Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Directive NIS 2 : quelle sécurité pour demain ?
2 janvier 2023
Cybersécurité / Cybercriminalité

La Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS 2 (Network and Information Security), a été publiée au Journal Officiel de l’Union européenne le 27 décembre 2022.

Les États membres disposent de 21 mois, à compter de son adoption, pour transposer la directive en droit interne. C’est-à-dire au plus tard le 18 octobre 2024.

Ce texte abroge la directive NIS, adoptée le 6 juillet 2016, qui avait défini un régime européen de la cybersécurité, en mettant l’accent sur la mise en place d’un niveau de sécurité élevé.

Prenant en compte le caractère évolutif des enjeux de cybersécurité et l’évolution constante des menaces, le législateur européen avait inclus dans la directive NIS un article 23 obligeant la Commission à fréquemment en réexaminer les dispositions.

C’est dans ce contexte qu’une analyse d’impact a été réalisée en 2020. Cette étude souligne d’abord que la directive NIS a permis un changement significatif d’état d’esprit et d’approche des enjeux de cybersécurité d’un point de vue réglementaire et institutionnelle. Voir les enseignements de cette analyse d’impact dans notre précédent article dédié à NIS 2.

 :

NIS 2

L’élargissement des entités soumises à la réglementation NIS 2

La directive NIS 2 élargit le champ d’application de NIS, en y intégrant une variété de nouveaux secteurs d’activités qualifiés de sensibles. Ces domaines incluent notamment les télécommunications, les plateformes de réseaux sociaux, la gestion des eaux usées, le spatial, ou les administrations publiques (hors domaine régalien des États membres).

NIS 2

Par ailleurs, auparavant, les États membres étaient libres de décider quelles catégories d’organisations entraient dans le champ d’application de NIS. Désormais, toute organisation de moyenne ou de grande taille, appartenant aux secteurs listés, est soumise aux dispositions de la directive.

Rajoutons que cette directive s’applique aussi aux entités identifiées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, quelle que soit leur taille, et aux entités fournissant des services d’enregistrement de noms de domaine, quelle que soit leur taille.

Enfin, les États membres peuvent prévoir que ladite directive s’applique aux entités de l’administration publique au niveau local, et aux établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherches critiques.

Néanmoins, cet élargissement significatif du champ d’application ne s’applique pas à certaines entités. En effet, celles de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ne sont pas concernées.

De surcroît, précisons que la directive effectue une nouvelle distinction entre les entités définies comme essentielles (opérateurs des noms de domaines, fournisseurs cloud, administrations publiques, organismes de gestion des eaux usées…), et celles définies comme importantes (moteurs de recherche, réseaux sociaux, services postaux…). La première catégorie est soumise à des obligations renforcées.

NIS 2

Le renforcement des obligations

La directive NIS 2 impose aux États membres de mettre en place une stratégie nationale afin d’atteindre et de maintenir un haut niveau de sécurité dans les domaines susmentionnés.

Les États membres doivent notamment s’assurer que les entités concernées mettent en œuvre les mesures assurant la sécurité de leurs réseaux et systèmes d’information, ainsi que leur environnement physique, selon une approche par les risques appliquée à la cybersécurité.

Cette démarche doit donc inclure :

  • L’analyse des risques et la prise en compte des cybermenaces définie par le règlement 2019/881 relatif à l’ENISA et à la certification de cybersécurité des technologie de l’information et des communications, comme : « toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes »,
  • La détection et la remédiation des vulnérabilités, définies dans la directive NIS 2 comme : « une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace ».
  •  La prise en compte des risques associés à la chaîne de valeur (sous-traitants, fournisseurs, etc.),
  • La détection des incidents, définis comme : « un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessible »,
  • Le traitement des incidents, défini comme : « toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier ».

Plus particulièrement, deux obligations fondamentales à la charge des États Membres sont à préciser : l’obligation de gestion des risques et l’obligation d’information.

  • L’obligation de gestion des risques

Les États Membres ont l’obligation de veiller à ce que les entités prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information.

Les mesures visées sont fondées sur une approche « tous risques », et comprennent au moins :

  • Les politiques de sécurité des systèmes d’information,
  • Les procédures de gestion des incidents,
  • Les mesures de maintien de l’activité lors des périodes de crise,
  • L’usage d’outils cryptographiques de chiffrement des données, etc.
  • Une équipe chargée de la gestion des incidents.  

La nouvelle réglementation impose aussi une obligation de gestion des risques associées à l’ensemble des organismes tiers, appartenant à la supply chain des acteurs concernés par la directive.

  • L’obligation d’information

La directive NIS 2 met à la charge des entités subissant un incident important des obligations de notification.

Au sens de l’article 23 de la directive NIS 2, un incident important est caractérisé par le fait que l’incident litigieux :

  • a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée et
  • a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

En cas d’incident important, l’entité concernée devra le notifier à son Centre de Réponse aux Incidents de Sécurité Informatique (CSIRT) ou à l’autorité compétente. Cette notification devra, le cas échéant, contenir des éléments permettant à ces derniers d’identifier si ledit incident a un impact transfrontière.

L’entité concernée devra aussi notifier, sans retard injustifié, aux destinataires de leurs services, les incidents importants susceptibles de nuire à la fourniture desdits services.

Le texte contient des dispositions sur les délais, les modalités de notification des incidents, sur le calendrier et sur le contenu des rapports.

Le renforcement du réseau européen relatif aux risques cyber

La directive renforce le dispositif de partage d’informations et de lutte contre les cybermenaces, en renforçant la coopération entre trois types d’acteurs :

  • Les « centres de réponse aux incidents de sécurité informatique » (Computer Security Incident Response Teams – CSIRTs), ces équipes des Etats Membres chargées de répondre rapidement et efficacement aux incidents de sécurité crées en 2016 par la directive NIS ; 
  • Le Groupe de Coopération NIS, chargé de produire des lignes directrices à l’intention des autorités nationales et de coordonner leur action ;
  • La nouvelle institution EU-CyCLONe (European cyber crises liaison organisation network), crée par la directive et ayant pour objet l’étude et la réponse coordonnée aux incidents de grande échelle. 

Cette coopération transfrontalière devrait accroître la confiance entre Etats membres.

NIS 2 : quelles sanctions ?

La directive NIS 2 prévoit que les autorités compétentes nationales devront disposer de pouvoirs coercitifs leur permettant d’imposer des mesures d’exécution aux entités essentielles et importantes telles que des inspections sur place et des contrôles à distance, des audits de sécurité réguliers et ciblés, des demandes d’informations nécessaires à l’évaluation ex post des mesures de gestion des risques en matière de cybersécurité, des demandes d’accès à des données, à des documents et à des informations nécessaires à l’accomplissement de leurs tâches de supervision. Les autorités compétentes devront également être en mesure d’émettre des avertissements, des injonctions et d’imposer des amendes administratives ou de demander à l’organe compétent en droit national de prononcer lesdites amendes (Directive NIS 2, articles 32 et 33).

A cet égard, l’article 34 de la directive NIS 2 définit les conditions générales relatives aux amendes administratives imposées aux entités essentielles et importantes. Ainsi, les États membres de l’Union européennes devront-ils veiller à ce que les sanctions administratives prévues par le droit national soient effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.

Ils devront également veiller à prendre en compte les montants maximum des amendes administratives définis par la directive NIS 2 en cas de violation de l’article 21 (mesures de gestion des risques en matière de cybersécurité) ou de l’article 23 (Obligations d’information).

En effet, en cas de manquement, une entité essentielle s’expose à une amende administrative d’un montant maximal s’élevant à au moins 10 000 000 euros, ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.

Une entité importante s’expose quant à elle à une amende administrative d’un montant maximal s’élevant à au moins 7 000 000 euros, ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu.

NIS 2

S’agissant de l’administration, la directive prévoit qu’il appartiendra à chaque Etat membre de déterminer si une entité publique pourra être ou non sanctionnée. Chaque Etat membre devra également définir les sanctions associées aux violations de dispositions nationales adoptées conformément à la présente directive NIS 2.

NIS 2 : Quelle articulation avec les violations de données à caractère personnel au sens du RGPD ?

En application de l’article 35 de la directive NIS 2, l’autorité nationale compétente constatant qu’une violation de la directive NIS 2 peut donner lieu à une violation de données à caractère personnel devant être notifiée à une autorité de contrôle au regard du RGPD, devra en informer ladite autorité de contrôle.

De plus, un même comportement ne pourra pas faire l’objet d’une sanction administrative au titre du RGPD prononcée par une autorité de contrôle et d’une amende administrative pour violation des règles de transposition de la directive NIS 2. Ainsi, si une autorité de contrôle a déjà prononcée une amende administrative, au regard de la directive NIS 2, seules des mesures d’exécution pourront être imposée à une entité essentielle ou importante.

Comment pouvons-nous vous être utile ? Mathias Avocats vous accompagne dans le cadre de votre mise en conformité et la gestion de vos risques..

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !