Article rédigé par Daniel Linlaud
La directive NIS-2 (Network and Information Security), publiée le 27 décembre 2022 au journal officiel de l’Union européenne (UE), remplacera à terme l’actuelle directive NIS. Transposée en loi française le 26 février 2018, la directive NIS avait pour objectif d’augmenter significativement le niveau de sécurité des systèmes d’information des organismes, privés ou publics, désignés comme opérateurs de services essentiels (OSE) ou comme fournisseurs de service numérique (FSN), ce qui représente quelques centaines d’organismes en France. Le fonctionnement des OSE, dont les services sont essentiels au maintien de l’activité économique et sociétale du pays, est tributaire d’un ou de plusieurs systèmes d’information. NIS intervient en complément du dispositif de cybersécurité des opérateurs d’importance vitale (OIV), introduit par la loi de programmation militaire (LPM) de 2013.
Les OSE, désignés par le Premier ministre sur proposition de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), sont tenus :
- de désigner un représentant auprès de l’ANSSI ;
- de déclarer les réseaux et systèmes d’information essentiels ;
- d’appliquer à leurs frais les règles de sécurité énoncées par la loi ou par décret (gouvernance, protection des réseaux et des systèmes d’information, résilience des activités) ;
- de déclarer à l’ANSSI les incidents affectant les réseaux et systèmes d’information essentiels ;
- de se soumettre à des contrôles opérés par l’ANSSI, destinés à vérifier l’application des règles de sécurité et le niveau de sécurité des réseaux et des systèmes d’information essentiels.
La nouvelle directive NIS-2 doit être transposée en droit national, au sein de chaque état membre de l’UE, dans un délai de 21 mois à compter de sa publication ; cela signifie qu’elle entrera en vigueur au plus tard fin septembre 2024.
Le principal changement amené par NIS-2 est l’augmentation significative du nombre d’organismes concernés par cette directive, qui passera de quelques centaines (les OSE et les FSN) à plusieurs milliers (les EEI -Entités essentielles et importantes), allant d’administrations de toutes tailles aux grands groupes du CAC 40 en passant par de nombreuses PME. Outre le regroupant des anciens OSE et FSN sous une appellation unique (EEI), cet accroissement est dû à l’augmentation du périmètre d’application, maintenant découpé en deux parties : les « secteurs hautement criques » d’une part et les « autres secteurs critiques » d’autre part.
Pour les activités « hautement critiques », quatre secteurs (collecte et évacuation des eaux usées, gestion des services interentreprises de technologies de l’information et de la communication -TIC, administration publique et services spatiaux) s’ajoutent aux sept déjà traités dans NIS-1 (énergie, transports, banques, infrastructures de marchés financiers, santé, fourniture et distribution d’eau potable, infrastructures numériques). De plus, à l’intérieur de chaque secteur d’activité, le nombre de types d’entités concernés croît significativement ; exemple : l’activité « infrastructures numériques », qui contenait précédemment trois types d’entités en compte maintenant neuf.
La catégorie des « autres secteurs critiques », introduite dans NIS-2, correspond aux activités suivantes : services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution des denrées alimentaires, fournisseurs numériques, organismes de recherche et fabrication.
Les administrations centrales des états membres et certaines collectivités territoriales intègreront également le périmètre de NIS-2.
Seront concernés a minima par NIS-2 tous les organismes du périmètre occupant au moins 50 personnes et/ou dont le chiffre d’affaires annuel ou le total du bilan annuel est supérieur ou égal à 10 millions d’euros. S’ajoutent à cela certains secteurs d’activités où les seuils de taille énoncés ci-dessus ne s’appliquent pas.
Les exigences de NIS-2 se situent dans la continuité de celles de NIS-1 (obligation de signalement des incidents de sécurité de l’information, mise en œuvre d’une gouvernance et de mesures de sécurité visant à couvrir les risques pesant sur le système d’information, etc.), avec toutefois la mise en place d’un mécanisme de proportionnalité, qui permettra de les adapter aux deux catégories évoquées plus haut : les activités « hautement critiques » (ou essentielles) et les activité « critiques » (ou importantes).
Le régime de sanction, qui s’appliquera à tous les organismes soumis aux exigences de NIS-2, est également renforcé, avec un mécanisme calqué sur celui du RGPD (Règlement général sur la protection des données) : amendes administratives pouvant aller jusqu’à 10 M€ ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles et jusqu’à 7 M € ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes.
Continuez de suivre nos actualités sur notre page LinkedIn pour ne rien louper !
Liens utiles
Directive (UE) 2022/2555 (NIS-2)
Publications Office (europa.eu)
Directive (UE) 2016/1148 (NIS)
Transposition de la directive NIS-1 en droit français (loi n° 2018-133 du 26 février 2018)
https://www.legifrance.gouv.fr/eli/loi/2018/2/26/INTX1728622L/jo/texte/