La Commission Européenne a approuvé en mai l’accord politique conclu entre le Parlement européen et les États membres de l’UE sur NIS 2, une nouvelle directive qui élève le niveau de cybersécurité dans l’Union européenne. La future loi impliquera la responsabilité des dirigeants en cas de non-respect des obligations en matière de cybersécurité.
La Commission Européenne s’est félicitée mi-mai 2022 de l’accord politique conclu entre le Parlement européen et les États membres de l’UE sur la V2 de NIS, la directive permettant d’assurer un niveau plus élevé de cybersécurité dans les Réseaux et des Systèmes d’Information (NIS) en Europe.
NIS 2 étend sa couverture à d’autres secteurs
La directive NIS 2, qui devrait entrer en vigueur au second semestre 2022 en Europe, couvre désormais les organisations d’un plus grand nombre de secteurs essentiels pour l’économie et la société, et notamment les fournisseurs de services publics de communications électroniques, de services numériques, de gestion des eaux et des déchets, de fabrication de produits critiques, etc. « La directive NIS 2 étend notamment le périmètre des secteurs concernés par des obligations de cybersécurité. Jusqu’à présent, la liste des « opérateurs de services essentiels » était laissée à la discrétion des Etats membres. Ce sera désormais la directive qui fixera les critères » confirme le cabinet Bensoussan – Lexing Technologies. La V2 de NIS couvre également plus largement le secteur de la santé, compte-tenu des menaces de sécurité croissantes apparues lors de la pandémie de COVID-19.
Elle implique désormais la responsabilité des cadres supérieurs
La directive NIS 2 renforce également les exigences de cybersécurité imposées aux entreprises, et notamment au niveau des chaînes d’approvisionnement et des relations avec les fournisseurs. Elle implique désormais la responsabilité des cadres supérieurs en cas de non-respect des obligations en matière de cybersécurité.
Elle rationalise les obligations de déclaration, introduit des mesures de surveillance plus strictes pour les autorités nationales, ainsi que des exigences plus strictes en matière d’application, et vise à harmoniser les régimes de sanctions dans les États membres. Elle contribuera aussi à accroître le partage d’informations et la coopération en matière de gestion des cybercrises au niveau européen.
« Nous avons travaillé dur pour la transformation numérique de notre société. Ces derniers mois, nous avons mis en place un certain nombre d’éléments constitutifs, tels que la loi sur les marchés numériques et la loi sur les services numériques », explique Margrethe Vestager, vice-présidente exécutive pour une Europe. « Aujourd’hui, les États membres et le Parlement européen ont également obtenu un accord sur le NIS 2. Il s’agit d’une autre percée importante de notre stratégie numérique européenne, cette fois pour garantir la protection des citoyens et des entreprises et la confiance dans les services essentiels. »
L’accord politique conclu par le Parlement européen et le Conseil est soumis depuis peu à l’approbation formelle des deux colégislateurs. Une fois publiée au Journal officiel, la directive entrera en vigueur 20 jours après sa publication et les États membres devront alors transposer les nouveaux éléments de la directive dans leur droit national. Les États membres disposeront de 21 mois pour transposer la directive en droit national. Le texte de NIS 2 avait été proposé par la Commission en décembre 2020.
Pour rappel, la directive NIS 1 entrée en vigueur en 2016 a été la première loi européenne à fixer les règles en matière de Sécurité des Réseaux et des Systèmes d’Information. Malgré leur impact positif, ses textes ont dû être actualisés en raison de l’augmentation du nombre de cyberattaques. La loi sur la cybersécurité de l’UE, en vigueur depuis 2019, a aussi doté l’Europe d’un cadre de certification de la cybersécurité des produits, services et processus et a renforcé le mandat de l’Agence européenne pour la cybersécurité (ENISA).
Olivier Bellin