Le 14 décembre 2022, le Conseil et le Parlement européen ont officialisé la révision de la directive Network and Information Security, désormais désignée sous l’acronyme NIS 2. Objectif annoncé : renforcer les mesures pour assurer un niveau élevé et uniforme de cybersécurité à travers l’Union européenne.
Initialement instaurée le 6 juillet 2016, la directive NIS originelle avait établi un cadre européen pour la cybersécurité, en insistant sur la nécessité d’un niveau de sécurité élevé partagé par tous les Etats membres. Face à l’évolution rapide des menaces numériques, la directive incluait en son article 23 une clause mandatant une réévaluation régulière de ses dispositions par la Commission européenne, afin d’adapter et de mettre à jour le régime de cybersécurité en fonction des nouveaux enjeux. Décryptage !
Répercussions de l’analyse d’impact sur la révision de la directive NIS
D’emblée, il faut rappeler qu’une analyse d’impact approfondie a été menée en 2020, dans le cadre de la révision de la directive Network and Information Security (NIS). Cette étude a révélé que, bien que la directive originelle NIS ait engendré une transformation significative dans l’approche réglementaire et institutionnelle des enjeux de cybersécurité, l’évolution rapide de la numérisation de la société, accentuée par la crise de la Covid-19, a élargi le spectre des menaces cybernétiques, devenues de plus en plus sophistiquées.
Dans le détail, l’analyse a identifié plusieurs limites clés, notamment l’absence d’une réponse commune en cas de crise cyber, un manque d’harmonisation entre les secteurs concernés par la directive, ainsi qu’un niveau de cyber-résilience disparate et souvent insuffisant selon les secteurs d’activité. Pour répondre à ces défis, la révision de la directive NIS fixe trois objectifs principaux : augmenter le niveau de cyber-résilience à travers tous les secteurs, réduire les disparités réglementaires au sein de l’Union européenne, et améliorer le partage d’informations ainsi que la préparation collective à répondre aux incidents.
L’analyse d’impact recommande des changements structurels et systémiques et évalue le coût de ces nouvelles mesures pour les entreprises. Elle prévoit que les entités nouvellement régulées pourraient voir leurs dépenses de sécurité augmenter jusqu’à 22 %, tandis que pour celles déjà régulées, l’augmentation serait de 12 %. Ces investissements sont censés réduire significativement les coûts de gestion des incidents de cybersécurité, estimés à 11,3 milliards d’euros sur dix ans.
Vous l’aurez compris, la révision de la directive NIS est une étape clé pour renforcer la capacité de l’Union européenne à faire face aux cybermenaces, s’inscrivant dans le cadre plus large de la stratégie de la « décennie numérique de l’Europe » initiée par la Commission européenne.
Extension de la portée réglementaire de la directive NIS 2 aux secteurs sensibles
La révision de la directive NIS 2 marque une étape significative dans l’élargissement du champ d’application réglementaire, en intégrant une gamme étendue de secteurs d’activité désormais considérés comme sensibles. Concrètement, l’extension en question concerne des domaines variés tels que les télécommunications, les plateformes de réseaux sociaux, la gestion des eaux usées, le secteur spatial, et les administrations publiques, à l’exception des fonctions régaliennes des Etats membres.
Contrairement à la directive NIS précédente, qui laissait aux Etats membres le soin de déterminer les catégories d’organisations couvertes, la révision impose une approche plus uniforme. Désormais, toutes les organisations de taille moyenne ou grande opérant dans les secteurs énumérés seront automatiquement sujettes aux exigences de la directive. De plus, la nouvelle mouture de la directive fait une distinction claire entre les entités considérées comme essentielles — telles que les opérateurs de noms de domaine, les fournisseurs de services cloud, les administrations publiques et les organismes de gestion des eaux usées — et celles qualifiées d’importantes, incluant les moteurs de recherche, les réseaux sociaux et les services postaux.
Intensification des responsabilités en matière de cybersécurité selon la directive NIS 2
Conformément à la nouvelle directive NIS 2, chaque Etat membre est tenu de développer une stratégie nationale visant à atteindre et à maintenir un niveau élevé de sécurité dans les secteurs critiques. Aussi, dans le cadre de cette stratégie, il est impératif que les entités concernées adoptent des mesures robustes pour sécuriser leurs réseaux et systèmes d’information, ainsi que leur environnement physique. Cette approche orientée vers la gestion des risques inclut plusieurs aspects essentiels :
- Analyse des risques : les entités doivent évaluer les menaces potentielles, telles que définies par le règlement 2019/881 sur l’ENISA et la certification de cybersécurité, qui comprennent tout événement susceptible d’impacter négativement les systèmes et réseaux d’information ;
- Détection et remédiation des vulnérabilités : selon la NIS 2, les vulnérabilités sont des faiblesses pouvant être exploitées par des menaces cybernétiques. La détection et la correction de ces vulnérabilités sont donc essentielles ;
- Gestion de la chaîne de valeur : les risques liés aux sous-traitants et fournisseurs doivent également être pris en compte pour sécuriser l’ensemble de la chaîne de valeur ;
- Détection des incidents : il est essentiel de repérer tout événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ;
- Gestion des incidents : cela inclut toutes les actions et procédures visant à prévenir, détecter, analyser, contenir, répondre et récupérer suite à un incident.
En outre, la directive renforce considérablement l’obligation de signaler les incidents de sécurité : les entités touchées doivent déclarer tout incident dans les 24 heures suivant sa découverte et fournir un rapport détaillé dans un délai d’un mois après cette notification initiale.
Renforcement de la coordination et du contrôle
La directive NIS 2 prévoit une amélioration significative de la coordination entre les acteurs européens de la cybersécurité, renforcée par la création d’une base de données centralisée des vulnérabilités, où les entités doivent rapporter les failles qu’elles identifient. En outre, la nouvelle directive étend considérablement les prérogatives des autorités nationales de régulation, qui auront désormais le pouvoir de réaliser des audits préventifs sur les opérateurs essentiels, tandis que les contrôles sur les opérateurs importants se feront a posteriori.
La directive NIS 2 instaure également un cadre strict en matière de sanctions administratives pour les entités qui manqueraient à leurs obligations en matière de cybersécurité. Les amendes prévues peuvent s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel total de l’entité fautive, selon le montant le plus élevé. En outre, les Etats membres sont encouragés à envisager d’autres mesures coercitives lors de la transposition de la directive dans leur législation nationale.
Amplification du réseau pour la gestion des risques cybernétiques
La directive NIS 2 a mis en place un renforcement significatif du réseau européen de gestion des risques cybernétiques, en accentuant le partage d’informations et la coopération dans la lutte contre les cybermenaces. Ce renforcement s’articule autour de la collaboration renforcée entre trois types d’acteurs clés dans le domaine de la cybersécurité :
- Les centres de réponse aux incidents de sécurité informatique (CSIRTs) : ces équipes, établies par les Etats membres suite à la directive NIS de 2016, sont spécialisées dans la réponse rapide et efficace aux incidents de sécurité informatique. Leur rôle est central pour minimiser les impacts des cyberattaques au niveau national ;
- Le Groupe de Coopération NIS : cette entité est chargée de développer des lignes directrices destinées aux autorités nationales et de coordonner leurs actions dans le domaine de la cybersécurité ;
- EU-CyCLONe (European Cyber Crises Liaison Organisation Network) : cette nouvelle institution, créée par la directive NIS, est dédiée à l’analyse et à la réponse coordonnée aux incidents de grande échelle qui affectent plusieurs Etats membres.
L’objectif de cette coopération transfrontalière est de renforcer la confiance entre les Etats membres et d’optimiser la réactivité européenne face aux cybermenaces.
Intégration de la directive NIS 2 dans le cadre législatif européen du numérique
Vous l’aurez compris à ce stade, la directive NIS 2 s’inscrit dans une démarche globale de l’Union européenne visant à réguler l’impact croissant des technologies numériques et informatiques sur la société. En effet, elle constitue une partie intégrante des efforts législatifs européens pour encadrer les risques et renforcer la sécurité dans l’écosystème numérique.
La directive NIS 2 est conçue pour se coordonner efficacement avec plusieurs autres textes législatifs clés, afin de créer un cadre réglementaire cohérent et robuste :
- La directive sur la résilience des entités critiques : elle établit des obligations spécifiques pour garantir la continuité et la sécurité des services essentiels face aux menaces physiques et cybernétiques ;
- Le règlement DORA (Digital Operational Resilience Act) : ce règlement concerne spécifiquement la cybersécurité des acteurs des services financiers. Il prévoit des dispositions permettant à ces acteurs de participer aux discussions du Groupe de Coopération NIS et d’échanger des informations avec les CSIRTs ;
- Le règlement sur la cyber-résilience : il utilise les définitions d’« incident » et de « vulnérabilité » établies par la directive NIS 2. Il définit également certains produits comme critiques, basés sur l’usage fait par les entités jugées essentielles, ce qui permet une approche intégrée et sectorielle de la cyber-résilience.
L’ensemble de ces réglementations forme un réseau de mesures législatives qui se complètent et se renforcent mutuellement, visant à assurer une protection complète et transversale des infrastructures numériques et des services essentiels à travers l’Europe. Et pour assurer l’efficacité et l’harmonisation de ces mesures, les Etats membres de l’Union européenne sont tenus de transposer la directive NIS 2 dans leur législation nationale au plus tard le 18 octobre 2024.