NIS 2, pour Network and Information Security, version 2 – ou, en français, SRI 2 pour Sécurité des réseaux et des systèmes d’information – est une directive européenne du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne.
Selon le député Philippe Latombe : « Dans un contexte géopolitique particulièrement perturbé, la directive NIS 2 constitue une mise à jour inévitable de la législation européenne en matière de cybersécurité. Si elle s’appuie sur la directive NIS de 2016, elle a comme objectifs de renforcer la cybersécurité, simplifier les rapports et créer des règles et des sanctions cohérentes dans l’ensemble de l’UE. En élargissant son champ d’application, NIS 2 oblige davantage d’entreprises et de secteurs à prendre des mesures de cybersécurité, avec l’objectif majeur de renforcer la cybersécurité globale de l’Europe à long terme. »
Entrée en vigueur le 17 janvier 2023, elle doit être transposée par les États membres au plus tard le 17 octobre 2024 : des actes d’exécution établissant les exigences techniques et méthodologiques précises sont en cours d’adoption en France.
Parmi les principales caractéristiques de NIS 2 figurent un élargissement très notable des entités qui y seront soumises et la création de sanctions dissuasives en cas de non-respect des obligations qui en découlent.
En France, par exemple, environ 300 Opérateurs de services essentiels étaient désignés sous l’égide de NIS 1. À l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés.
Environ 600 types d’entités différentes seront concernés. Parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC 40. D’après l’Anssi, entre 1 000 et 2 000 entités essentielles et entre 10 000 et 15 000 entités importantes entreront ainsi dans le périmètre.
S’y ajouteront les acteurs dits « de la chaîne d’approvisionnement », dont les acteurs du numérique, qui seront également soumis au dispositif. Ces acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques : les entités soumises à NIS 2 devront encadrer contractuellement les aspects cybersécurité avec leurs fournisseurs et prestataires directs.
Mon entreprise est-elle soumise aux obligations de NIS 2 ?
La définition des acteurs concernés est assez complexe. Pour résumer, en ce qui concerne les entreprises, et sauf exception, la directive s’applique selon les critères cumulatifs suivants :
- Être une entité publique ou privée
- Fournir ses services ou exercer son activité au sein de l’UE
- Exercer son activité dans l’un des secteurs visés par la directive
- Être une entité de taille moyenne ou plus au sens de l’article 2 de l’annexe de la recommandation 2 003/361/CE, c’est-à-dire : soit employer 50 salariés ou plus ; soit avoir un chiffre d’affaires annuel de 10 millions d’euros ou plus.
Contrairement à la directive NIS, datant de 2016, NIS 2 couvre un très large périmètre de secteurs économiques, considérés comme revêtant une importance particulière pour le bon fonctionnement du marché intérieur, parmi lesquels : l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, la distribution d’eau potable, le traitement des eaux usées, l’infrastructure numérique et la gestion des services TIC (Technologies de l’information et de la communication), l’administration publique, l’espace, les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, la production, la transformation et la distribution de denrées alimentaires, l’industrie, les fournisseurs numériques et la recherche.
Ces secteurs sont définis en annexes I et II de la directive. S’y ajoutent certains acteurs précisément définis.
En outre, certaines entités ne seront pas concernées directement, en tant qu’entité essentielle ni en tant qu’entité importante au sens de la directive. Elles pourront néanmoins l’être en leur qualité de fournisseurs ou de prestataires de ces entités.
Notre conseil : un examen attentif s’impose donc pour chaque organisation, afin de déterminer si elle est, ou non, soumise à la directive. Pour cela, vous pourrez vous aider de l’outil développé par l’Anssi, en collaboration avec BetaGouv : MonEspaceNIS2, actuellement en version bêta, permettant de réaliser un test en ligne pour vérifier si votre entité est concernée par la directive et identifier sa catégorie. En cas de doute, n’hésitez pas à vous faire assister par un juriste.
Mon entreprise est soumise aux obligations de NIS 2 : quelles sont les principales obligations à respecter ?
Les principales obligations sont :
- La mise en place d’une gouvernance cybersécurité ;
- La mise en place de mesures de gestion des risques en matière de cybersécurité précisées de manière macro à l’article 21.2 de la directive et qui seront détaillées dans le cadre de la transposition de la directive en France ;
- L’obligation de se déclarer auprès des autorités nationales compétentes aux fins d’inscription par l’Enisa (Agence de l’Union européenne pour la cybersécurité) au registre des entités ;
- L’obligation de notification des incidents.
Notre conseil : les mesures à mettre en place doivent être proportionnées. Elles doivent tenir compte, à la fois de l’exposition au risque de vos systèmes d’information, mais aussi de la taille de votre entreprise.
Et pour les prestataires ?
La directive prévoit que les entités essentielles et importantes doivent tenir compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité.
Notre conseil : si vous êtes un prestataire d’entités soumises à NIS 2, il faut vous préparer à répondre à différentes exigences imposées par ces clients dans le cadre de leur propre évaluation des engagements de sécurité de leurs prestataires. Veillez à adapter vos contrats, en particulier s’agissant des clauses relatives à la cybersécurité et à la protection des données, ainsi qu’à l’incorporation de stipulations sur la notification des incidents, les audits et la responsabilité en cas de manquement.
Puis-je m’appuyer sur d’autres démarches ?
La bonne nouvelle, c’est que les entités ayant atteint une certaine maturité en termes de conformité au RGPD devraient voir leur démarche de conformité à NIS 2 facilitée, sous réserve d’étendre la démarche à tous types de données et pas seulement aux données à caractère personnel. Comme le dit l’Anssi : « Ce qui a été mis en place au titre du RGPD est potentiellement mutualisable avec la directive NIS 2. » Autrement dit : capitalisez sur vos travaux RGPD !
Bien entendu, des certifications telles que ISO 27 001 devraient également permettre de remplir la majeure partie des exigences, y compris en termes d’ »accountability », c’est-à-dire de documentation des mesures.
À noter que les entités essentielles et importantes au sens de la directive sont en outre encouragées à justifier de leur conformité en :
- utilisant des produits TIC, services TIC et processus TIC particuliers certifiés dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 relatif à l’Enisa et à la certification de cybersécurité des technologies de l’information et des communications,
- et/ou recourant à des normes et spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information.
Comment les entités soumises à NIS 2 seront-elles contrôlées ? Quelles seront les sanctions ?
La directive NIS 2 confère aux autorités nationales – comme l’Anssi en France – un pouvoir de surveillance renforcée. Ces pouvoirs diffèrent selon que l’entité contrôlée est une entité essentielle ou importante.
Les entités essentielles pourront faire l’objet d’un contrôle « ex ante », c’est-à-dire faire l’objet d’une surveillance en l’absence d’incidents de sécurité. Elles peuvent aussi faire l’objet de contrôle « ex post ».
L’Anssi mènera des audits sur les entités essentielles et principalement sur incidents pour les entités importantes.
À l’évidence, les services des entités essentielles et importantes qui sont externalisés n’échapperont pas à ces contrôles.
Les sanctions seront également renforcées. À titre d’exemple, en France, l’Anssi pourra notamment prononcer des amendes administratives à l’encontre des entités qui ne respectent pas la directive, pouvant aller jusqu’à :
- 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles,
- 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes.
En pratique, les amendes prononcées pourront être moins importantes, comme on l’a vu en ce qui concerne le RGPD. Les amendes administratives imposées aux entités essentielles et importantes doivent en tout cas être « effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas. »
Précision : en application de l’article 35.1 de la directive NIS 2, l’autorité nationale compétente constatant qu’une violation de la directive NIS 2 peut donner lieu à une violation de données à caractère personnel devant être notifiée à une autorité de contrôle au regard du RGPD, devra en informer ladite autorité de contrôle.
Ainsi, un même comportement ne pourra pas faire l’objet d’une sanction administrative au titre du RGPD prononcée par une autorité de contrôle et d’une amende administrative pour violation des règles de transposition de la directive NIS 2.
Il ne faut, bien entendu, pas oublier que les implications juridiques de la non-conformité vont au-delà des seules sanctions financières. Les entités concernées peuvent faire face à :
- en premier lieu, une perte de marchés,
- le paiement de dommages et intérêts à des cocontractants ou à des tiers à qui la non-conformité aurait causé un préjudice,
- une atteinte à la réputation.
Une expertise de Anne-Laure Gaillard et Florence Eon-Jaguin, avocates au Barreau de Rennes
