SVP
Actualité

Directive NIS 2 : comprendre les nouvelles règles de sécurité réseau et information de l'UE

Date de publication
Temps de lecture
8min
Directive NIS 2 : comprendre les nouvelles règles de sécurité réseau et information de l'UE

La directive NIS 2 a été publiée en décembre 2022. Ayant pour but de protéger les organisations contre le risque cyber, elle définit un spectre beaucoup plus large d’organisations concernées et y inclue potentiellement les collectivités territoriales. Explications et calendrier de mise en œuvre.

Qu’est-ce que la Directive NIS 2 et à qui s’adresse cette nouvelle réglementation ?

La première directive NIS, pour Network and Information Systems, a été publiée en juillet 2016, avec pour but d'établir des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne.
Elle impose notamment aux Etats membres d'identifier les opérateurs de service essentiel (OSE), définis en tant qu'entités fournissant un service essentiel au maintien d'activités sociétales et/ou économiques critiques et tributaires des réseaux et des systèmes d'information. 
Si ces entreprises des secteurs dits essentiels, suite à une cyberattaque par exemple, sont contraintes d'interrompre leurs activités, le risque d'engendrer un impact est significatif dans le fonctionnement des entreprises et des services de l'État. 
Chaque OSE est donc, depuis cette directive, soumis à des obligations d'atteindre un certain niveau de sécurisation de son système d'information, avec un accompagnement de l'ANSSI.
Des critères tels que le nombre d'utilisateurs, la part de marché de l'opérateur ou la portée géographique mais aussi les conséquences qu'un incident peut avoir, en termes de gravité et de durée, sur le fonctionnement de l'économie ou de la société ou sur la sécurité publique impliquent que seules des grandes entreprises de secteurs économiques, telles que la santé, l’énergie, les réseaux d’eau et de gaz ou les télécommunications, sont alors considérées comme des OSE.
Mais cette NIS de 2016 va, d'ici le dernier trimestre 2024 au plus tard, passer la main à une nouvelle directive NIS 2.

Quel est le calendrier de mise en œuvre de la Directive NIS 2 ?

La Directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite Directive NIS 2 a été publiée au JOCE le 17 décembre 2022.
Elle définit des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union
S'agissant d'une directive européenne, elle nécessite donc une transposition en droit national, les professionnels du droit ne m'en voudront pas, je l'espère, de ce rappel.
La Directive NIS 2 prévoit donc l'obligation de l'adoption et de la publication, par les États membres et au plus tard le 17 octobre 2024, des dispositions nécessaires pour se conformer à celle-ci.
Les dispositions prévues par les États membres doivent être appliquées à partir du 18 octobre 2024.
L'ANSSI ayant déjà été désignée en tant qu'Autorité nationale compétente au regard des obligations émanant de la directive NIS 1, elle est évidemment reconduite dans cette fonction pour la NIS 2.
Cette nouvelle directive entrera donc en vigueur en France probablement dans le courant du deuxième semestre 2024. 
Cette nouvelle directive s'appliquera cette fois, non plus seulement aux acteurs essentiels pour l'économie ou la sécurité publique mais beaucoup plus largement aux entreprises privées et aux organisations de l'administration publique.
En effet, elle élargit le nombre de secteurs concernés, avec 11 secteurs hautement critiques et 7 secteurs critiques, chaque secteur regroupant un ou plusieurs sous-secteurs.
Elle inclut les sous-traitants en relation avec les OSE et les infrastructures critiques, leur imposant également un niveau de sécurisation satisfaisant.
Enfin, elle intègre les administrations publiques et, potentiellement, les collectivités territoriales.

Quelles seront les organisations concernées par la Directive NIS 2 ?

Deux types d'organisations seront définis, à savoir les entités essentielles et les entités importantes.
Les premières seront dites de tailles intermédiaires et grandes avec des critères et seuils suivants :

  • le nombre d'employés supérieur ou égal à 250 ;
  • ou le chiffre d'affaires supérieur ou égal à 50 millions d'euros ;
  • ou bilan annuel est supérieur ou égal à 43 millions d'euros.

Les OSE se retrouveront dans ce groupe, ainsi que les fournisseurs de réseaux publics et seront donc qualifiées d’entités essentielles (EE).
Les entités importantes (EI) seront toutes les organisations n'atteignant pas ces critères mais appartenant à l'un des secteurs listés en annexe I de la directive.

Dans tous les cas, qu'elles soient classées en entités essentielles ou importantes, les obligations seront les mêmes, seul le mécanisme de contrôle varie.
Plus précisément, les entités essentielles pourront subir des contrôles inopinés (dit "ex ante"), les entités importantes n’y étant soumises qu’en cas d’incident cyber (dit "ex post").
La France, par la voix de l'ANSSI, a notamment fait savoir auprès de la commission qu'elle était soucieuse de fixer des obligations contrôlables.

Les administrations seront-elles concernées par la NIS 2 ?

Selon la directive, sont concernées toutes les administrations publiques centrales mais également, en fonction de ce que chaque état membre décidera, les entités de l’administration publique au niveau régional définies comme telles par un État membre conformément au droit national qui, à la suite d’une évaluation basée sur les risques, fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.  
La Directive NIS 2 s’applique aux entreprises spécialisées dans les secteurs du traitement des eaux usées, de la fourniture d’eau potable et de la gestion des déchets.
Si les entreprises privées dans le domaine des réseaux (énergie, télécoms, transports…) et de services essentiels (eau, déchets, santé…) devront supporter ces obligations, de nombreuses entités publiques locales telles que les régies intervenant dans ces mêmes secteurs le seront également. 
La Directive NIS 2 précise que l’intégration de l’ensemble des administrations locales et des établissements d’enseignements est laissée à l’arbitrage des Etats membres.

En pratique, que doit-on faire ?

A ce jour, en l'attente des textes de transposition nécessaires, il n'est pas possible de connaître les critères (effectifs, population...) imposant l'application de la Directive NIS 2 aux collectivités territoriales françaises.
Mais il n’est pas inutile, loin s’en faut, d’entamer une démarche de mise en œuvre de la cybersécurité pour toutes les collectivités, petites ou grandes.
En effet, la menace cyber concerne toutes les collectivités territoriales et entrainer des conséquences lourdes pour les administrations mais aussi pour les administrés (interruption de service, perte de données ou perte financière…).
Des démarches de sensibilisation ont déjà été effectuées dans 78% des communes, selon la dernière étude sur la cybersécurité des CL publiée par Cybermalveillance.gouv.fr mais plus de la moitié de celles-ci estiment avoir besoin de diagnostic et de conseil et 55% d’outils et de solutions concrètes.

La Directive NIS 2 définit les orientations des politiques de sécurisation des systèmes d’information avec, notamment, un certain nombre d’actions à mettre en place.

Il est important de noter que ces actions, si elles sont obligatoires pour EE et les EI doivent également faire l’objet a minima d’une réflexion dans toutes les organisations car, petites ou grandes, elles sont toutes concernées par le risque cyber :

  • Réaliser des analyses de risques et des audits de sécurité de vos systèmes d’information, mettre en place un PSSI ;
  • Rédiger un PCA (plan de continuité d’activité) décrivant les processus après une attaque ou un PRA (plan de reprise d’activité) avec une surveillance de la mise à jour des sauvegardes ;
  • identifier les documents et processus nécessitant un chiffrement, au sein du SI ;
  • Vérifier les règles d’acquisition, de développement et de maintenance du SI et des réseaux ;
  •  Instaurer une politique de gestion et de contrôle des accès avec des solutions d’authentification forte ;
  • Prévoir l’utilisation de systèmes de communication sécurisés et de communication d’urgence après une attaque ;
  • Sensibiliser et former l’ensemble des utilisateurs aux bonnes pratiques de cyber-hygiène ainsi qu’à la politique de cybersécurité dans l’organisation.

Evidemment, ces mesures de sécurité s’en inspirant fortement, s’assurer que soient connues les règles contenues dans les normes ISO/27000 relatives aux systèmes de management de la sécurité de l'information.

Des sanctions lourdes sont à prévoir

Enfin, concernant les sanctions, sous réserve de précisions ultérieures apportées par les textes en attente, les sanctions devraient être d'un ordre comparable à celles prévues par le RGPD (amendes à définir, responsabilité civile et pénale des représentants légaux devant les juridictions compétentes).
Et même si ces sanctions ne sont pas encore réglementairement définies pour les collectivités, la directive prévoit tout de même des sanctions pécuniaires très importantes que les Etats membres doivent fixer pour les organisations privées (EE et EI) dans leur droit national avec un plafond d’amendes, à savoir a minima :

  • 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les entités essentielles ;
  • 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial pour les entités importantes.

Partager

Information juridique et réglementaire

Sécurisez votre gestion quotidienne et accélérez votre développement.

Voir l'offre

Pour ne rien manquer

inscrivez-vous à notre newsletter

Cochez cette case si vous acceptez de recevoir notre newsletter. Afin d'en savoir plus sur l'utilisation de vos données personnelles, rendez-vous sur notre politique de confidentialité de protection des données personnelles. Dans le cas où vous voudriez vous désinscrire de votre newsletter, cliquez sur le lien se trouvant en bas de celle-ci afin de nous notifier de votre décision.