You are currently viewing La directive européenne NIS 2

Le 14 décembre 2022, le Parlement européen et le Conseil de l’Union européenne ont adopté la Directive (UE) 2022/2555. Celle-ci est communément appelée Directive « NIS 2 ». Cette dernière concerne des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Elle modifie le règlement (UE) 910/2014 et la directive (UE) 2018/1972, et abroge la directive (UE) 2016/1148 (NIS). 

Cette directive européenne fut publiée au Journal officiel de l’Union européenne le 27 décembre 2022. 

 

De quoi s’agit-il ? 

La directive NIS 2 remplace la directive Network and Information Security (NIS) sur la sécurité des réseaux et des systèmes d’information, datant de 2016. La nouvelle directive a pour objectif d’améliorer la résilience et les capacités de réponses aux incidents en matière de cybersécurité dans l’Union européenne. Elle vise également à harmoniser la mise en œuvre des mesures dans les Etats membres de l’Union européenne. De plus, elle représente une base de référence aux mesures de gestion des risques de cybersécurité, ainsi qu’aux obligations de déclaration. 

Plusieurs domaines sont mentionnés dans cette directive de 2022 : 

  • L’hygiène informatique de base
  • La formation à la cybersécurité
  • L’utilisation de la cryptographie
  • La sécurité des ressources humaines
  • Les politiques de contrôle d’accès 
  • La gestion des actifs
  • Etc. 

La seconde version de la directive NIS prévoit donc des exigences plus strictes en matière de sécurité informatique des organismes critiques. Mais également des sanctions associées à des amendes, en cas de non-conformité. 

Cette directive s’applique aux administrations et aux entreprises – publiques ou privées – d’une certaine taille, et vise particulièrement les secteurs les plus sensibles.

 

Quels changements par rapport à la directive NIS ? 

Selon la directive NIS de 2016, les États membres déterminaient les entités qui répondaient aux critères d’opérateurs de services essentiels. A ce jour, la directive NIS 2 affirme que toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive, ou fournissant des services qui en relèvent, rentreront dans son champ d’application. NIS 2 ajoute donc à son périmètre les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation ou encore les fabricants de produits chimiques et pharmaceutiques.

En revanche, cette nouvelle directive ne s’appliquera pas aux entités exerçant des activités dans les domaines de la défense ou la sécurité nationale, la sécurité publique et l’application des lois, au pouvoir judiciaire, aux parlements et aux banques centrales.

D’une part, les obligations prévues par le texte couvrent de nouveaux secteurs. Dans la directive NIS, seuls les acteurs de l’énergie, des transports, les banques et institutions financières, la santé, les réseaux d’eau et certaines infrastructures numériques étaient concernés. La directive NIS 2 agrandit la liste des secteurs concernés. 

D’autre part, elle met en place une nouvelle terminologie. En effet, elle divise les entités entre celles dites « essentielles » et celles dites « importantes ». Elle réalise cela en analysant leur niveau de criticité et l’impact que leur dysfonctionnement aurait. Cette analyse porte, par exemple, sur les risques encourus, les mesures garantissant la continuité de leurs activités (comme la gestion des sauvegardes), la sécurisation de leurs réseaux, … 

Ces entités dites essentielles ou importantes auront donc pour mission de prendre des mesures techniques, opérationnelles et organisationnelles afin de gérer les risques liés à la sécurité des réseaux et des systèmes d’information. Et cela, sous peine d’être tenues responsables en cas de non-conformité. 

De plus, la directive NIS 2 met en place un délai de 24h durant lequel les entités pourront émettre une 1ère alerte, en cas d’incident. Les entités feront une telle déclaration auprès de leur autorité compétente – l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour la France. Ensuite, dans un délai de 72h après l’incident, les entités devront détailler leur alerte avec une évaluation de l’impact.

 

Pour résumer 

Selon Thierry Breton, Commissaire chargé du marché intérieur : « Investir dans la cybersécurité, c’est investir dans l’avenir sain de nos environnements en ligne et dans notre autonomie stratégique ». 

La directive NIS 2 sert donc de base aux mesures de gestion des risques en matière de cybersécurité. Mais également à des obligations en matière de signalement dans tous les secteurs qu’elle couvre comme l’énergie, les transports, la santé et l’infrastructure numérique.

La Directive (UE) 2022/2555 (NIS 2) entrera en vigueur le 20e jour suivant sa publication au Journal officiel de l’Union européenne. Les États membres disposeront alors de 21 mois à compter de l’entrée en vigueur de la directive pour la transposer dans leur législation nationale.

 

Emma Fritz 

M2 Cyberjustice – Promotion 2022/2023

 

Sources :