rédaction de la directive NIS. Pour rappel, les critères de sécurité définis par la LPM s’appliquent aux OIV, tandis que pour les OSE, ce sont ceux de la directive NIS. Sur le site de l’ANSSI, il est mentionné : « L’ANSSI a capitalisé sur la méthodologie appliquée au niveau national lors de la mise en œuvre du dispositif, complémentaire, de protection des Opérateurs d’importance vitale (OIV), introduit par la LPM de 2013. Les retours d’expérience qui ont suivi la publication des premiers arrêtés sectoriels, en juillet 2016, ont été précieux pour mener les travaux de transposition de la directive concernant les opérateurs de services essentiels (OSE) ».

La liste des OIV est plus restreinte que celle des OSE. Ainsi, les OSE ont permis d’étendre les exigences de cybersécurité applicables aux OIV à d’autres secteurs. Cela signifie que certains OSE peuvent également être considérés comme des OIV. Selon l’ANSSI, les deux dispositifs sont « complémentaires ».

Source : Orange cyber défense

Dans la directive NIS 1, chaque État membre était chargé de désigner individuellement les opérateurs relevant de la directive au sein de son territoire national. La NIS 2 élimine ce mécanisme de désignation et vise à renforcer la résilience de tous les acteurs d’un même secteur d’activité.

Selon la directive NIS 2, une entité est considérée comme essentielle ou importante en fonction de deux critères :

1. La taille de l’entité, mesurée par le nombre d’employés, le chiffre d’affaires et le bilan annuel.
2. La criticité du secteur d’activité : quelles entités sont impactées par les activités menées par cette entité ?

Ainsi, tous les opérateurs de taille moyenne à grande appartenant à un secteur énuméré dans la directive devront désormais se conformer à la NIS. Seules les organisations de plus petite taille sont exemptées de cette exigence.

Cependant, des dérogations sont envisagées : la NIS 2 autorise les États membres à inclure ou exclure, si nécessaire, des acteurs indépendamment de ces deux critères (comme dans le cas d’une situation de monopole, d’un service essentiel transfrontalier, ou d’un service considéré comme particulièrement critique pour l’État membre).

Source : Wavestone

Transposition de NIS 2 en droit local au sein de l’Union Européenne

France

La directive NIS 2 prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard le 17 octobre 2024. Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité.

La co-construction prévue par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) débutera par une phase de consultation autour de trois thématiques. Elle aura donc pour objectif de définir précisément :

• Le périmètre des entités assujetties (T3 2023),
• Les modalités d’interaction entre l’ANSSI et les entités assujetties (T3 2023),
• Les exigences de cybersécurité en matière de gestion des risques (T4 2023).

Cette phase de consultation permettra d’échanger avec les secteurs d’activités concernés pour prendre connaissance de leur vision et s’accorder sur un langage commun, indispensable à l’intégration des obligations émanant de la directive européenne. L’ANSSI est convaincue que cela augmentera la pertinence du dispositif qui sera mis en place au niveau national et en facilitera la prise en main avec les futurs assujettis.

Une seconde phase de co-construction consistera ensuite à affiner les processus et les moyens qui devront être mis en œuvre pour accompagner les futurs opérateurs régulés dans l’application de la réglementation NIS 2. Cela permettra notamment d’aider les entités à comprendre comment elles sont concernées par la réglementation, à les assister dans leurs obligations d’information auprès de l’autorité nationale, et de les accompagner dans la compréhension et la mise en œuvre des exigences de gestion des risques. 

Afin de respecter l’échéance européenne fixée en octobre 2024, l’ANSSI envisage deux temps :

• La phase de préparation du projet de loi en 2023, en vue de sa présentation au Parlement et de son adoption au plus tôt pendant l’année 2024 ;
• La phase de production des décrets et arrêtés qui aboutira à l’issue des consultations, afin de les soumettre à une validation interministérielle pour publication des textes dans les mois suivants la promulgation de la loi.

Etat des lieux dans les autres pays de l’Union Européenne

Allemagne

Le 3 juillet 2023, l’Allemagne a rédigé un projet de loi du ministère fédéral (Bundesministeriums des Innern und für Heimat). Il s’agit d’un projet de loi visant à mettre en œuvre la directive NIS 2 et à réglementer les principes essentiels de la gestion de la sécurité de l’information dans l’administration fédérale (Loi sur la mise en œuvre et le renforcement de la cybersécurité NIS 2).
Le 23 septembre 2023, l’Allemagne a rédigé un document de discussion du ministère fédéral de l’Intérieur et de la Construction sur les dispositions économiques relatives à la mise en œuvre de la directive NIS-2 en Allemagne.
NIS2 entraînera également une expansion considérable des entités répertoriées en Allemagne. Le BSI est favorable à la poursuite de la prise en compte nationale du règlement BSI Kritis. Pour le BSI, la supervision et l’application jouent également un rôle important. Les pouvoirs et les possibilités d’action des autorités nationales compétentes seront élargis. Cependant, les tâches du BSI augmenteront également considérablement en ce qui concerne les conseils et le soutien.

Italie

L’Italie a mis en place un plan pour l’implémentation de la directive NIS 2. Ce plan prévoit 82 mesures pour assurer l’efficacité de l’implémentation de la stratégie.
5 mesures de la stratégie nationale visent à améliorer la gestion des crises cybernétiques. 2 mesures sont dédiées aux exercices.

Ce plan prévoit qu’en cas de cyberattaque, les OSE et autres entités rentrant dans le périmètre NIS 2 travaillent :

• Au niveau technique : Avec la Computer Security Incident Response Team (CSIRT), et l’Agenzia per la Cybersicurezza Nazionale (ACN).
• Au niveau opérationnel : Avec National CyberSecurity Cell (NSC), l’ACN et CyCLONe, un nouveau réseau de coopération cyber entre les États membres de l’UE.
•  Au niveau politique : avec le directeur général de l’ACN, l’EU IPCR, le dispositif intégré de réponse aux crises politiques, le premier ministre et l’Interministerial Comittee for the security of the Republic (CISR). 

Source : ENISA

Pays Bas

Bien que la directive NIS2 soit entrée en vigueur en janvier 2023, sa mise en œuvre dans les lois nationales des États membres de l’UE n’est pas nécessaire avant le 17 octobre 2024. Le ministre de la justice et de la sécurité, Dilan Yeşilgöz-Zegerius, a annoncé que les Pays-Bas ne respecteront pas ce délai, invoquant le processus complexe de transposition de la directive.

Malgré ce retard, les entreprises néerlandaises doivent commencer à intégrer les exigences de la NIS2 dans leurs activités afin de protéger leurs services et leurs systèmes d’information contre les risques de cybersécurité.

Quels sont les avantages d’implémenter NIS 2 pour une entreprise ?

La Directive NIS 2, malgré ses défis, présente également une opportunité unique pour les entreprises de revoir leur approche de la cybersécurité et de bénéficier des avantages d’une meilleure protection des systèmes d’information. Voici quelques-unes des opportunités offertes par cette directive :

• Renforcement de la posture de sécurité : En se conformant à la Directive NIS 2, les entreprises améliorent leur sécurité globale, réduisant ainsi les risques d’incidents et protégeant leurs activités contre les interruptions et les perturbations.
• Renforcement de la confiance des parties prenantes : La conformité à la Directive NIS 2 peut accroître la confiance des clients, des partenaires et d’autres parties prenantes, démontrant ainsi l’engagement de l’entreprise envers la cybersécurité.
• Avantage concurrentiel : Une posture de sécurité solide peut offrir un avantage concurrentiel en distinguant l’entreprise de ses concurrents et en attirant de nouveaux clients.
• Préparation pour l’avenir : En se préparant à la Directive NIS 2 dès maintenant, les entreprises peuvent anticiper l’avenir et se préparer à d’autres réglementations en matière de cybersécurité qui pourraient être introduites ultérieurement.
• Encouragement de l’innovation et de l’amélioration continue : Le processus d’adaptation à la Directive NIS 2 peut stimuler l’innovation et encourager l’amélioration continue. Les entreprises peuvent être amenées à réévaluer leurs systèmes existants et à chercher des moyens de les améliorer.

L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes entreprises qui intègreront le périmètre, le Guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre.

Vous pouvez aussi vous référer à nos services de cybersécurité et le bilan cybersécurité pour vous aider à vous mettre en conformité avec la directive NIS 2.

Risques pour les entreprises et sanctions

La directive concerne aussi le renforcement de son régime de sanction, qui s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée.

• Les entités essentielles sont soumises, à des amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 € ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.
• Les entités importantes sont soumises, à des amendes administratives d’un montant maximal s’élevant à au moins 7 000 000 € ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu.
  
  

Afin de renforcer encore l’efficacité et le caractère dissuasif des mesures d’exécution applicables aux violations de la directive, les autorités compétentes devraient être habilitées à suspendre temporairement ou à demander la suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services concernés fournis ou des activités menées par une entité essentielle et à demander l’imposition d’une interdiction temporaire de l’exercice de fonctions de direction par une personne physique à un niveau de directeur général ou de représentant légal. Compte tenu de leur gravité et de leur effet sur les activités des entités et, en définitive, sur les utilisateurs, ces suspensions ou interdictions temporaires ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances de chaque cas, y compris le fait que la violation ait été commise intentionnellement ou par négligence, et toute action entreprise pour prévenir ou atténuer le dommage matériel, corporel ou moral.

Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive NIS 2 et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard le 17 janvier 2025, des règles et mesures adoptées à cet égard, ainsi que, sans retard, de toute modification qui y serait apportée ultérieurement (EUR-Lex).

Conclusions et perspectives sur la cybersécurité

La Directive NIS 2 constitue une avancée significative par rapport à son prédécesseur, la NIS 1, marquant un changement crucial dans la réglementation de la cybersécurité en Europe. Son extension du champ d’application aux secteurs vitaux ainsi que la redéfinition des entités essentielles et importantes reflètent une approche plus complète et proactive face aux cybermenaces. Désormais, les entreprises et les administrations publiques doivent respecter des normes plus rigoureuses en matière de sécurité informatique et de gestion des risques.

L’importance de la Directive NIS 2 pour l’avenir de la cybersécurité en Europe est indéniable. Elle offre non seulement une réponse aux défis actuels, mais elle pose également les fondations pour les futures évolutions réglementaires dans un domaine en perpétuelle évolution. En établissant un cadre réglementaire renforcé et harmonisé, la NIS 2 contribue à la protection des infrastructures critiques et à la sécurité des données à l’échelle de l’UE, renforçant ainsi la résilience et la confiance dans l’économie numérique européenne.

Le Contrôleur européen de la protection des données (CEPD/EDPS) se félicite de la proposition et soutient pleinement son objectif général d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme pour les exigences essentielles de cybersécurité pour la mise sur le marché de l’Union de produits comportant des éléments numériques.