Adoptée par le conseil de l’Union Européenne en assemblée, la nouvelle directive a pour objectif d’harmoniser les exigences en matière de cybersécurité et la mise en œuvre des mesures associées dans les différents États membres. Cela notamment via un élargissement du champ d’application des règles qu’il faudra transposer dans les 21 prochains mois.
“Il ne fait aucun doute que la cybersécurité restera un défi majeur pour les années à venir. Les enjeux pour nos économies et nos citoyens sont énormes. Aujourd’hui, nous avons franchi une nouvelle étape pour améliorer notre capacité à lutter contre cette menace ”, a réagi Ivan Bartoš, vice-Premier ministre tchèque chargé de la Transformation numérique et ministre du Développement régional, suite à l’adoption de la nouvelle directive.
En chantier depuis quelques temps déjà et très attendue, NIS 2 (security of Network and Information Systems) a été finalement adoptée ce lundi 28 novembre par le Conseil de l’Union Européenne. “Cela va clairement dans le bon sens, s’est immédiatement réjouit sur Linkedin Jean-Noël de Galzain, fondateur et CEO de Wallix. Celui de la résilience de nos entreprises essentielles au quotidien, un modèle pour toutes nos entreprises responsables en matière de numérique. Comme l’a dit Guillaume Poupard (ndlr : directeur de l’Anssi, Agence nationale de sécurité des systèmes d’information) aux Assises à Monaco, elles donnent un cap européen et doivent de plus en plus servir de standard pour ceux qui s’équipent en cybersécurité.” Pour lui, NIS2 reste cependant, à ce stade, une norme supplémentaire dont la portée repose sur sa mise en œuvre et avec le bon curseur à placer entre la volonté des utilisateurs et la contrainte des régulateurs.
Le directeur de l’Anssi a réagi de son côté en déclarant que “sa transposition et sa mise en œuvre volontaristes et ambitieuses permettront d’accroître notre sécurité et notre défense collectives”.
Harmoniser les exigences et la mise en œuvre des mesures
La directive NIS 2 constituera donc la base des mesures de gestion des risques en matière de cybersécurité et des obligations en matière de signalement dans tous les secteurs qu’elle couvre comme l’énergie, les transports, la santé et l’infrastructure numérique.
La directive révisée a pour objectif d’harmoniser les exigences en matière de cybersécurité et la mise en œuvre des mesures associées dans les différents États membres. Elle définit donc les règles minimales relatives à un cadre réglementaire et les mécanismes à mettre en place pour une coopération efficace entre les autorités compétentes de chaque État membre. Elle met également à jour la liste des secteurs et des activités soumis, ou non, à ces obligations et prévoit des voies de recours et des sanctions pour assurer le respect de la législation.
NIS 2 instaurera officiellement le réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe) dont le rôle sera de soutenir la gestion coordonnée des crises et incidents majeurs de cybersécurité.
Ce qui change
- Si, auparavant, les États membres devaient déterminer les entités qui répondaient aux critères d’opérateurs de services essentiels, NIS 2 introduit désormais, comme règle générale, que toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive ou fournissant des services qui en relèvent rentreront dans son champ d’application. Le texte apporte également des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères clairs relatifs au caractère critique des entités afin de permettre aux autorités nationales d’inclure d’autres entités.
- La directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique et l’application des lois, ni au pouvoir judiciaire, aux parlements et aux banques centrales.
- La directive s’appliquera aux administrations publiques aux niveaux central et régional avec la possibilité, pour les États membres, de l’appliquer au niveau local.
- NIS 2 a été alignée sur la législation sectorielle, en particulier vis-à-vis du règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER). “Au Clusif, nous allons lancer prochainement un groupe de travail dans le domaine bancaire dans le cadre de la transposition pour faire remonter nos points saillants”, précise Luména Duluc, déléguée générale du Clusif, une association rassemblant les fournisseurs et utilisateurs des secteurs du numérique et de la sécurité.
Prochaines étapes
- La directive sera publiée au Journal officiel de l’Union Européenne dans les prochains jours et entrera en vigueur le vingtième jour suivant celui de sa publication.
- Les États membres disposeront d’un délai de vingt-et-un mois à compter de l’entrée en vigueur de la directive pour les transposer dans leur droit national. “Il y a un enjeu important pour tous les acteurs de se saisir de la loi de transposition”, précise l’avocate Garance Mathias, membre du Conseil d’Administration du Clusif.
Si les sanctions administratives sont d’ores et déjà définies dans NIS 2, Garance Mathias rappellent que “les sanctions pénales le seront prochainement pour les dirigeant d’entreprise au niveau de la loi nationale.”