NIS-2 : Directive « Network and Information Security » 2

CONTEXTE

En juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive « Network and Information Security » (NIS), transposée au niveau national en 2018.

  • Son objectif ? Augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité, soit quelques centaines d’entités en France.
  • Son rôle ? Imposer à ces grands groupes de déclarer leurs incidents de sécurité à l’ANSSI, et mettre en oeuvre les mesures de sécurité nécessaires pour réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cyber.

AGENDA DE NIS-2

La directive NIS-2, publiée le 27 décembre 2022 au JO de l’UE, remplace la directive NIS. Elle prévoit un délai de 21 mois pour que chaque État membre de l’UE transpose en droit national les différentes exigences réglementaires. Ainsi, NIS-2 entrera en vigueur en France en octobre 2024, au plus tard. Certaines exigences seront d’application directe et d’autres devront être soumises à un délai de mise en conformité.

Concernant la loi française de transposition : la préparation du projet de loi doit intervenir en 2023, en vue de sa présentation au Parlement et de son adoption au plus tôt pendant l’année 2024. Les décrets et arrêtés seront publié dans les mois suivants la promulgation de la loi. Chaque Etat membre doit communiquer la liste des entités concernées, au plus tard le 17 avril 2025. Cette liste doit être régulièrement réexaminée, au minimum tous les deux ans.

QUI EST CONCERNE EN FRANCE ?

NIS-2 s’appliquera à plus de dix mille entités, issues de dix-huit secteurs d’activité. Cela concerne des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les groupes, dont une entité répondant aux critères est installée dans un Etat de l’UE, devront mettre ladite filiale en conformité avec la transposition locale de la directive.

Outre les grands groupes, NIS-2 vise à hausser le niveau de sécurité des ETI, afin notamment de protéger les chaînes d’approvisionnement face à des menaces systémiques. Comme les rançongiciels. Le texte prévoit un mécanisme de proportionnalité, qui distingue deux catégories en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. Les exigences de l’ANSSI seront adaptées et proportionnées à chacune de ces catégories. En règle générale et sauf cas particuliers, les entités essentielles sont celles réalisant des activités dans les secteurs catégorisés comme hautement critiques, et disposant de plus de 250 salariés (en équivalent temps plein) ou avec un chiffre d’affaires supérieur à 50 M€/bilan annuel supérieur à 43 M€.

A ce jour, les secteurs hautement critiques sont :

  • l’énergie (électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène),,
  • les transports (aériens, ferroviaires, fluviales, routiers),
  • le secteur bancaire,
  • les infrastructures des marchés financiers,
  • la santé (les hôpitaux, des laboratoires de référence, les fabricants de dispositifs médicaux ou de préparations pharmaceutiques…),
  • l’eau potable, les eaux usées et la gestion des déchets,
  • l’infrastructure numérique, les opérateurs de télécommunications et les fournisseurs d’accès à internet. Ainsi que les entreprises qui exploitent des centres de données (datacenters),
  • l’administration publique (centrale et régionale),
  • l’espace.

QUELLES MESURES A PRENDRE POUR ETRE CONFORME A NIS-2 ?

La réponse officielle de l’ANSSI à cette question (image ci-dessous extraite du site Internet de l’Agence en octobre 2023) témoigne de la marge de manoeuvre qui demeure dans l’élaboration exacte du cahier des charges opérationnel. La référence aux modalités de la Directive NIS est recommandée comme source d’inspiration en attendant la publication des mesures spécifiques à NIS-2.

DE POSSIBLES SANCTIONS FINANCIERES ET JURIDIQUES

Il est déjà clairement indiqué qu’en cas de manquement futur au dispositif de NIS-2, des amendes sont prévues. Leur montant sera variable : jusqu’à 10 M€ ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent pour les entités essentielles et 1,4 % pour les entités importantes. La somme la plus élevée sera retenue. Par ailleurs, la responsabilité des dirigeants pourra être juridiquement engagée.

QUEL RAPPORT ENTRE LA DIRECTIVE NIS-2 ET LE CYBER RESILIENCE ACT ?

Même s’ils concernent tous les deux la question de la cybersécurité, ces deux textes européens ont des périmètres bien distincts. Le projet de règlement européen ,le Cyber Resilience Acta été initié en 2022. II vise à définir des règles de sécurité minimum pour les produits composés d’un ou plusieurs éléments numériques vendus sur le marché de l’UE. Tandis que NIS-2 sécurise les moyens de production des entreprises et administrations de l’UE.