Directive NIS 2 : quels impacts pour les entreprises européennes ?

En 2020, suite à l’implémentation de la première version de la directive (adoptée en juillet 2016), la Commission Européenne a mandaté Wavestone pour réaliser une étude rétrospective de la mise en œuvre de NIS 1. Celle-ci avait pour objectif d’évaluer la pertinence, la cohérence, la valeur ajoutée et l’efficience de la directive au sein de l’UE.

Les constats issus de l’étude ont mis en avant que si la NIS a fortement augmenté le niveau de cyber résilience au sein de l’UE, elle n’a pas permis de résorber les disparités entre les cadres légaux des Etats membres sur les aspects de cybersécurité. Ces disparités de transposition de la NIS entre les Etats membres portent sur de nombreux volets : différences de secteurs d’activités soumis à la NIS, niveaux de sanctions disparates, modalités de contrôles variables d’un pays à un autre… On observe notamment un écart financier conséquent entre les pays sur le montant des pénalités en cas de non-respect des obligations : pour certains il est de 10 K€ lorsqu’il atteint pour d’autres 19 M€.

Au vu de la digitalisation croissante des économies européennes et de l’hétérogénéité des déclinaisons nationales de NIS 1, il était donc nécessaire de réviser la directive. La Commission Européenne a ainsi publié le texte de la directive NIS 2 le 27 décembre 2022 au journal officiel européen.

La nouvelle règlementation s’applique désormais à deux catégories d’entités :

• Les Entités Essentielles (EE), déjà présentes sous le nom d’Opérateur de Services Essentiels (OSE) dans la première version de la directive ;
• Les Entités Importantes (EI).

La création de cette dernière catégorie a notamment pour but de sécuriser le développement des usages numériques dans la société et concerne par exemple le secteur de la fabrication d’équipements informatiques. Les EI sont considérées comme moins critiques que les EE : les obligations qui leur seront imposées par les transpositions nationales seront donc moins contraignantes.

Pour les EE, le législateur élargit la liste des secteurs d’activités et y rajoute l’espace, l’administration publique, les eaux usées, et la gestion des TIC (Technologies de l’Information et de la Communication). Par ailleurs, le secteur de l’énergie se voit complété par les sous-secteurs de l’hydrogène et des réseaux de chaleur et de froid.

Les Etats membres peuvent également choisir d’ajouter des secteurs et sous-secteurs d’activités dans leurs déclinaisons nationales futures. Nombre d’entre eux l’ont déjà fait dans leur transposition de NIS 1.

Dans la directive NIS 1, les Etats membres étaient responsables de nommer individuellement au sein de leur périmètre national les opérateurs soumis à la directive. NIS 2 vient supprimer ce mécanisme de désignation et augmenter la résilience de l’ensemble des acteurs d’un même secteur d’activité.

Avec la directive NIS 2, une entité est qualifiée essentielle ou importante sur la base de deux critères :

• La taille de l’entité (nombre d’employés, chiffre d’affaires, bilan annuel) ;
• La criticité du secteur d’activité : à quel type d’entités réfèrent les activités réalisées par l’entité ?

Ainsi, tous les opérateurs de moyenne ou grande taille appartenant à un secteur listé par la directive devront désormais se conformer à la NIS. Seules les plus petites organisations sont exemptées de cette obligation.

Toutefois, des exceptions sont prévues : NIS 2 autorise les États membres à inclure et exclure, si nécessaire, des acteurs indépendamment de ces deux critères (situation de monopole, service essentiel transfrontalier, service particulièrement critique pour l’Etat membre…).

Les règles de cybersécurité à implémenter sur les activités et les systèmes d’information (SI) des entités concernées par NIS 2 seront (comme pour NIS 1) détaillées dans les transpositions nationales.

Cependant, NIS 2 impose d’ores et déjà dans son texte européen l’obligation d’adopter une approche par les risques.

Elle exige aussi des entités qu’elles adoptent des mesures sur les thématiques de cybersécurité suivantes :

• Les politiques de SSI (y compris l’analyse des risques) ;
• La gestion des incidents ;
• La continuité des activités et la gestion des crises ;
• La sécurité de la chaîne d’approvisionnement (gestion des tiers) ;
• La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, le traitement des vulnérabilités ;
• Des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité (audit) ;
• Les pratiques de base en matière de cyber hygiène et la formation à la cybersécurité ;
• Les politiques et procédures liées à la cryptographie (chiffrement) ;
• La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
• Sécurité des communications (authentification forte ou continue).

Certaines de ces mesures se retrouvent déjà dans certaines transpositions nationales de la première version de la directive.

La nouvelle version de la directive vient fortement préciser les modalités de communication et de déclaration d’incidents de cybersécurité. Les entités soumises à la NIS (qu’elles soient importantes ou essentielles) sont toujours tenues de déclarer leurs incidents de cybersécurité aux autorités compétentes (CSIRT, autorité nationale).

Cependant, le changement majeur porte sur l’obligation de déclarer les incidents qualifiés d’« importants ». Un incident important est défini comme un incident qui :

• A causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
• A affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Le délai et le format de notification des incidents sont également précisés par NIS 2. NIS 1 n’imposait jusque-là aucun délai précis (en dehors de signaler l’incident « le plus rapidement possible »), ni format de notification particulier.

Enfin, NIS 2 indique que les entités pourront être tenues de communiquer leurs incidents à leurs destinateurs de services et, si le contexte l’oblige, au grand public.

Afin de renforcer le rôle des autorités compétentes dans la mise en place de ces mesures, le texte définit un nouveau schéma de contrôle minimum et commun à l’ensemble de l’UE.

Les EE pourront connaître deux types de contrôles :

• Des contrôles ex ante faisant référence à la prise de mesures de contrôle à l’avance ;
• Des contrôles ex post faisant référence à la prise de mesures de contrôle lorsqu’il existe des preuves ou des indications qu’une entité ne satisfait pas aux exigences en matière de mesures cybersécurité et de notification d’incidents.

Les EI, quant à elles, ne pourront être soumises qu’à des contrôles ex post.

Les modalités des contrôles ex ante restent à définir au sein des transpositions, mais le texte précise qu’ils seront basés sur des critères objectifs, non-discriminatoires et transparents.

Dans la première version de la NIS, les pays européens étaient complètement autonomes au regard de l’établissement des sanctions. NIS 2 va plus loin et impose un régime de sanctions commun à l’ensemble des membres de l’UE. La création de ce régime commun vient lisser les disparités significatives des niveaux de sanctions définis par les pays européens lors de NIS 1.

A noter : les personnes physiques en charge de faire appliquer la directive dans les entités seront tenues comme responsables en cas de non-respect des obligations de la directive.

Chaque État a jusqu’à octobre 2024 au plus tard pour transposer la directive NIS 2 dans sa règlementation nationale.

Pour rappel, NIS 1 a été adoptée en juillet 2016 et est entrée en vigueur en août 2016. Suite à cela :

• La France avait publié sa loi nationale le 26 février 2018 ;
• La Belgique le 7 avril 2019 ;
• Le Luxembourg le 28 mai 2019.

On peut imaginer que certains Etats auront tendance à accélérer le mouvement, car les déclinaisons nationales de NIS 2 s’appuieront sur les déclinaisons nationales de NIS 1 déjà existantes.