La hausse des menaces, le nombre exponentiel de victimes et des coûts associés ont poussé les instances européennes à élargir et à durcir le cadre réglementaire. D’une part pour harmoniser, d’autre part pour s’assurer que chacun fasse le minimum pour se protéger et, par extension, dans un monde hyper connecté, protéger les autres.
Adoptée pour la première fois au niveau européen en 2016, la directive NIS (Network and Information Systems Security) s’est appuyée sur des initiatives nationales en France pour sa mise en œuvre, notamment en tirant parti des travaux réalisés dans le cadre de la loi de programmation militaire de 2013 pour la régulation des opérateurs d’importance vitale dans le domaine cybernétique. Son objectif principal était de renforcer les capacités des États membres et de favoriser la coopération à l’échelle européenne. Pour atteindre cet objectif, la directive a imposé aux États membres de développer une stratégie nationale, de nommer une autorité nationale compétente chargée de la supervision et des contrôles, et d’établir un groupe de coopération entre ces autorités nationales compétentes. Cela a permis une coordination mutuelle dans la transposition, la mise en pratique quotidienne et la capitalisation des retours d’expérience. En outre, la directive a conduit à la formation du réseau européen des C-SIRT (Computer Security Incident Response Team), appelé le C-SIRT Network. Ce réseau rassemble les C-SIRT désignées par le cadre réglementaire comme étant responsables du traitement des incidents et des crises en lien avec la directive NIS 1.
Supprimer la disparité entre Etats membres
La nécessité de mettre en place la directive NIS 2 découle d’une constatation claire : il existe une disparité notable dans les pratiques et les exécutions adoptées par les différents États membres. Cette disparité a été reconnue non seulement par la Commission européenne et le Parlement, mais aussi par les États membres eux-mêmes. Entre les années 2016 et 2020, la menace cybernétique, ainsi que ses répercussions sur la société, ont connu une évolution significative. De nouvelles cibles ont émergé et se sont multipliées, touchant notamment les PME, les entreprises de taille intermédiaire et les collectivités territoriales. Ces acteurs sont désormais régulièrement pris pour cible par des cyberattaques d’envergure ayant un impact majeur, les empêchant de mener à bien leurs activités.
Un passage de 15 000 organisations européennes régulées à… plus de 100 000 !
Le phénomène des ransomwares, qui consiste à prendre en otage les données d’une organisation et à demander une rançon pour leur restitution, incarne particulièrement cette problématique et génère des conséquences véritablement préjudiciables. Une autre préoccupation de sécurité émerge en lien avec la chaîne d’approvisionnement (supply chain), qui est devenue une cible de prédilection pour les attaquants cybernétiques. Cette menace pèse sur l’écosystème des opérateurs, mettant en péril le bon fonctionnement des services. Dans le prolongement de ces observations, à la fin de l’année 2020, la Commission européenne a formulé une proposition visant à élargir considérablement la portée et les ambitions de la directive NIS. Cette révision, dotée de nouvelles modalités, prévoit d’étendre le nombre d’opérateurs régulés, passant ainsi d’environ 15 000 à plus de 100 000 au niveau européen. Cette expansion vise à mieux faire face aux défis croissants en matière de cybersécurité et à renforcer la résilience de l’ensemble de l’écosystème numérique européen.
Le rôle de l’ANSSI à l’époque de NIS 1
À l’époque, les États membres se sont vu accorder un délai de 24 mois pour transposer la directive, ce qui a conduit à son entrée en vigueur effective en France en 2018. L’ANSSI a ainsi été désignée en tant qu’autorité nationale compétente conformément à la directive NIS 1, et cette désignation lui a conféré la responsabilité de représenter la France, en particulier au sein des échanges à l’échelle européenne, notamment dans le cadre du groupe de coopération du réseau C-SIRT. Depuis lors, l’ANSSI a désigné de manière unifiée, au moyen d’arrêtés signés conjointement par la Première ministre et ses prédécesseurs, en concertation avec les ministères compétents, un total de 300 structures qui ont obtenu le statut d’opérateurs de services essentiels depuis 2010. Pour chaque exigence de sécurité spécifique, des délais ont été définis pour que les organisations se mettent en conformité.
Quels changements avec NIS 2 ?
Avec NIS 2, le rôle de régulateur de l’Agence se voit grandement renforcé au travers, notamment, d’obligations liées à la supervision des Entités Essentielles (EE) et des Entités Importantes (EI). Elle devra, par exemple, fournir des rapports réguliers sur le périmètre, son étendue, le nombre d’EE et EI par secteurs, etc. Elle devra également, sur une base trimestrielle, fournir des rapports statistiques anonymisés (aucune information sur le contenu, ni sur l’origine) quant aux incidents qui lui sont remontés. Dans le cadre des contrôles, l’Agence pourra mener des inspections sur place ou à distance, réaliser des scans automatiques et émettre des injonctions comme la mise en place d’un correctif au regard d’une vulnérabilité critique pouvant impacter le périmètre des organisations régulées, la suspension temporaire ou non d’une certification. L’ANSSI pourra même aller jusqu’à demander la suspension temporaire d’exercer de dirigeants.