Présentation et entrée en vigueur de la directive NIS 2

Le 10 novembre 2022, les députés européens ont voté la directive NIS 2 (Network & Information Security, ou SRI en français : Sécurité des Réseaux et des systèmes d’Information). Publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022, la Directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union abroge la directive NIS, première législation européenne sur la cybersécurité.

Elle entrera en vigueur au deuxième semestre 2024 et s’appliquera à l’échelle française à 600 types d’entités différentes allant des PME aux groupes du CAC 40 d’après l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). S’agissant d’une directive, elle doit être transposée en droit national par chaque état membre, comme le stipule l’article 288 du Traité sur le Fonctionnement de l’Union Européenne (TFUE).

L’objet de cette nouvelle directive est de renforcer la sécurité du marché européen, en harmonisant les obligations de sécurité numérique et les processus de sanctions dans l’ensemble de l’Union Européenne, ce qui présente un intérêt majeur pour l’Espace Économique Européen (EEE).

NIS 2 s’applique aux entreprises et organismes opérant dans les secteurs définis comme hautement critiques dans son Annexe I, ou comme autres secteurs critiques dans son Annexe II, dès l’instant où ces entités publiques ou privées sont de taille moyenne, en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE et fournissent leurs services ou exercent leurs activités au sein de l’Union, ou lorsqu’elles dépassent les plafonds prévus par le paragraphe 1 dudit article. Il s’agit concrètement des entreprises de plus de 50 salariés ou réalisant un chiffre d’affaires ou un bilan de plus de 10 millions d’euros dans les secteurs visés.

La France aura la possibilité d’intégrer unitairement et à la marge, des entités ne respectant pas ces critères, sur la base d’une analyse de risque nationale. Elle aura également la possibilité d’exclure unitairement des entités au regard de la clause de défense et de sécurité nationale prévue par la directive.

S’ajoutent les entités opérant dans les secteurs susmentionnés, et quelle que soit leur taille, lorsque les cas suivants s’appliquent :

·        Les services sont fournis par :

                               i.            Des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public

                            ii.            Des prestataires de services de confiance

                         iii.            Des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine

·        L’entité est, dans un État membre, le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques

·        Une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique

·        Une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière

·        L’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants dans l’État membre

·        L’entité est une entité de l’administration publique :

                               i.            Des pouvoirs publics centraux tels qu’ils sont définis par un État membre conformément au droit national

                            ii.            Au niveau régional, tel qu’il est défini par un État membre conformément au droit national, qui, à la suite d’une évaluation basée sur les risques, fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.

·        L’entité est recensée comme entité critique en vertu de la directive (UE) 2022/2557 sur la résilience des entités critiques

·        L’entité fournit des services d’enregistrement de noms de domaine

Les secteurs hautement critiques définis en Annexe I sont les suivants :

·        Énergie

·        Transports

·        Secteur bancaire

·        Infrastructures de marchés financiers

·        Santé

·        Eau potable

·        Eaux usées

·        Infrastructures numériques

·        Gestion des services TIC (Technologie de l’Information et de la Communication)

·        Administration publique

·        Espace

Sont classés en Annexe II les autres secteurs critiques :

·        Services postaux et d’expédition

·        Gestion des déchets

·        Fabrication production et distribution de produits chimiques

·        Production, transformation et distribution des denrées alimentaires

·        Fabrication (dispositifs médicaux, produits informatiques, électroniques et optiques, équipements électriques, machines, véhicules automobiles, remorques et semi-remorques, matériels de transport)

·        Fournisseurs numériques

·        Recherche

Deux typologies d’entités différentes sont définies : les Entités Essentielles (EE), et les Entités Importantes (EI). Les EE sont de taille intermédiaire et grande.

Les EE correspondent aux critères et seuils suivants :

·        Nombre d’employés ≥ 250 

·        Ou CA supérieur à 50 millions d’euros

·        Ou bilan annuel supérieur ou égal à 43 millions d’euros

Sont également considérés comme EE :

·        Les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les fournisseurs de services DNS, quelle que soit leur taille

·        Les fournisseurs de réseaux publics de communications électroniques publics ou de services de communication accessibles au public qui constituent des entreprises de taille moyenne

·        Toute entité soumise à la directive Résilience des Entités Critiques (REC)

·        Toute entité désigné comme Opérateur de Services Essentiels (OSE) au titre de NIS 1

·        Certaines entités désignées unitairement par la France au regard de certains critères spécifiques

Les EI sont toutes les autres entités de taille moyenne réalisant des activités correspondant aux secteurs hautement critiques et autres secteurs critiques ci-avant (Annexe I et II de la directive).

En France, l’ANSSI s’appuie sur la distinction entre EE et EI pour définir des exigences et des sanctions adaptées et proportionnées aux enjeux de chacune de ces catégories.

L’ANSSI conseillait à chaque entité – dès janvier 2023 - de se préparer sans attendre la transposition du texte dans le droit national, qui fixe l’ensemble des obligations spécifiques aux EE et aux EI. Certaines exigences seront applicables directement, d’autres devraient être soumises à un délai de mises en conformité. Pour les PME qui intègreront le périmètre, le guide publié par l’ANSSI « La Cybersécurité pour les TPE/PME en 13 questions » (PDF) constitue une base solide de mesures concrètes et pérennes.

Les obligations des EE et EI communiquées par l’ANSSI lors de son webinaire du 16 mai 2023 dédié à NIS 2 sont les suivantes :

·        Notification, contact et déclaration des incidents majeurs

o   Notification des entités auprès de l’ANSSI

o   Communication des informations de contact et mises à jour

o   Déclaration à l’ANSSI des incidents majeurs

·        Mesures de sécurité

o   Mise en place des mesures techniques, opérationnelles et organisationnelles de sécurité appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.

o   Politiques relatives à l’analyse des risques et à la sécurité des Systèmes d’Information (SI)

o   Gestion des incidents

o   Continuité des activités (Sauvegardes, PCA/PRA, gestion de crise)

o   Sécurité de la chaîne d’approvisionnement (fournisseurs/prestataires)

o   Sécurité de l’acquisition, du développement et de la maintenance des SI 

o   Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité

o   Cyberhygiène et formation à la cybersécurité

o   Politiques et procédures relatives à l’utilisation de la cryptographie

o   Sécurité des ressources humaines, des politiques de contrôle d’accès et gestion des actifs

o   Utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéos et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Les acteurs du numérique ne seront pas soumis aux exigences relatives aux mesures de sécurité transposées à l’échelle nationale mais à un acte d’exécution publié par la Commission Européenne au plus tard le 17 octobre 2024 qui précisera les mesures à appliquer. 

L’ANSSI en tant que régulateur voit son rôle renforcé et est assujettie de fait, à des obligations supplémentaires. Le support de présentation du webinaire ci-avant évoqué en liste une partie.

Le non-respect des obligations encadrées par la directive NIS 2 engendrera d’importantes sanctions financières :

·        Une amende de 10 millions d’euros ou au moins 2% du CA mondial total pour les Entités Essentielles

·        Une amende de 7 millions d’euros ou 1,4% du CA mondial total pour les Entités Importantes

Les États membres pourront également prendre des sanctions d’ordre pénal et donc engager directement la responsabilité des dirigeants des entités concernées.