La directive européenne dite « NIS 2 » (Network and Information Security) a été publiée au Journal Officiel de l’Union européenne (UE) le 27 décembre 2022. Les États membres doivent la transposer en droit interne au plus tard le 17 octobre 2024. Ce texte abroge la directive NIS, adoptée le 6 juillet 2016, qui avait défini un régime européen de la cybersécurité, en mettant l’accent sur la mise en place d’un niveau de sécurité élevé.
L’analyse d’impact réalisée en 2020 avait permis de définir trois principaux objectifs à la révision de la directive NIS, à savoir :
- Accroitre le niveau de cyber-résilience d’acteurs tous secteurs d’activités confondus,
- Réduire les incohérences au sein de l’Union européenne pour les secteurs d’activités déjà couverts à date par la directive NIS,
- Favoriser le partage de l’information et des connaissances, ainsi que la capacité collective de préparation et de réponse aux cyber attaques.
La révision de cette directive était donc nécessaire et s’inscrit dans les ambitions européennes de « la décennie numérique de l’Europe », en permettant aux Etats et acteurs de l’UE, de réagir efficacement aux cyberattaques et cybermenaces.
Nous souhaitons attirer l’attention du lecteur sur la possibilité offerte par l’article 29 de la directive NIS 2 de partage d’informations en matière de cybersécurité.
Objectif : être prêt pour 2024
La directive NIS 2 vise à harmoniser et à renforcer la cybersécurité dans l’UE.
Toutes les entités concernées par cette directive doivent donc se préparer en identifiant les nouvelles obligations qui leur seront applicables et définir le plan d’actions adéquat.
Les Etats membres doivent également se mobiliser. D’une part, en définissant les règles internes transposant la directive NIS 2. D’autre part, en définissant les modalités concrètes d’accompagnement des acteurs publics et privés afin d’atteindre les exigences de cybersécurité attendues.
Focus sur les mesures relatives au partage d’informations en matière de cybersécurité
Sous certaines conditions, des entités relevant du champ d’application de la directive NIS 2, d’autres entités concernées et des autorités publiques pourront conclure des accords de partage d’informations en matière de cybersécurité. Il pourra notamment s’agir d’informations relatives aux cyber-menaces, aux incidents évités, aux vulnérabilités, aux indicateurs de compromission, aux tactiques adverses, ou encore de recommandations sur la configuration des outils de cybersécurité pour détecter les cyberattaques, etc.
Notons que ces partages d’informations devront :
- viser à « prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact » ;
- renforcer « le niveau de cybersécurité, notamment en sensibilisant aux cyber-menaces, en limitant ou en empêchant leur capacité de se propager, […] ou en encourageant la recherche collaborative en matière de cyber-menaces entre les entités publiques et privées. » (article 29, 1.)
Par ailleurs, l’Agence de l’Union européenne pour la cybersécurité (European Union Agency for Cybersecurity – ENISA) devrait être partie prenante dans la mise en œuvre de ces accords (article 29.5)
Promouvoir les partenariats public-privé
Le législateur européen encourage, dans ce contexte, les partenariats public-privé (PPP), considérant que, dans le domaine de la cybersécurité, ils « peuvent offrir le cadre adapté pour les échanges de connaissances, le partage des bonnes pratiques et l’établissement d’un niveau de compréhension commun à toutes les parties prenantes […] » (Considérant 55).
A ce titre, « Les États membres devraient promouvoir des politiques favorisant l’établissement de PPP de cybersécurité. Ces politiques devraient clarifier, entre autres, la portée des PPP ainsi que les parties prenantes impliquées, le modèle de gouvernance, les options de financement disponibles et les interactions entre les parties prenantes participantes en ce qui concerne les PPP. […] » (Considérant 55)
Ainsi, par la voie contractuelle, les différentes parties prenantes de la cybersécurité pourront organiser leur collaboration.
Le contrat permettra de formaliser et encadrer la collaboration des différents acteurs : privés (par exemple, entreprises dans les secteurs de la recherche et de l’innovation, éditeurs de logiciels, sociétés fournissant des services de cybersécurité, etc.) et publics (organismes de recherche, universités, banque publique d’investissement, etc.) L’un des points de vigilance du contrat, dans le cadre d’un partage d’informations qui conduirait au développement d’un outil dans le domaine de la cybersécurité, devrait porter notamment sur la propriété intellectuelle : avec la définition des connaissances propres antérieures de chacun des partenaires, les éventuelles conditions d’utilisation et d’exploitation industrielle et commerciale des résultats communs entre les partenaires et au regard des tiers au contrat.
Une pratique compatible avec le droit de la concurrence
Concernant la mise en œuvre de ces accords, des questions relatives à leur compatibilité avec les règles en matière de droit de la concurrence (en particulier concernant les ententes) peuvent se poser.
Le législateur précise que « ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de données. » (Considérant 120)
Les modalités d’application seront précisées, dans le cadre de la transposition de la directive NIS 2.
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !