Après deux années de négociations, la directive NIS 2 a finalement été adoptée par le Parlement européen le 10 novembre 2022, après son approbation préalable par le Conseil. Cette directive, ayant vocation à remplacer la directive NIS qui date de 2016, apporte de nombreuses nouveautés qui devraient permettre d’améliorer la résilience et les capacités de réponse aux cyber incidents dans l’Union européenne.    

Après un bilan globalement positif de la première directive NIS comme décrit par l’Anssi, l’Union européenne s’apprête à se doter de la directive NIS 2 pour lui succéder. Cette démarche n’a pas pour but de constituer une véritable révolution en la matière : la nouvelle directive vient compléter la version précédente pour faire face aux évolutions du risque cyber et permettre d’assurer un niveau de sécurité adéquat face à cette menace.

En effet, l’esprit de cette directive est clairement exprimé par le Conseil de l’Union, qui affirme qu’elle doit permettre d’améliorer la résilience et les capacités de réponse aux incidents de l’UE. Pour ce faire, elle vise principalement à renforcer la coopération dans l’UE et à harmoniser les exigences en matière de cybersécurité par la mise en oeuvre de mêmes mesures dans les différents États membres.

Un champ d’application élargi

Le premier apport majeur du texte est l’extension de son champ d’application. Elle modifie en effet la liste des secteurs soumis à des obligations en matière de cybersécurité, augmentant leur nombre de 19 à 35 : aux secteurs de l’énergie, du transport, de la finance et de l’eau, elle ajoute entre autres l’industrie chimique, les services postaux, le secteur de la gestion des déchets, celui de l’agroalimentaire, ou encore notamment les sous-traitants et prestataires de services ayant un accès à une infrastructure critique.

"Plusieurs milliers d’organisations françaises seront impactées par l’élargissement du champ d’application"

Par ailleurs, il est notable que la directive donne la possibilité aux États membres, lors de la transposition, d’intégrer également à son champ d’application les collectivités territoriales et administrations régionales ou locales, ce que ne manquera pas de faire la France. Ce n’est cependant pas le cas des entités dont l’activité concerne les domaines de la défense ou la sécurité nationale, ni du pouvoir judiciaire, des parlements et banques centrales, tous exclus par la directive.

Alors qu’uniquement les moyennes et grandes entreprises seront soumises par principe aux nouvelles obligations de la directive, il est estimé que plusieurs milliers d’organisations françaises seront impactées par l’élargissement du champ d’application, ou environ dix fois plus d’acteurs que ceux soumis aux obligations de la première directive NIS à l’échelle de la France. À l’échelle européenne, environ 160 000 institutions seront concernées par les nouvelles obligations relatives à la cybersécurité de cette directive.

Les OSE remplacés par les Entités Essentielles et les Entités Importantes

Sous le régime de la première directive NIS, les OSE étaient les Opérateurs de services essentiels dont "l’arrêt du système informatique ou de son infrastructure aurait un impact significatif sur le fonctionnement de l’économie ou de la société française". La directive NIS 2 met donc un terme à cette qualification, divisant les acteurs régulés en deux catégories : les Entités Essentielles (EE) et Entités Importantes (EI), selon le niveau de criticité de leurs secteurs et activité. Les entités essentielles regroupent par exemple le secteur de l’eau, les infrastructures numériques (fournisseurs d’accès à internet, data centers…), les administrations publiques, ou le secteur de l’espace, tandis que les entités importantes englobent les secteurs de la gestion des déchets, les services postaux, l’industrie chimique, ou les fournisseurs de services numériques (moteurs de recherche, marketplaces…). Les entreprises et opérateurs devront s’autodésigner comme EE ou EI, en se basant sur les secteurs d’activités décrits par la directive. La distinction a un intérêt pratique important : alors que les EE seront soumises à des audits réguliers et contrôles aléatoires même sans la survenance d’incidents, les EI pourront uniquement faire l’objet d’inspections postérieures à la survenance d’incidents par les autorités nationales compétentes.

"La directive NIS 2 harmonise le régime de sanctions, qui iront jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel des entreprises concernées en violation"

Des obligations nouvelles

La directive pose plusieurs obligations aux entités concernées, auxquelles les entités importantes comme essentielles seront soumises. Elles devront, de manière générale, adopter une approche d’analyse et de gestion des risques, qui implique a minima des mesures de prévention et réponse aux incidents, des mesures pour assurer la continuité des activités, la sécurité de la chaîne d’approvisionnement et la sécurité dans la mise en place, le développement et la maintenance des réseaux et systèmes d’information. Par ailleurs, l’utilisation de technologies de cryptographie est également mentionnée.

Le niveau d’exigence relatif à ces mesures dépendra évidemment de la taille de chaque entité concernée comme de la réalité du risque qui pèse sur elle. Ensuite, les obligations de déclaration des incidents sont également renforcées par cette directive : les incidents susceptibles de causer des dommages opérationnels ou financiers importants devront être déclarés aux autorités compétentes dans un délai de 24 heures à compter de l’identification de l’incident, une évaluation initiale de l’impact de l’incident sous 72 heures, et un rapport final détaillé sur la criticité et l’impact de l’incident dans un délai d’un mois.

Régime de sanctions et responsabilisation

Harmonisation : sous la première directive NIS, les pénalités financières variaient dans les différents États de l’Union. Les disparités étaient parfois trop importantes. La directive NIS 2 harmonise donc le régime de sanctions. À compter de son entrée en vigueur, les sanctions iront jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel des entreprises concernées en violation. Par ailleurs, une nouveauté majeure est également la possibilité de sanction des équipes de direction des entités qui ne se conformeront pas aux exigences de la directive.

Un niveau de coopération supérieur

La directive NIS 1 avait déjà établi un certain cadre de coopération entre les États membres, la commission et l’Enisa, et avait institué un réseau d’experts (CSIRT Network) amené à intervenir en cas d’incident de sécurité informatique. La nouvelle directive renforce le rôle du CSIRT, car les États membres devront lui déclarer tout incident susceptible de causer des dommages opérationnels ou financiers importants. Chaque État membre devra également désigner un Single Point Of Contact (SPOC) pour assurer la liaison et la coopération entre les autorités compétentes des différents États.

Aussi, le réseau CyCLONe, informellement existant jusque-là, sera officiellement établi par la directive NIS 2. Son rôle consistera à coordonner la gestion des incidents de cybersécurité à grande échelle. La directive NIS 2 reprend ainsi de nombreux acquis de la première directive NIS, et constitue une tentative de les améliorer et mettre à jour face à l’évolution des menaces cyber. Un champ d’application plus large, des obligations plus contraignantes, un pouvoir coercitif supérieur et une meilleure harmonisation au sein de l’UE devraient permettre d’assurer plus efficacement la sécurité numérique des secteurs concernés.

SUR L’AUTEUR
François-Pierre Lani, titulaire du DESS Droit, informatique et technologies nouvelles est un avocat spécialiste reconnu en droit de l’informatique et des technologies nouvelles.
Il a été pendant plus de dix ans juriste et directeur juridique au sein de différentes directions juridiques dont celles d’acteurs majeurs tels qu’Axa, Sligos (Atos) et le groupe Elf Aquitaine. Son expérience au sein d’entreprises importantes, ainsi que ses dernières fonctions de "business development manager" pendant trois ans sont un véritable atout pour l’accompagnement des dirigeants dans leurs différentes décisions, leurs opérations de fusions/acquisitions mais également dans le déroulement de leur propre carrière. Il intervient désormais dans de nombreux colloques notamment sur les risques informatiques, l’intelligence artificielle, la dématérialisation.

Il figure également dans les principaux classements dédiés au droit des nouvelles technologies, français et internationaux tels que Chambers, Legal 500 ou encore Best Lawyers.

Personnes citées

François-Pierre Lani

François-Pierre Lani

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023