La directive NIS 2 – Décryptages : La nécessaire prise en compte des enjeux de cyber-sécurité et de cyber-résilience

En réponse à une menace cyber qui ne cesse d’augmenter dans un environnement numérique de plus en plus connecté, les instances européennes instaurent un « droit de la cybersécurité », dont les différents textes qui l’alimentent peuvent être recensés au sein d’un « paquet cybersécurité »¹. Ce dernier regroupe notamment le règlement sur la cyber-résilience², la directive NIS 2, le RGPD³ et l’IA Act⁴, visant ainsi à mettre en place et garantir une autonomie stratégique européenne sur le plan cyber.

La directive 2022/2555 du 14 décembre 2022 (NIS 2)⁵ s’appuie sur l’acquis de la directive dite NIS (Network and Information Security) adoptée en juillet 2016 et transposée en février 2018, qu’elle abroge.

La directive NIS 2 marque néanmoins un changement de paradigme à l’échelle nationale et européenne, en élargissant ses objectifs et son périmètre d’application contre les cybermenaces par l’instauration d’obligations de documentation renforcées – dont le respect est placé en France sous le contrôle de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) – ainsi que l’adoption d’une approche proactive des incidents, dès le stade de leur détection.

Le présent article a pour objectif de présenter les enjeux et les principales obligations découlant de la directive NIS 2 pour les opérateurs français concernés.

1/ Champ d’application personnel et territorial.

La directive NIS 2 élargit le périmètre des entités couvertes, passant d’environ 500 avec la directive NIS 1 à plus de 15 000 entités avec la directive NIS 2. La terminologie des entités concernées est également modifiée puisque le texte s’appliquera désormais aux « entités essentielles » (« EE », incluant notamment les opérateurs de transport, les établissements financiers et les établissements de santé) et aux « entités importantes » (« EI », incluant notamment les laboratoires de recherches et les entreprises agroalimentaires), qui remplacent les opérateurs de services essentiels sous NIS 1.

Conformément à un mécanisme de proportionnalité, le niveau d’exigences des obligations imposées par la directive varie en fonction de plusieurs critères, notamment selon que l’organisme est qualifié d’« entité essentielle » ou d’« entité importante », et selon l’application des règles de seuils relatives à la taille de la structure (nombre de salariés et montant du chiffre d’affaires)⁶.

2/ En particulier, la directive NIS 2⁷ impose des obligations particulières liées à la gestion d’une cyberattaque

Pour en savoir plus, consultez notre article « Gestion de crise : 10 bons réflexes à avoir en cas de cyberattaque ».

Les entités – publiques ou privées – essentielles et importantes doivent soumettre une alerte précoce, sans retard injustifié, à son CSIRT (centre de réponse aux incidents de sécurité informatique), ou selon le cas, à l’autorité compétente, de tout incident ayant un impact important sur leur fourniture de services⁸. Les informations transmises devront ensuite être mises à jour dans un délai de 72 heures. Un rapport final présentant les détails de l’incident et les mesures d’atténuation appliquées et en cours devra également être adressé au CSIRT un mois après la notification.

Dans le cadre d’une cyberattaque d’ampleur internationale, il faudra procéder à une notification de l’incident aux autorités locales en fonction du droit applicable, ce qui nécessitera un effort de coordination important, généralement instigué par les équipes juridiques et/ou les conseils de la structure.

3/ Renforcement de la documentation de la conformité.

Les entités concernées, en sus de leurs obligations en matière de protection des données personnelles, devront mettre à jour certaines documentations existantes – comme la politique de sécurité des systèmes d’information (PSSI) qui devra inclure les nouvelles exigences de l’ANSSI en matière de sécurité de la chaîne d’approvisionnement et d’analyse des risques ; ou les plans de continuité d’activité (PCA) et de reprise d’activité (PRA), et implémenter une nouvelle documentation adaptée au contexte cyber – à titre d’exemple, via la formalisation d’une gouvernance et d’une comitologie interne dédiée à la sécurité informatique.

Les organes de direction des entités concernées endossent une importance cruciale dans la mise en conformité de celles-ci car ils seront tenus d’approuver formellement ces mesures et documentations et devront veiller à leur mise en œuvre.

Plus globalement, les entités essentielles et importantes devront prendre toutes les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques cyber, conformément à une approche « tous risques » visant à protéger les systèmes d’information de l’organisation⁹.

4/ Compétences renforcées de l’ANSSI.

La directive NIS 2 vise également à renforcer les pouvoirs de contrôle et de sanction des autorités nationales compétentes, notamment en matière de remontée d’information en cas de cyberattaque ou d’octroi des certifications. Concernant les sanctions financières prononcées, les Etats-membres auront la charge de déterminer, par le biais d’un acte de transposition à l’échelle nationale, le régime des sanctions applicables en cas de non-respect des dispositions nationales adoptées conformément à la directive NIS 2. En outre, l’ANSSI pourra procéder à des inspections régulières et à des audits des entités concernées.

5/ Mécanismes de certification.

La directive NIS 2 vise à promouvoir l’utilisation de normes européennes et internationales pertinentes en matière de cybersécurité – dont font partie les mécanismes bien connus de certification « ISO ». En outre et surtout, afin de garantir un niveau commun élevé de cybersécurité au sein de l’Union européenne, la Commission européenne aura pour mission d’élaborer un régime européen de certification de cybersécurité, dans le cadre duquel certains produits et logiciels informatiques pourront être soumis à l’obligation d’obtenir un certificat. C’est ainsi que la Commission a annoncé l’adoption du premier schéma de certification européen, « EUCC » (EU Common Criteria), lequel aura pour objet de fixer un ensemble de règles et de procédures sur les méthodes de certification des produits TIC (Technologies de l’information et de la communication) tout au long de leur cycle de vie – de la fabrication du produit à son retrait des circuits de commercialisation¹⁰.

En synthèse, la mise en œuvre de la directive NIS 2 impliquera de nombreuses modifications techniques, organisationnelles et juridiques – notamment contractuelles, qu’il convient d’anticiper pour les organismes concernés, en fonction de leur taille et de leur nature juridique, au besoin accompagnés d’un conseil juridique spécialisé. Enfin, le projet de transposition à l’échelle nationale permettra de préciser le périmètre exact des entités concernées et le contenu de leurs obligations, telles qu’imposées par la nouvelle directive.

1. Source : https://cyber.gouv.fr/actualites/lambition-des-etats-membres-de-lunion-europeenne-sur-le-paquet-cybersecurite ↩︎
2. RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020 ↩︎
3. Règlement (UE) n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ↩︎
4. Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (Texte présentant de l’intérêt pour l’EEE) ↩︎
5. Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (Texte présentant de l’intérêt pour l’EEE) ↩︎
6. Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises ↩︎
7. Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (Texte présentant de l’intérêt pour l’EEE) ↩︎
8. Article 23 NIS 2. ↩︎
9. Article 21 NIS 2. ↩︎
10. Commission européenne, « Premier schéma de certification de cybersécurité à l’échelle de l’UE pour rendre l’espace numérique européen plus sûr », communiqué de presse, 31 janvier 2024 : https://digital-strategy.ec.europa.eu/fr/news/first-eu-wide-cybersecurity-certification-scheme-make-european-digital-space-safer ↩︎