Pour une meilleure sécurité informatique des citoyens, certains États se sont réunis pour concevoir la directive Network and Information Security (NIS). Ce régime européen de la cybersécurité a été adopté en 2016. Toutefois, à la faveur des avancées des menaces liées à la cybersécurité, les dispositions de la directive NIS ont été revues. Le cadre de révision est en effet prévu par l’article 23 de la directive.
Ainsi, NIS 2 est le nom que porte le projet de révision de la directive Network and Information Security (NIS). C’est un projet du Conseil et du Parlement européen rendu public le 17 juin 2022.
Les préalables à la directive NIS 2
Avant la directive « NIS 2 », plusieurs actions ont été menées en amont par rapport à la directive « NIS ». Il s’agit notamment d’une analyse d’impact effectuée en 2020. C’est une étude qui a permis d’aboutir à certaines conclusions significatives sur l’impact réel de la directive NIS. En effet, elle a motivé un réel changement d’état d’esprit parmi les acteurs. Entre autres, les enjeux de la cybersécurité ont été mieux appréhendés.
L’analyse d’impact a aussi permis de cerner le niveau d’intégration de la réglementation par rapport à la cybersécurité.
Dans le même temps, grâce à cette étude, les limites liées à la directive NIS ont été recensées. Il s’agit notamment de :
- l’absence de réponse commune en cas de crise ;
- un niveau inégal de cyber-résilience des entités selon l’activité ;
- l’absence d’harmonisation des domaines soumis aux dispositions de la directive NIS.
Ces limites sont particulièrement accentuées par la crise sanitaire de la COVID-19 avec le développement de nouvelles menaces pour la cybersécurité. Pour pallier ces insuffisances, de nouveaux objectifs ont été assignés à la directive NIS. Il est question d’accroître le niveau de cyber-résilience des acteurs, quelle que soit leur activité. Les incohérences doivent aussi être limitées pour ce qui est des secteurs d’activité déjà couverts dans l’Union européenne à la date de l’impact. Un point d’honneur sera aussi mis sur le partage des informations et des connaissances afin d’accroître la possibilité collective de réponse aux attaques.
C’est pour l’atteinte de ces objectifs que la directive NIS 2 a vu le jour. Ce projet de révision profite aussi bien à l’Union Européenne qu’aux acteurs agissant dans l’univers de la cybersécurité. La commission inscrit cette action dans le programme de « la décennie numérique de l’Europe » pour réagir contre les cyberattaques et contre les cybermenaces.
Qui sont les acteurs concernés par la directive NIS 2 ?
La directive NIS 2 intègre un élargissement des entités précédemment soumises à la réglementation NIS. En clair, des secteurs d’activités jugés « sensibles » sont désormais inclus dans le champ d’application de la directive NIS 2. Il est question entre autres des télécommunications, de réseaux sociaux, des administrations publiques. Pour cette dernière entité, le domaine régalien des États membres est exclu de cette mesure. À cette liste, il faut aussi ajouter le secteur spatial et celui de la gestion des eaux usées.
Au nombre des changements à mettre sur le compte de la directive NIS 2, il faut aussi préciser la suppression de la possibilité de choisir les catégories d’organisations à intégrer au périmètre des États membres. Dans la directive NIS, 2, les organisations, quelles que soient leurs tailles intervenant dans les secteurs prévus sont soumises aux mêmes dispositions.
Dans le même temps, la directive NIS 2 différencie les entités essentielles de celles qui sont qualifiées d’importantes. Dans le premier lot, on retrouve les opérateurs des noms des domaines, les administrations publiques, les organismes de gestion d’eaux usées, les fournisseurs cloud entre autres. Pour ces entités, la sécurité en ligne doit être plus renforcée pour pallier les risques liés à la cybersécurité. Pour ce qui est des entités importantes, il y a les services de poste, les moteurs de recherche, les réseaux et médias sociaux.
Les changements apportés par la directive NIS 2
Les obligations prévues par la directive NIS sont renforcées dans le cadre de l’exécution du projet de directive NIS 2. Les États membres sont tenus de mettre en place une stratégie nationale bien structurée. Celle-ci doit idéalement permettre d’atteindre et de maintenir un niveau de sécurité élevé, que ce soit pour prévenir les cybermenaces ou pour faire face aux cyberattaques.
Toutes les structures intervenant dans les entités concernées et présentes dans les États membres doivent prendre des mesures adéquates pour assurer la sécurité de leurs réseaux et systèmes d’information.
Pour atteindre cet objectif, les entreprises concernées doivent procéder à une analyse des risques. Elles tiendront compte des cybermenaces par voie en conformité avec le règlement 2019/881 relatif à l’ENISA et à la certification de cybersécurité des TIC. De même, ces entreprises doivent détecter et trouver des solutions pour corriger les vulnérabilités des systèmes informatiques. Le projet de directive NIS 2 définit cette action dans le texte suivant : « a weakness, susceptibility or flaw of products or ICT services can be exploited by a cyber threat ». Pour les chaînes de valeur comprenant les sous-traitants, les fournisseurs et autres, les risques qu’elles encourent doivent faire l’objet d’une évaluation par les entreprises des entités concernées.
Le texte de la directive NIS 2 prévoit aussi que les entreprises détectent les incidents et qu’elles les gèrent de façon optimale. Un autre texte de la directive NIS 2 oblige aussi les sociétés à signaler tout problème de sécurité dans un délai de 24 heures après identification. Après la notification, il faudra aussi déposer un rapport de traitement de l’incident, et ce, dans un délai d’un mois au maximum.
Par ailleurs, la directive NIS 2 prévoit aussi une plus grande coordination entre les acteurs de la cybersécurité. Pour cela, il est initié, la l’élaboration d’une base de données des vulnérabilités. C’est conformément à cette base de données que les entreprises des entités concernées peuvent signaler les incidents lorsqu’ils sont détectés.
Les autorités nationales ont également un plus grand pouvoir de contrôle dans le cadre de la directive NIS 2. Elles peuvent, de ce fait, effectuer un audit sur des opérateurs essentiels et sur ceux importants au besoin. En dernier ressort, l’autre changement phare prévu par la directive NIS 2, ce sont les sanctions administratives. Le montant peut avoisiner 10 millions d’euros ou représenter 2 % du chiffre d’affaires de l’entreprise.