NIS 2 : l'Europe élargit le champ des organisations soumises à des obligations cyber

Les pays européens ont désormais deux ans pour transcrire en droit national la directive NIS 2. Ce texte élargit le périmètre des secteurs soumis à des obligations et détaille le contenu des stratégies nationales que chaque Etat membre doit mettre en place. Du fait de leurs compétences sur les réseaux et certains services critiques, les territoires seront nécessairement impactés. Le périmètre précis des collectivités concernées est néanmoins laissé à l’arbitrage du Parlement.

La directive NIS 2 (Network and Information Systems Directive), publiée au Journal officiel de l’Union européenne le 27 décembre 2022, entre en application le 17 janvier 2023. Successeur de la directive NIS 1 adoptée en 2016, ce texte vise à renforcer la résilience cyber des pays européens en étendant le périmètre des secteurs soumis à des obligations cyber. Il vise aussi à harmoniser les stratégies nationales et la coordination entre Etats membres.

Entités essentielles et entités importantes

La particularité de ce texte est de ne plus se limiter à quelques opérateurs d’importance vitale comme le prévoyait la directive NIS 1. Il étend le nombre de secteurs soumis à des obligations en les appliquant à l’ensemble de la chaine de sous-traitance. Pour limiter l’impact de l’application de NIS 2, un seuil de 50 salariés a été prévu mais les Etats peuvent y déroger pour des raisons de criticité de certains "petits" acteurs. La directive distingue les entités "essentielles" des entités "importantes", chaque secteur étant détaillé en annexe de la directive.
Les entités essentielles passent de 7 à 11 et comprennent :
- l’énergie,
- les transports,
- le secteur bancaire,
- les infrastructures des marchés financiers,
 -la santé,
- l’eau potable,
 -les eaux usées, 
 -les infrastructures numériques,
- la gestion des services TIC,
 -les administrations publiques
- et l’espace.

Les 8 entités importantes sont :
- les services postaux et d’expédition,
- la gestion des déchets,
- la fabrication,
- production et distribution de produits chimiques,
- la production,
- la transformation et distribution des denrées alimentaires (donc les cantines),
- la fabrication,
- les fournisseurs numériques et la recherche.


Selon certaines estimations, le nombre d’entités concernées devrait être multiplié par 10 par rapport à la directive NIS 1.

Collectivités concernées à définir

Essentielles ou importantes, les obligations seront les mêmes, seul le mécanisme de supervision varie. Les entités essentielles pourront subir des contrôles inopinés (ex ante), les entités importantes n’y étant soumises qu’en cas d’incident cyber (ex post). Compte tenu des compétences des territoires dans le domaine des réseaux (énergie, télécoms, transports…) et de services essentiels (eau, déchets, santé…), de nombreuses entités publiques locales vont devoir se mettre en conformité avec la directive NIS 2 (si ce n’était pas déjà le cas puisque jusqu’à présent la liste précise des opérateurs d’importance vitale n’était pas publique). L’intégration de l’ensemble des administrations locales et des établissements d’enseignements est en revanche laissée à l’arbitrage des Etats membres (art.2-5-a). Cette clause a été très débattue, la France étant notamment soucieuse de fixer des obligations contrôlables. Il restera à savoir où les pouvoirs publics décideront de mettre la barre et sur quels critères (population, effectifs ?). Si les résultats mitigés de la mise en place du RGPD sur la strate communale plaident pour une limitation des entités soumises à obligations, l’interdépendance numérique entre administrations plaide pour des obligations élargies.

Sanctions financières et pénales

Les organisations concernées par la directive NIS 2 auront pour obligation de désigner un responsable ; d’identifier et d’évaluer régulièrement les risques cyber en intégrant la sous-traitance ; de mettre en place des mesures de protection et de résilience des réseaux et systèmes d’information ; de coopérer avec les autorités compétentes en cas d’incident de sécurité et, enfin, de notifier les incidents significatifs aux CERT (Computer Emergency Response Team). Sur le même mode que le RGPD, la directive prévoit que chaque Etat définisse des sanctions "efficaces, proportionnées et dissuasives" en cas de non-respect des obligations. Il peut s’agir d’amendes (jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires) mais aussi de sanctions pénales visant les dirigeants des organisations qui auraient fait preuve de négligences. Les contrevenants pourront aussi se voir imposer des mesures de réparation.

Coordination et plan de reprise

La directive impose enfin à chaque Etat de définir une stratégie de cybersécurité nationale selon un schéma commun. On retrouve dans l’architecture retenue par l’Europe l’organisation cyber déjà en place en France : autorité nationale chargée de la définition des normes et de leur contrôle (Anssi), création d’un point de contact et de centres de réponse aux incidents (Cybermalveillance, CSIRT). Le texte devrait cependant permettre de clarifier les rôles des parties prenantes et renforcer les mécanismes de coordination. Les Etats devront aussi veiller à la prise en compte de "la chaine d’approvisionnement" des produits et services TIC et intégrer des clauses cyber (matériel certifié, chiffrement…) dans leurs marchés publics. La stratégie inclut également un inventaire des mesures "garantissant la préparation, la réaction et la récupération des services après incident, y compris la coopération entre les secteurs public et privé". On notera enfin l’obligation de proposer "un plan de sensibilisation" des citoyens à la cybersécurité.

Contrairement à un règlement européen, d’application immédiate comme pour le RGPD, les obligations ne s’appliqueront que lorsque la directive aura été transposée en droit national. Cette retranscription doit intervenir au plus tard le 17 octobre 2024. La liste des entités essentielles et importantes concernées devra être communiquée à Bruxelles au plus tard le 17 avril 2025.