Directive NIS 2 : ce qui va changer pour les entreprises et l’administration françaises

1. En 2016, le Parlement et le Conseil de l’UE ont adopté une première série de mesures concernant la cybersécurité du marché européen. En quoi consistait exactement cette directive connue sous le nom de NIS 1 ?

La transformation numérique des sociétés européennes et l’interconnexion des pays membres ont exposés le marché européen à de nouvelles cybermenaces. Il devenait alors urgent de garantir, collectivement, les conditions de sécurité adéquates pour toute l’Union européenne. C’est pourquoi le Parlement européen et le Conseil de l’Union européenne ont adopté, en juillet 2016, la directive « Network and Information Security » (NIS). Transposée au niveau national en 2018, cette directive avait pour objectif d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité (ce qui représente quelques centaines d’entités en France). Avec ce premier dispositif, ces grands acteurs ont été soumis à l’obligation de déclarer leurs incidents de sécurité à l’ANSSI, et de mettre en œuvre les mesures de sécurité nécessaires pour réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cybers.

2. Qu’est-ce qui va changer avec l’adoption de la directive NIS 2 ?

La directive NIS 2 est extrêmement ambitieuse. Elle s’appuie sur les acquis de la directive NIS 1 pour marquer un réel changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber.

3. Pourquoi cette directive revêt une telle importance stratégique pour les pays membres de l’Union Européenne ?

Alors que la menace complexe, professionnelle et en constante évolution ne faiblit pas et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2 représente une opportunité unique : sa mise en application va permettre à des milliers d’entités de mieux se protéger. Elle va être l’occasion de mobiliser largement le tissu économique national et le secteur public. Elle amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe qui rassemble l’ANSSI et ses homologues européens.

4. Quand est-ce que la directive NIS 2 entrera en vigueur ?

La directive, publiée le 27 décembre 2022 au Journal Officiel de l’Union Européenne, prévoit un délai de 21 mois pour que chaque Etat membre de l’UE transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au deuxième semestre 2024, au plus tard. Certaines exigences seront d’application directe et d’autres devraient être soumises à un délai de mise en conformité.

5. Concrètement, qui sera concerné par le nouveau périmètre d’application de NIS 2 ?

A l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.

6. Qu’en est-il des acteurs de la chaine d’approvisionnement, des administrations et des collectivités territoriales ?

Les acteurs de la chaîne d’approvisionnement, dont les acteurs du numérique, seront soumis au dispositif. Ces nombreux acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques. Ils verront donc également leur niveau de sécurité numérique renforcé. Autre nouveauté, et non des moindres, les administrations centrales des Etats-membres ainsi que certaines collectivités territoriales intègreront également le périmètre de NIS 2.

7. Toutes les nouvelles entités concernées seront-elles soumises aux mêmes obligations ?

NIS 2 apporte une deuxième évolution majeure. L’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’ANSSI compte s’appuyer sur cette notion pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories.

8. La directive NIS 2 est-elle également synonyme d’un renforcement du régime de sanction ?

Le troisième élément majeur de la directive concerne effectivement le renforcement de son régime de sanction, qui s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée.

9. Est-ce que la méthode de l’ANSSI va changer avec cette nouvelle règlementation ?

En tant qu’autorité nationale en matière de sécurité numérique, l’ANSSI a toujours veillé à mettre en œuvre des programmes d’accompagnement des organisations adaptés à leur profil. Elle met quotidiennement en œuvre des actions de conseil, de partage d’expertise et d’assistance opérationnelle, tout en favorisant le développement de produits de sécurité et de services de confiance. L’attitude de l’ANSSI a toujours été celle d’un régulateur bienveillant vis-à-vis des entités coopératives, en donnant la priorité à l’accompagnement plutôt qu’au contrôle. Avec la directive NIS 2, l’objectif reste inchangé : élever le niveau global de sécurité numérique en France en permettant aux entités concernées de mieux se protéger face à la menace.

10. Quel type d’accompagnement peuvent attendre de l’ANSSI les entités susceptibles d’être concernées par NIS 2 ?

L’ANSSI est d’ores et déjà mobilisée pour préparer la transposition de la directive et a engagé un dialogue avec les associations regroupant toutes les parties prenantes. Elle amorce ainsi une démarche de co-construction avec les futures entités régulées afin de s’assurer de la pertinence et de la soutenabilité des exigences réglementaires : cette démarche permettra d’obtenir un niveau de préparation au risque cyber à la fois ambitieux et réaliste. L’ANSSI est bien consciente que certaines entités découvriront concrètement les enjeux de la cybersécurité. Son accompagnement se matérialisera par une action de sensibilisation et, si nécessaire, la mise à disposition de nouveaux outils.

11. Comment les entités qui sont concernées par NIS 2 peuvent se préparer à sa transposition dans le droit national ?

L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes entreprises qui intègreront le périmètre, le Guide des TPE/PME constitue par exemple une base solide de mesures concrètes et pérennes. Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre. En outre, les futures exigences de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et déjà entrepris par les opérateurs seront valorisés dans NIS 2. L’ANSSI a bien identifié cette nécessaire continuité comme une priorité de la transposition de NIS 2.

12. L’ANSSI va-t-elle communiquer à nouveau sur le sujet ?

L’ANSSI communiquera sur la directive NIS 2 tout au long de la transposition à l’échelle nationale, partageant à l’ensemble du public le fruit de ses travaux. Nous inviterons d’ailleurs toutes les entités susceptibles d’être concernées par la directive à un rendez-vous dédié à NIS 2, dès le premier semestre 2023.