L’ adoption de la directive NIS 2 renforce les exigences européennes en matière de cybersécurité

Face à l’augmentation et la sophistication des cyberattaques, le Parlement européen et le Conseil de l’Union européenne ont révisé le socle minimal en matière de cybersécurité.

La directive sur la sécurité des réseaux et des systèmes d’information dite « NIS 2 » – pour « Network and Information System Security » – a été publiée au journal officiel de l’Union Européenne (UE) le 27 décembre 2022.

Ce texte abroge la directive NIS 1, adoptée en juillet 2016, qui avait pour objectif d’atteindre un niveau commun élevé de cybersécurité au sein de l’UE. Anticipant l’évolution des menaces et des enjeux en la matière, la directive imposait à la Commission un réexamen fréquent de ses dispositions.

Le premier réexamen, mené en 2022, révélait une fragmentation du marché intérieur liée aux trop nombreuses disparités existants entre les États membres quant à la mise en œuvre de la directive.

De ce constat est née la directive NIS 2, qui ambitionne de renforcer et d’harmoniser la résilience en matière de cybersécurité à l’échelle de l’UE. 

À cette fin, le texte renforce les obligations à la charge des États membres et des entités concernées et étend leur application à de nouveaux secteurs d’activité.

Un champ d’application étendu à de nouveaux secteurs et entités

Aux secteurs d’ores et déjà concernés[1], la directive en ajoute de nouveaux, tels que le spatial, la gestion des technologies de l’information et de la communication, des eaux usées et certaines administrations publiques[2].

La directive NIS 2 innove également en supprimant la liberté totale qui était laissée aux États pour déterminer la liste des entités concernées. Désormais, toutes les entités publiques ou privées de moyenne ou grande taille appartenant aux secteurs concernés, qui fournissent leurs services ou exercent leurs activités au sein de l’UE, sont soumises aux dispositions de la directive[3].

En outre, la directive introduit une distinction entre les différentes entités concernées[4], à savoir : 

  • les « entités essentielles » : qualification attribuée à certains types d’entité et qui peut être fonction de leur taille ; et
  • les « entités importantes » : entités qui ne sont pas qualifiées d’essentielles. 

La première catégorie est ainsi soumise à une supervision renforcée et à des sanctions pécuniaires plus importantes.

Une liste des entités essentielles et importantes devra être établie par les États membres qui pourront mettre en place un mécanisme leur permettant de s’auto-enregistrer.

Un renforcement des obligations à la charge des entités concernées

La directive impose aux États membres de jouer un rôle actif. Ils devront ainsi adopter une stratégie nationale afin d’atteindre et de maintenir un niveau élevé de sécurité dans tous les secteurs visés.

Toutefois, les obligations à proprement parler reposent essentiellement sur les entités concernées.

  • L’obligation de sécurité 

Au titre de l’obligation de sécurité, qui était déjà prévue par la directive NIS 1, les entités concernées doivent prendre les « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information. 

Avec pour fondement une approche « tous risques », la nouvelle directive dresse la liste des mesures minimales qui devront être mises en œuvre. Ces mesures comprennent notamment : 

  • Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ; 
  • La gestion des incidents, de la continuité des activités et des crises ; 
  • La sécurité de l’acquisition, du développement et de la maintenance des réseaux et systèmes d’information ; 
  • La sécurité de la chaîne d’approvisionnement. Cette mesure devrait conduire les sous-traitants des entités concernées à élever leur propre niveau de cybersécurité afin de fournir des produits et services conformes aux exigences auxquelles sont soumises ces entités.

Au titre de cette obligation, les organes de direction des entités concernées pourront être tenus responsables en cas de manquement de leur entité. 

  • Les obligations d’information

La directive impose désormais à l’ensemble des entités de notifier aux centres de réponse aux incidents de sécurité informatique (CSIRT) ou aux autorités compétentes les incidents dits « importants ». 

Le texte précise qu’un incident est considéré comme important lorsqu’il :

  • a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
  • a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Dans le cadre de la notification de ces incidents, la directive introduit un processus en trois étapes :

  1. Une alerte précoce doit être effectuée dans les 24 heures après avoir pris connaissance de l’incident ;
  2. Cette alerte devra être suivie d’une notification d’incident comportant une évaluation initiale de l’incident dans les 72 heures qui suivent la prise de connaissance ;
  3. Un rapport final devra être présenté au plus tard un mois après la notification de l’incident. Il devra inclure une description détaillée de l’incident, le type de menace, les mesures d’atténuation appliquées et son éventuel impact transfrontalier.

Les entités concernées devront également notifier aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services.

Enfin, la directive NIS 2 prévoit un mécanisme de notification volontaire permettant à toutes les entités, y compris celles qui ne sont pas soumises à la directive, de notifier les incidents évités.

  • L’obligation d’« accountability »

Cette obligation s’infère des pouvoirs de supervision et d’exécution dont la directive investit les autorités compétentes et qui sont plus ou moins importants selon la catégorie d’entité concernée.

La conformité des entités essentielles est ainsi soumise à un régime de supervision renforcé. Elles pourront faire l’objet de mesures de contrôles ex ante, c’est-à-dire des contrôles inopinés avant tout incident, et ex post à la suite d’une anomalie (non-conformité, incident, etc.). 

Les autorités compétentes pourront notamment demander des preuves concernant la mise en œuvre de politiques de cybersécurité ou réaliser des inspections sur place.

Les entités importantes bénéficient quant à elles d’une supervision allégée exclusivement fondée sur une approche ex post. Les autorités ne pourront prendre des mesures de contrôle qu’au vu d’éléments de preuve, d’indications ou d’informations selon lesquels l’entité ne respecterait pas la directive. 

Les entités concernées devront donc être en mesure de démontrer leur conformité avec leurs obligations dans une logique d’« accountability » largement inspirée du RGPD.

Des sanctions pécuniaires accrues

Les autorités nationales pourront prononcer des sanctions pécuniaires en cas de manquement aux obligations de sécurité et d’information. Leur montant maximal diffère en fonction de la catégorie à laquelle appartient l’entité sanctionnée.

Les entités essentielles s’exposent ainsi à une amende maximale s’élevant à au moins 10 000 000 d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus élevé devant être retenu.

Les entités importantes pourront quant à elles se voir infliger une amende maximale s’élevant à au moins 7 000 000 d’euros ou 1,4% du chiffre d’affaires annuel mondial, le montant le plus élevé devant être retenu.

À noter, la violation de la directive NIS 2 peut également constituer une violation de données à caractère personnel. Le texte précise néanmoins qu’en cas de condamnation au paiement d’une amende administrative au titre du RGPD, le même comportement ne pourra donner lieu à une autre amende administrative au titre de la directive NIS 2. 

L’entrée en vigueur et la transposition de la directive NIS 2

La directive est entrée en vigueur le 16 janvier 2023. À compter de cette date, les États membres disposent d’un délai de 21 mois pour intégrer ses dispositions en droit national.

Les États membres devront ainsi adopter et publier une loi de transposition au plus tard le 17 octobre 2024, cette dernière devant s’appliquer à partir du 18 octobre 2024.

Lire la directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union


[1] Ces secteurs concernaient notamment les acteurs de l’énergie, des transports, du secteur bancaire, des institutions financières et de la santé. 

[2] Directive NIS 2, article 2.

[3] Étant précisé que la directive s’applique également à certains types d’entités quel que soit leur taille dans des cas limitativement énumérés (Directive NIS 2, article 2).

[4] Directive NIS 2, article 3.

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.

Rechercher
Fermer ce champ de recherche.