La directive NIS-2 (Network and Information Systems Directive) est une étape importante dans le renforcement de la cybersécurité au sein de l'Union européenne (UE). Nous souhaitons vous présenter les vastes répercussions de la directive NIS-2 sur les entreprises et les institutions publiques de toute l'UE.
Contexte et objectifs de la directive NIS-2
La directive NIS initiale a été adoptée en 2016 et a constitué le premier cadre juridique de l'UE en matière de cybersécurité. Elle obligeait les États membres à mettre en place des stratégies nationales de cybersécurité et définissait des exigences pour les opérateurs de services essentiels et les fournisseurs de services numériques.
La directive NIS-2, publiée au Journal officiel de l'Union européenne L333 le 27 décembre 2022, actualise et étend considérablement le cadre existant. Son objectif principal est de répondre à la complexité et à l'interconnexion croissantes des systèmes numériques ainsi qu'à l'augmentation des cybermenaces. Il s'agit d'améliorer la résilience des infrastructures critiques et de garantir un niveau de sécurité commun élevé au sein de l'UE.
Voici les principales nouveautés de la directive NIS-2
- Champ d'application élargi
La directive NIS 2 couvre un plus large éventail de secteurs et d'entreprises. Outre les domaines déjà couverts par la directive NIS (par exemple l'énergie, les transports, la santé, la finance), d'autres secteurs sont désormais inclus, tels que l'administration publique, l'espace, l'approvisionnement alimentaire et l'infrastructure numérique. - Des exigences de sécurité plus strictes
Les exigences en matière de sécurité des réseaux et des systèmes d'information ont été considérablement renforcées. Les entreprises sont désormais tenues de prendre des mesures plus complètes pour se protéger contre les cyberattaques et de vérifier régulièrement leur efficacité. - étendu Obligations de déclaration
La directive renforce les obligations de notification des incidents de sécurité. Les entreprises sont tenues de notifier les incidents significatifs aux autorités compétentes dans les 24 heures et de fournir des informations supplémentaires détaillées dans les 72 heures. - Responsabilité et sanctions
La directive NIS-2 introduit des règles plus strictes en matière de responsabilité et de sanctions. Les entreprises qui ne respectent pas leurs obligations s'exposent à de lourdes amendes et à d'autres conséquences juridiques. - Amélioration de la coopération et de la coordination
La directive encourage une coopération plus étroite entre les États membres de l'UE, notamment par la création d'un centre européen de cybersécurité. Ce centre a pour mission d'améliorer la coordination et l'échange d'informations entre les autorités nationales et de soutenir une réponse commune aux cybermenaces transfrontalières.
Les défis de la mise en œuvre de la directive NIS-2
La mise en œuvre de la directive NIS 2 pose des défis considérables aux États membres et aux entreprises. Il s'agit notamment
- Adaptations juridiques : Chaque pays de l'UE doit adapter ses lois et réglementations nationales aux nouvelles exigences. Cela nécessite une étroite collaboration entre les législateurs nationaux et les institutions européennes.
- l'investissement en ressources : Le respect des nouvelles exigences de sécurité nécessite des investissements importants en termes de technologies, de personnel et de formation. Les petites et moyennes entreprises (PME), en particulier, pourraient avoir des difficultés à fournir les ressources nécessaires.
- Le changement culturel : Il est essentiel de créer une forte culture de la sécurité au sein des entreprises. Cela nécessite un changement de mentalité à tous les niveaux de l'organisation et l'établissement de la cybersécurité comme priorité centrale de l'entreprise.
État de l'adaptation juridique de NIS-2 dans les pays de l'UE
Au plus tard le 18 octobre 2024, les directives de l'UE devront être mises en œuvre dans les États membres par le biais de lois nationales.
Trois des 27 États membres de l'UE ont déjà procédé à l'adaptation juridique et publié les dispositions correspondantes dans leurs journaux officiels respectifs : la Belgique, la Croatie et la Hongrie.
Des projets ont déjà été présentés en Allemagne, en Finlande, en Italie, en Lettonie, au Luxembourg, aux Pays-Bas, en Autriche, en Pologne, en Slovaquie, en Slovénie, en République tchèque et à Chypre.
Dans les douze autres États membres de l'UE, le calendrier de mise en œuvre n'est pas encore connu. Il faut s'attendre à ce que le délai ne soit pas respecté dans l'un ou l'autre pays.
Conseil de lecture : L'importance de la gouvernance pour les entreprises
Ces entreprises et institutions sont concernées par NIS-2
En principe, les entreprises de 50 salariés et plus ayant un chiffre d'affaires annuel d'au moins 10 millions d'euros sont concernées.
En outre, la directive NIS-2 s'adresse aux établissements et entreprises "essentiels" et "importants".
Parmi les établissements essentiels ("essential"), on trouve les entreprises ayant une importance capitale pour la collectivité. Leur défaillance aurait de graves conséquences. La NIS-2 cite concrètement onze domaines :
- Énergie (électricité, chauffage urbain, pétrole, gaz naturel, hydrogène)
- Transports (aériens, ferroviaires, maritimes, routiers)
- Secteur bancaire
- Marchés financiers
- Santé (y compris les prestataires de soins de santé, la recherche médicale, les produits pharmaceutiques, les appareils médicaux)
- Eau potable (approvisionnement en eau)
- Eaux usées (évacuation des eaux usées)
- Administrations publiques
- Infrastructure numérique (nœuds Internet, fournisseurs de cloud, centres de données, communication électronique)
- Gestion des services TIC (B2B) (Fournisseurs de services gérés, Fournisseurs de services de sécurité gérés)
- Espace
Les sept secteurs suivants sont considérés comme des établissements importants ("important") :
- Services postaux et de courrier
- Déchets
- Alimentation
- Produits chimiques
- Services numériques ( moteurs de recherche, places de marché en ligne, services cloud, réseaux sociaux),
- Industrie (entre autres construction mécanique, construction automobile, appareils de traitement de données)
- Recherche
Si la taille de l'entreprise et le secteur d'activité coïncident, la directive NIS-2 s'applique. Si une entreprise exerce une activité critique et qu'une défaillance de cette activité risque d'avoir des répercussions sur l'ordre public, elle peut également être soumise à la NIS-2 si la taille de l'entreprise n'a pas été atteinte.
Toutefois, la directive NIS2 ne s'applique pas aux entités exerçant des activités dans des domaines tels que la défense , la sécurité nationale, la sécurité publique et l'application de la loi. Elle ne s'applique pas non plus à la justice, aux parlements et aux banques centrales.
Conclusion : à partir de l'automne 2024, les entreprises et les institutions publiques sont appelées à mettre en œuvre rapidement les nouvelles exigences et à se prémunir de manière proactive contre les cyber-risques. C'est la seule façon de garantir un niveau élevé de sécurité et de confiance dans l'infrastructure numérique de l'UE.