AVIS D’EXPERT JURIDIQUE – Maître Alexandra Iteanu, Avocat à la Cour (Numérique, Cybersécurité et Data), revient pour les lecteurs de Solutions Numériques sur cette directive européenne qui devra être transposée en droit français avant le 18 octobre 2024.
Les intentions et les objectifs sont clairs et compréhensibles pour tous : dans une société toujours plus numérisée et connectée, avec une cybercriminalité en hausse constante, il devenait impératif de rehausser le niveau de cybersécurité des entreprises travaillant dans les secteurs les plus à risque.
C’est dans ce contexte qu’a été adoptée la directive UE 2022/255 dite « NIS 2 », qui devra être transposée en droit français avant le 18 octobre 2024. Cette directive abroge la Directive UE 2016/1148 dite NIS 1.
A l’instar du règlement RGPD[1] pour la protection des données personnelles, qu’on ne présente plus, NIS 2 se place comme la référence en matière de cybersécurité.
L’Anssi aura dans ce contexte un rôle central en France, et coopérera au niveau européen avec les autres autorités au sein de l’ENISA[2].
Un plus grand nombre d’acteurs concernés par cette nouvelle directive
La directive NIS 1 impliquait les entreprises de 6 secteurs et ciblait en France à peu près 500 entités. La directive NIS 2 cible aujourd’hui pas moins de 18 secteurs, divisés en deux groupes listés en annexes 1 et 2 de la directive :
- les « entités essentielles » (énergie, transport, banque, santé, etc.)
- les « entités importantes » (poste, gestion des déchets, secteur alimentaire, etc.)
Entre 10 à 15 000 entités seraient ainsi concernées en France par cette nouvelle réglementation.
Les mesures phares : une règlementation basée sur la gestion des risques
Les sociétés visées par NIS 2 devront prendre les « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information » (article 21-1).
Autrement dit, et en fonction de l’activité, de la taille, mais aussi des « coûts » de mise en œuvre, chaque entité devra répondre aux risques cyber ciblés.
NIS 2 cite tout de même certaines mesures a minima qui devraient être mises en place par tous : l’utilisation de solutions multifacteur, la continuité des services avec une gestion des sauvegardes, ou encore la sécurité de la chaine de sous-traitance.
Une obligation de signalement est également imposée à ces entités en cas d’incident, avec une notification à l’Anssi « dans les 24 à 72h ».
La continuité des services est un prérequis important, et les entités devront planifier la manière dont elles entendent assurer la continuité de leur activité en cas de cyberincidents majeurs.
Enfin, NIS 2 implique la direction de ces entités, qui devra superviser et approuver les mesures de cybersécurité mises en place. Cette obligation est tout particulièrement saluée par les RSSI qui ont souvent du mal à impliquer les organes directionnels.
Des sanctions élevées
A l’instar du RGPD, le régime des sanctions est lui aussi à la hauteur de ces nouveaux enjeux, avec :
- pour les entités essentielles : une amende administrative pouvant s’élever jusqu’à 10 000 000 euros ou 2% du chiffre d’affaire annuel mondial.
- Pour les entités importantes : le montant de l’amende peut s’élever jusqu’à 7 000 000 euros ou au moins 1,4 % du chiffre d’affaire annuel mondial.
En conclusion
En conclusion, avec la directive NIS 2, les institutions communautaires mettent les pieds dans le plat de la cybersécurité. Les textes d’ailleurs se multiplient avec DORA[3] dans le domaine financier, la CER[4] notamment. Mais ce qui frappe le plus, c’est la structure de la directive NIS2 très semblable au RGPD, avec son obligation positive de sécurité à la charge des organisations, l’obligation de signalement des incidents, le rôle central d’une autorité, ici l’Anssi, et des sanctions administratives impressionnantes. Reste la question finale. L’Anssi sera clairement l’acteur central de cette mise sous régulation en matière de cybersécurité, des entreprises françaises. En aura-t-elle les moyens ?
[1] Règlement UE n°2016/679
[2] Agence de l’Union européenne pour la cybersécurité
[3] Règlement UE 2022/2554 dy 14 Décembre 2022 sur la résilience opérationnelle numérique du secteur financier (il s’agit ici d’un Règlement)
[4] Directive UE 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques