La directive NIS 2

Alors que la menace cyber augmente et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2 (Network and Information Security), publiée au Journal Officiel de l'Union européenne en décembre 2022, représente une opportunité unique. Sa mise en application va permettre à des milliers d’entités qui concernent le quotidien des citoyens de mieux se protéger.

Publié le 15 Juin 2023 Mis à jour le 14 Novembre 2023
Corps

La directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1, marque un changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber. Elle amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI et ses homologues européens.

L’ANSSI communiquera sur la directive NIS 2 tout au long de sa transposition à l’échelle nationale, partageant à l’ensemble des parties prenantes le fruit de ses travaux.

Découvrez nos dernières actualités autour de la directive NIS 2 : 

Découvrez les différents épisodes de Focus NIS 2 :

Focus NIS 2 épisode 1 :

Focus NIS 2 épisode 2 :

Vous avez des questions concernant cette directive NIS 2 ? Découvrez notre FAQ ci-dessous.

Cette dernière est évolutive, nous la complèterons au fil des questions que vous nous faites remonter.

  1. Introduction
  2. Périmètre des entités concernées
  3. Obligations
  4. Organisation de la transposition nationale
  5. Supervision
  6. Accompagnement
  7. Organisation ANSSI
  8. Articulation avec les autres réglementations

Dernière mise à jour de la FAQ : 14/09/2023

 

Introduction

La transformation numérique des sociétés européennes et l’interconnexion des pays membres ont exposé le marché européen à de nouvelles cybermenaces. Il devenait alors urgent de garantir, collectivement, les conditions de sécurité adéquates pour toute l’Union européenne. C’est pourquoi le Parlement européen et le Conseil de l’Union européenne ont adopté, en juillet 2016, la directive « Network and Information Security » (NIS). Transposée au niveau national en 2018, cette directive avait pour objectif d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité stratégiques (ce qui représente quelques centaines d’entités en France). Avec ce premier dispositif, ces grands acteurs ont été soumis à l’obligation de déclarer leurs incidents de sécurité à l’ANSSI, et de mettre en œuvre les mesures de sécurité nécessaires pour réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cybers.

La directive NIS 2 s’appuie sur les acquis de la directive NIS 1 pour marquer un changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber.

Alors que la menace cyber augmente et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2 représente une opportunité unique : sa mise en application va permettre à des milliers d’entités de mieux se protéger. Elle va être l’occasion de mobiliser largement le tissu économique national et le secteur public. Elle amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe qui rassemble l’ANSSI et ses homologues européens

Selon le « Panorama de la cybermenace 2022 » de l’ANSSI, plus de 60 % des attaques qui sont remontées à l’ANSSI concernent des petites structures (PME/TPE/ETI et collectivités territoriales). L’ANSSI observe également une évolution des attaques qui ciblent désormais les chaînes de sous-traitance pour se rapprocher de leurs clients finaux. Promouvoir la sécurité numérique auprès d’entités ne disposant pas d’expertise en la matière et leur permettre de mettre en place les mesures de protection de base face à la cybercriminalité sont donc des enjeux essentiels du dispositif NIS 2.

Périmètre des entités concernées

A ce jour, la directive NIS 2 comprend des annexes 1 et 2 dans lesquelles il est indiqué les secteurs, sous-secteurs et les types d’entité concernés. Si votre entité se retrouve dans un des secteurs, sous-secteur et type d’entité et que vous respectez les critères de taille alors vous serez concerné par la directive NIS 2. En revanche, si vous ne retrouvez pas, à première vue, l’une des activités de votre entité dans ces annexes, alors les consultations sur le périmètre permettront d’obtenir des éléments complémentaires. En effet, certaines définitions présentes dans les annexes nécessitent de clarifier la portée de la directive. Ces consultations se feront avec les ministères de tutelle mais aussi avec les fédérations professionnelles des secteurs d’activité pour les acteurs économiques. Des consultations seront également effectuées avec les associations et les représentants d’élus pour les collectivités territoriales. Nous pensons par exemple au secteur de l’alimentation pour lequel la définition de la « distribution en gros » reste encore à clarifier.

La cyber-sécurisation des Outre-mer est un sujet important. Il le devient encore plus aujourd’hui car les cyberattaques contre les entités dans les Outre-mer peuvent rapidement avoir des conséquences significatives. La directive NIS 2 offre à l’ANSSI la possibilité de travailler sur le périmètre des collectivités territoriales mais aussi sur celui des Outre-mer. Nous allons donc étudier l’applicabilité de la directive en Outre-mer dans les prochaines semaines en lien avec les autorités locales.

L’ANSSI constate que le niveau de la menace contre les collectivités territoriales est élevé et cela a des effets délétères au niveau sociétal. La directive NIS 2 prévoit la régulation d’entités privées et des administrations publiques et offre la possibilité pour les Etats membres de réguler les collectivités territoriales. Cette régulation étant optionnelle, il est trop tôt pour détailler la manière dont les collectivités seront intégrées. Au regard de leur niveau de préparation et du niveau élevé de la menace à laquelle elles sont confrontées, il apparait cependant important de se saisir de cette opportunité.

Si votre entreprise est sur deux Etats membres de l’Union européenne, que vous réalisez une activité incluse dans les types d’entité des annexes 1 ou 2 et que vous disposez de 50 employés ou plus ou que le chiffre d’affaires de votre entreprise est supérieur à 10 millions d’euros, vous serez soumis à la directive NIS 2. En revanche, si vous souhaitez connaitre la juridiction, il faut se référer à l’article 26 de la directive NIS2 qui liste les différents cas particuliers en attendant la publication des textes réglementaires nationaux.

Effectivement, la règle de base impliquera une inclusion par défaut des entités en tant qu’entité essentielle (EE) ou entité importante (EI) via des critères tels que le secteur d’activité, le nombre d’employés et le chiffre d’affaires (liste non exhaustive). Pour les entités ne répondant pas aux critères précédents et aux seuils associés, la directive NIS 2 offre la possibilité aux autorités de désigner unitairement des entités supplémentaires – ce processus sera défini dans le cadre de la transposition nationale, et permettra, à la marge, de prendre en compte les cas très spécifiques.

Pour communiquer sur l’existence de la directive et attirer l’attention des entités sur leurs obligations, en parallèle des actions de communication propres à l’ANSSI, nous nous appuierons sur des relais sectoriels et/ou professionnels, que nous rencontrerons notamment dans le cadre des consultations au deuxième semestre 2023.

La directive prévoit effectivement un mécanisme d’ajustement du périmètre de base permettant d’affiner la liste des entités concernées, au regard de spécificités propres à chaque Etat membre de l’UE.

Ainsi, dans le cas où le critère de taille n’est pas atteint, il pourra être envisagé d’intégrer par désignation, au sein du périmètre qui sera définit lors des travaux de transposition :

  • les entités ayant des monopoles d’activité essentielle au maintien d’activités sociétales ou économiques critiques ;
  • les entités réalisant des activités pouvant  avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;
  • les entités réalisant des activités transfrontières pouvant avoir un impact systémique ;
  • les entités ayant une importance spécifique au niveau national ou régional.

Enfin, la directive prévoit également un mécanisme d’exclusion pouvant impacter des entités réalisant des activités en lien avec la défense et la sécurité nationale. Plus précisément, cela concernera uniquement les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi.

Les modalités de gestion de ces cas particuliers seront définies au cours des travaux de transposition.

A l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les principaux critères d’intégration ont été définis au niveau européen. Il s’agit principalement du nombre d’employés, du chiffre d’affaires et de la nature de l’activité réalisée par l’entité.

Les acteurs de la chaîne d’approvisionnement, dont les acteurs du numérique, seront soumis au dispositif. Ces acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques. Ils verront donc également leur niveau de sécurité numérique renforcé. Autre nouveauté, les administrations centrales des Etats membres ainsi que certaines collectivités territoriales intègreront également le périmètre de NIS 2.

Obligations

Il est un peu tôt pour mettre à disposition un document qui regroupe toutes les exigences réglementaires de NIS 2 : certaines exigences devraient s’appliquer à l’échelle nationale sans être modifiées comme la communication de certains contacts, tandis que d’autres doivent encore être déclinées au niveau national comme par exemple les mesures de cybersécurité. Ces mesures de sécurité seront accompagnées de guides et d’une assistance à la mise en œuvre qui dépendra du niveau des exigences de sécurité qui reste encore à définir.

Suivant les secteurs, les ETI qui seront concernées par la directive se retrouveront pour certaines considérées comme entités importantes (EI) et, pour d’autres, considérées comme entités essentielles (EE). En fonction de leur statut (EE ou EI) et compte tenu du principe de proportionnalité, elles ne seront pas soumises aux mêmes exigences. Les exigences applicables aux EI et EE feront l’objet de consultations avec les acteurs concernés afin de tenir compte de leurs réalités.

Pas à ce stade. Ces deux mesures de protection efficaces peuvent être affiliées aux mesures de NIS 2 qui sont présentes dans la directive. Le retour d’expérience de nos activités opérationnelles confirme l’importance de ces mécanismes de défense qui auraient pu réduire significativement l’impact d’un grand nombre de cyberattaques pour lesquelles l’ANSSI est intervenue. L’agence n’ignore pas non plus le coût économique et opérationnel de ces mesures. Afin de respecter le principe de proportionnalité, un juste équilibre devra être trouvé pour la prise en compte de ces mesures.

NIS 2 apporte une évolution majeure, l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. En règle générale et sauf cas particuliers, les entités essentielles sont celles réalisant des activités dans les secteurs catégorisés comme hautement critiques (cf.  annexe 1 de la directive NIS 2), et disposant de plus de 250 salariés (en équivalent temps plein) ou avec un chiffre d’affaires supérieur à 50 millions d’euros. L’ANSSI compte s’appuyer sur cette notion pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories.

Cette question est complexe car il y a autant de réponses possibles que d’entités. Tout dépend de l’état actuel du niveau de sécurité numérique de l’entité. Si certaines sont déjà bien avancées en la matière, pour d’autres, beaucoup reste à faire. A cela s’ajoutent la dépendance de l’entité aux technologies numériques, le nombre d’équipements numériques dont elle dispose et le nombre de personnes en charge de la sécurité numérique qu’elle peut mobiliser. L’ANSSI accompagne les entités privées et publiques dans leur réflexion et propose aussi bien des outils de diagnostic (MonServiceSécurisé…) que des parcours de sécurité pour qu’elles puissent augmenter rapidement et de manière efficace leur niveau de maturité cyber. En parallèle, nous envisageons un potentiel mécanisme de présomption de conformité que pourrait offrir le recours à des prestations qualifiées par l’ANSSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI), Prestataires de Détection d’Incidents de Sécurité (PDIS), Prestataires de Réponse aux Incidents de Sécurité (PRIS), etc.).

Les mesures appliquées seront celles nativement identifiées dans la directive européenne, complétées ou précisées par un ensemble d’exigences relatives à la gestion des risques. Ce complément reprendra en grande partie ce qui est actuellement pratiqué au titre de l’actuelle réglementation NIS. Le détail de ces mesures reste encore à définir au niveau national, notamment au regard du principe de proportionnalité à intégrer entre les entités essentielles et les entités importantes.

Organisation de la transposition nationale

La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024. Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité.

La consultation sur le périmètre sera la même quel que soit le secteur. L’objectif sera de préciser les définitions des types d’entité concernés et de s’assurer de la bonne compréhension mutuelle entre l’administration et les futures entités régulées au sein de chaque secteur. Nous voulons nous assurer qu’aucun doute ne subsiste quant aux entités concernées par NIS 2, et cela pour tous les secteurs concernés sans distinction.

La co-construction prévue par l’ANSSI débutera par une phase de consultation autour de trois thématiques. Elle aura donc pour objectif de définir précisément :

  1. Le périmètre des entités assujetties (T3 2023),
  2. Les modalités d’interaction entre l’ANSSI et les entités assujetties (T3 2023),
  3. Les exigences de cybersécurité en matière de gestion des risques (T4 2023).

Cette phase de consultation permettra d’échanger avec les secteurs d’activités concernés pour prendre connaissance de leur vision et s’accorder sur un langage commun, indispensable à l’intégration des obligations émanant de la directive européenne. L’ANSSI est convaincue que cela augmentera la pertinence du dispositif qui sera mis en place au niveau national et en facilitera la prise en main avec les futurs assujettis.

Une seconde phase de co-construction consistera ensuite à affiner les processus et les moyens qui devront être mis en œuvre pour accompagner les futurs opérateurs régulés dans l’application de la réglementation NIS 2. Cela permettra notamment d’aider les entités à comprendre comment elles sont concernées par la réglementation, à les assister dans leurs obligations d’information auprès de l’autorité nationale, et de les accompagner dans la compréhension et la mise en oeuvre des exigences de gestion des risques.  

Afin de respecter l’échéance européenne fixée en octobre 2024, l’ANSSI envisage deux temps :

  • La phase de préparation du projet de loi en 2023, en vue de sa présentation au Parlement et de son adoption au plus tôt pendant l’année 2024 ;
  • La phase de production des décrets et arrêtés qui aboutira à l’issue des consultations, afin de les soumettre à une validation interministérielle pour publication des textes dans les mois suivants la promulgation de la loi.

Supervision

L’ANSSI aura la capacité de réaliser des contrôles pouvant amener à des injonctions en cas de non-conformité identifiée. Dans ce cadre, l’agence travaille actuellement à la définition des mécanismes de contrôle qui seront adaptés au passage à l’échelle que représente NIS 2. L’ANSSI travaille également à faciliter ses interactions avec les entités régulées notamment au travers d’un portail numérique qui permettra également de mettre à disposition des solutions de sécurisation.

 

Un des éléments importants de la directive concerne le renforcement de son régime de sanction, qui s’appliquera aux entités assujetties. Le mécanisme prévu pourra selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée, à l’image de ce qui est prévu dans le Règlement Général sur la Protection des Données (RGPD) (2 % pour les entités essentielles et 1,4 % pour les entités importantes). Concernant l’organisation et les processus à mettre en place pour instruire les dossiers et prononcer des pénalités, plusieurs scénarios sont en cours d’étude et il est encore un peu tôt pour en préciser les contours.

Accompagnement

En tant qu’autorité nationale en matière de sécurité numérique, l’ANSSI a toujours veillé à mettre en œuvre des programmes d’accompagnement des organisations adaptés à leur profil. Elle met quotidiennement en œuvre des actions de conseil, de partage d’expertise et d’assistance opérationnelle, tout en favorisant le développement de produits de sécurité et de services de confiance. L’attitude de l’ANSSI a toujours été celle d’un régulateur bienveillant vis-à-vis des entités coopératives, en donnant la priorité à l’accompagnement. Avec la directive NIS 2, l’objectif reste inchangé : élever le niveau global de sécurité numérique en France en permettant aux entités concernées de mieux se protéger face à la menace.

L’ANSSI est d’ores-et-déjà mobilisée pour préparer la transposition de la directive et elle a engagé un dialogue avec les organisations regroupant les parties prenantes. Elle amorce ainsi une démarche de co-construction avec les futures entités régulées afin de s’assurer de la pertinence et de la soutenabilité des exigences réglementaires : cette démarche permettra d’obtenir un niveau de préparation au risque cyber à la fois ambitieux et réaliste. L’ANSSI est bien consciente que certaines entités découvriront concrètement les enjeux de la cybersécurité. Son accompagnement se matérialisera par une action de sensibilisation et, si nécessaire, la mise à disposition de nouveaux outils.

L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes entreprises qui intègreront le périmètre, le guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre. En outre, les futures exigences de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et déjà entrepris par les opérateurs seront valorisés dans NIS 2. L’ANSSI a bien identifié cette nécessaire continuité comme une priorité de la transposition de NIS 2.

Organisation de l’ANSSI

Les implications de NIS 2 sur l’organisation de l’ANSSI sont conséquentes, notamment au regard de la démultiplication à venir des entités régulées. L’enjeu pour l’ANSSI sera d’adapter son dispositif et ses méthodes afin de maintenir un effort substantiel sur ce qui a fait le succès de son action jusqu’à présent : le conseil et l’accompagnement.

A cette fin, les modes d’action de l’ANSSI devront probablement évoluer, notamment vers plus de services à grande échelle ainsi qu’une capacité à atteindre des publics parfois éloignés face au sujet de la cybersécurité.

A côté de ces activités, l’ANSSI devra renforcer son activité de contrôle afin de crédibiliser cette réglementation et toucher de manière effective les milliers d’entités concernées. A cette fin, les processus et l’organisation de l’ANSSI devront naturellement s’adapter.

Le passage à l’échelle est un des enjeux majeurs de transposition de la directive NIS 2. Dans la continuité de son action et des services déjà déployés (MonServiceSécurisé…), l’ANSSI envisage de déployer de nouveaux services (numériques pour certains) permettant d’interagir avec les futurs milliers d’entités régulées par NIS 2. Il s’agira d’apporter un support aussi bien en termes de respect de la réglementation (compréhension des attentes de l’autorité) qu’en termes d’accompagnement (compréhension des enjeux et clarification des actions à mettre en place en interne des entités).

Articulation avec les autres réglementations

Le RGPD et la directive NIS 2 sont deux cadres réglementaires distincts avec des autorités régulatrices différentes. La directive NIS 2 traite des systèmes d’information et de la continuité d’activité alors que le RGPD traite des données à caractère personnel.

La notion de DPO, qui est pertinente pour le RGPD, n’est pas entièrement transposable dans NIS 2 comme elle ne l’était déjà pas dans NIS 1. Cependant, l’ANSSI ne sera pas prescriptive sur le rôle du DPO. Dès lors, rien ne s’opposera à l’utilisation du dispositif RGPD et des DPO s’ils concourent aux objectifs de NIS 2. Ce qui a été mis en place au titre du RGPD est potentiellement mutualisable avec la directive NIS 2 et ce sera à chaque entité de déterminer le meilleur fonctionnement possible.

Certains OIV seront régulés au titre de NIS 2, et d’autres non. Nous avons donc prévu, dans le cadre de la transposition en droit national de NIS 2, d’embarquer dans les textes, que ce soit au niveau législatif ou réglementaire, des mesures d’articulation entre ces deux régimes que nous rapprocherons autant que possible.

Nous avons l’ambition que cette transposition ne crée pas de complexité additionnelle au niveau réglementaire, voire nous permette de simplifier l’existant. Nous avions déjà engagé l’harmonisation des régimes applicables aux OIV et aux OSE durant la transposition de NIS en 2018, mais il faut chercher à améliorer encore l’articulation des différents dispositifs applicables à une même entité. Pour cela, nous avons à cœur de prendre en compte le point de vue des entités, ce que permettront les consultations à venir.

Le CRA est un projet de règlement européen ayant pour objectif de définir des règles de cybersécurité minimum pour les produits composé d’un ou plusieurs éléments numériques vendus sur le marché de l’UE. Il est donc complémentaire à la directive NIS 2 qui traite d’opérateurs de services. De manière simplifiée, le CRA visera à sécuriser les produits numériques utilisés dans l’UE par les entreprises et le grand public alors que NIS 2 a pour objectif de sécuriser les moyens de production des entreprises et administrations de l’UE.

La directive NIS 2 prévoit des mécanismes de fonctionnement rapprochés entre les autorités nationales NIS 2 et les autorités d’autres réglementations, en particulier avec la Commission nationale de l’informatique et des libertés (CNIL) au regard du RGPD et l’Autorité de contrôle prudentiel et de résolution (ACPR) pour le règlement Digital operationnel resilience act (DORA) pour le secteur de la finance. L’ANSSI a l’intention de saisir l’opportunité offerte par la directive NIS 2 pour réviser l’articulation des cadres réglementaires existants en matière de cybersécurité, avec pour objectifs leur homogénéisation et leur mise en cohérence.