NIS 2 Un texte ambitieux étendant des obligations minimums de cybersécurité à un nombre croissant d’organisations et aux Etats de l’Union européenne

La Directive NIS fut une première tentative d’adopter un cadre permettant d’améliorer le niveau de sécurité des infrastructures critiques des États membres de l’Union Européenne. Ce premier texte a permis d’imposer une gouvernance sur le sujet de la cybersécurité à chaque Etat membre en les obligeant à établir une feuille de route stratégique cyber et en se dotant obligatoirement de CSIRT et d’autorités spécialisées dans la cybersécurité (équivalent de l’ANSSI en France). La première directive NIS a aussi proposé un cadre de coopération interétatique et établit un niveau minimum de sécurité chez les « opérateurs de services essentiels » et les « fournisseurs de services numériques ». 

Comme prévu dans la directive, un processus de révision a débuté en 2020 afin d’évaluer ses résultats et de permettre une nouvelle proposition législative. 

Les objectifs de la mise à jour 

Le réexamen de la Directive NIS poursuit plusieurs objectifs : 

• Améliorer la résilience des entités publiques et privées implantées sur le territoire de l’UE, 
• Assurer une uniformisation des législations et des pratiques et permettre une collaboration plus aisée entre les états membres, 
• Simplifier les différentes règlementations pour les entreprises basées dans plusieurs états membres de l’UE afin d’en faciliter l’implantation, 
• Améliorer la coopération et la réactivité des états membres. 

La directive NIS 2 vient d’être adoptée par le Parlement Européen et le Conseil de l’Union Européenne respectivement les 10 et 28 novembre 2022.  

Les Etats membres ont maintenant l’obligation de transposer en droit national la nouvelle directive dans les 21 mois à compter de son entrée en vigueur.

L’ANSSI a confirmé lors de l’ECW que la loi de transposition entrerait en application de manière progressive au 2e semestre 2024.

Le texte et ses annexes sont disponibles ici. 

Les principales nouveautés 

1. Une nouvelle catégorisation des entités 

NIS 2 supprime la distinction entre opérateur de service essentiel et fournisseur de services numériques. 

Elle divise désormais les entités en « entités essentielles » et « entités importantes » en fonction de leur niveau de criticité. La différentiation se fait en fonction de la criticité du secteur, c’est-à-dire de la gravité des conséquences en cas d’interruption d’un de ces secteurs d’activité.

Si les obligations de sécurité doivent respecter le principe de proportionnalité, les contrôles effectués par les autorités nationales sont plus légers pour les entités importantes[1].

Lors de l’ECW 2023, l’ANSSI a confirmé que ces obligations seraient traduites en objectifs de sécurité pour les organisations. Il existera 20 obligations mais seulement 15 seront applicables aux entités importantes.

2. Un périmètre étendu 

La nouvelle directive NIS2 concerne les entités “importantes” et “essentielles” publiques ou privées issues des secteurs d’activité des annexes 1 et 2 de la directive. Sont exclues les microentreprises et les petites entreprises sauf sur certains périmètres et dans certains cas[2]. Il est important de noter que la directive laisse une certaine liberté aux états qui ont la charge d’établir la liste de leurs entités concernées et de la maintenir à jour au moins tous les 2 ans. 

Le périmètre d’application a été étendu, afin de prendre en compte :  

• L’entièreté de la chaîne de valeur d’un secteur, par exemple :  

- Extension du secteur de la santé aux laboratoires de références, aux activités de recherche, aux activités de fabrication de produits pharmaceutiques et des dispositifs médicaux, 

- Prise en compte du secteur des eaux usées en plus du secteur de l’eau potable. 

• L’adaptation à de nouveaux modes de production, par exemple :  

- Extension du secteur de l’énergie aux réseaux de chaleur ou au sous-secteur de l’hydrogène, 

- Extension aux exploitants d’un point de recharge électrique. 

• La prise en compte de nouveaux secteurs d’activités : 

- Administration publique, 

- Espace, 

- Services postaux, 

- Gestion des déchets, 

- Recherche, 

- … 

En effet, il est apparu à la faveur de la crise Covid que le choix des entités ciblées par la directive NIS ne permettait pas de couvrir l’intégralité des secteurs de service ou de production les plus critiques de l’UE. Par exemple, étaient exclus de la directive NIS les sites de production de produits pharmaceutiques alors que les établissements hospitaliers étaient concernés. 

Un tableau comparatif des périmètres concernés par NIS et NIS2 est disponible avec cet article. 

3. Une extension au secteur public des États membres 

NIS 2 prévoit d’étendre son périmètre aux administrations publiques d’Etat. L’inclusion des administrations territoriales est laissée à l’appréciation des États. Pour la France, cela concernerait au moins les Régions. 

Reste à chaque Etat membre de choisir ce qu’il souhaite définir comme “Entités de l’administration publique des pouvoirs publics centraux”. La France pourrait peut-être faire entrer dans ce cadre les services déconcentrés de l’Etat comme les rectorats ou les établissements publics comme l’ARS. Concernant l’administration territoriale les Régions seraient a minima concernées mais la France pourrait avoir la volonté d’étendre ces obligations à d’autres collectivités comme les Métropoles ou les Départements. 

4. Des mesures « a minima » imposées aux entités concernées 

Là où la directive NIS laissait une large autonomie aux États[3] pour mettre en œuvre les obligations minimums de sécurité des entités, NIS2 impose aux entités concernées une mise en œuvre proportionnée de mesures techniques, organisationnelles et opérationnelles pour gérer les risques cyber.  

La directive oblige à minima à mettre en œuvre : 

• Une analyse de risque et les politiques de sécurité des SI, 
• Une politique de gestion des incidents, 
• Une politique de continuité des activités et la gestion de crise, 
• La sécurité de la Supply Chain, 
• La sécurité des réseaux et des SI, 
• Des Tests et audits d’évaluation de gestion des risques, 
• L’utilisation de la Cryptographie et du Chiffrement, 
• Formation et hygiène informatique, 
• Sécurité des RH, du contrôle d’accès et de la gestion des actifs, 
• Utilisation du MFA et de l’authentification continue, 
• Des communications vocales, vidéo et textuelles sécurisées, 
• Des systèmes de communication d’urgence sécurisés. 

NIS 2 oblige donc les entités concernées à mettre en œuvre un programme de cybersécurité très complet et lourd à maintenir. 

La directive impose bien sûr aux entités concernées de limiter les risques d’incident mais ajoute surtout la prise en compte des conséquences de ceux-ci sur les destinataires de services.    

Enfin, elle reprend et encadre l’obligation de transmission d’informations en cas d’incident de sécurité. 

5. Un renforcement des réseaux européens et de la coopération interétatique 

La directive NIS 2 reprend et renforce les outils de coopération interétatiques déjà présents dans la directive NIS: 

• Le groupe de coopération est chargé de soutenir et de faciliter la coopération stratégique et l’échange d’informations entre les États membres. 
• Le groupe des CSIRT, pour sa part, doit promouvoir une coopération opérationnelle rapide et efficace entre les CSIRT nationaux. 
• Qui plus est, elle officialise la constitution du groupe CyCLONe[4] (Cyber Crisis liaison organisation network). Son rôle est de partager de l’information, renforcer le niveau de préparation aux crises et incidents cyber, de coordonner la gestion des crises et les prises de décisions politiques. 

6. L’Instauration de sanctions administratives 

La directive instaure un montant maximum pour les sanctions administratives[5] s’élevant à au moins 10 000 000 EUR ou à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle ou importante appartient, le montant le plus élevé étant retenu. 

On peut noter que la commission reprend le même principe de sanctions administratives qui avait été retenu pour le RGPD. 

La directive NIS 2 apporte d’autres améliorations ou clarifie des dispositifs existants qui permettront d’atteindre les objectifs de ce texte. Elle fait aussi de L’Agence européenne pour la cybersécurité (l’ENISA) un soutien des États membre dans la définition et l’évaluation de leur politique.  

Conclusion 

Pour conclure, NIS2 structure profondément la coopération européenne en matière de politique de cybersécurité. Elle impose des obligations de moyen aux États et organise la coopération et l’uniformisation des législations nationales. Elle propose un cadre de sécurité minimum en corrigeant les points faibles de NIS et en s’adaptant à l’évolution des menaces et à la numérisation croissante des services privés et publics.  

Cette directive met en exergue la volonté de la commission d’imposer un minimum d’uniformité sur le territoire de l’UE. Reste aux Etats membres à transposer et à se donner les moyens d’atteindre les objectifs de la directive. Il demeure en effet une forte marge d’interprétation et d’application de ce texte. A ce titre, l’ANSSI a l’objectif de faire de cette transposition un levier ambitieux pour augmenter de manière quantitative et qualitative la sécurité informatique des activités critiques françaises.

Comme pour la directive NIS suivra sans doute une boite à outil NIS2 pour aider les Etats les moins matures à mettre en place des exigences de sécurité nationales ambitieuses. La volonté de la Commission est de sécuriser l’espace européen et d’en assurer la souveraineté.

Au niveau français l’ANSSI a évoqué la possibilité d’un accompagnement pour les entités concernées mais n’a pas précisé la forme que cela pourrait prendre.

[1] Art 32 et 33, Directive NIS 2

[2] Art 2, Directive NIS 2

[3] Art 16 Directive NIS

[4] Art 13 à 19 Directive NIS2

[5] Art 34 Directive NIS2