La directive NIS 2, c’est quoi ?

La directive NIS 2 (Network and Information Security), également connue sous l'appellation de Directive sur la sécurité des réseaux et des informations, constitue un jalon clé dans l'évolution de la cyber-résilience à l'échelle de l'Union européenne. Publiée dans le Journal Officiel de l'Union européenne en décembre 2022, cette directive s'inscrit dans un contexte où les menaces de cybersécurité se multiplient, et où les systèmes d'information demeurent, en partie, vulnérables.

En tant que directive européenne, la NIS 2 joue un rôle central dans le renforcement de notre résilience face aux risques cyber. Elle exige l'adoption de mesures de cybersécurité de bon niveau pour les systèmes d'information des infrastructures critiques et sensibles au sein des Etats membres de l'Union. Cette nouvelle mouture de la directive représente un progrès significatif pour l'amélioration de notre capacité à résister aux cybermenaces et pour la préservation de notre souveraineté numérique.

Transposition de la directive européenne NIS 2 en droit français

La Directive NIS 2 représente une évolution significative par rapport à sa prédécesseure de 2016, NIS 1, qui a été transposée en droit français en 2018. En effet, elle opère une extension de la portée réglementaire, en s’appliquant à un spectre plus large de secteurs d’activité, dans le but d’intensifier et de consolider les normes de cybersécurité à travers l’Union européenne.

Dans le détail, cette initiative réglementaire inclut des aspects essentiels tels que :

• la gestion des risques associés aux partenaires tiers,
• l’harmonisation des procédures de notification d’incidents,
• et l’instauration de contraintes rigoureuses en termes de mise en œuvre.

En substance, la Directive NIS 2 mandate un grand nombre d’entités à établir un cadre robuste pour la gestion des risques de cybersécurité, visant ainsi à élever le niveau général de cyber-résilience au sein de l’UE.

Par ailleurs, chaque Etat membre de l’UE est tenu de transposer la Directive NIS 2 dans sa législation nationale, au plus tard en octobre 2024. En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), en sa qualité d’autorité nationale en matière de cybersécurité et de cyberdéfense, assumera le rôle de régulateur. Elle veillera à l’application stricte de la législation nationale, se réservant le droit d’imposer des sanctions administratives sévères et de prendre des mesures correctives en cas de non-conformité.

Pour rappel, depuis le début de l’année 2023, l’ANSSI a massivement communiqué sur les grandes lignes de cette évolution majeure de la réglementation en matière de cybersécurité. Elle a aussi communiqué sur les différentes étapes de sa transposition à l’échelle nationale, notamment au travers d’un webinaire dédié à NIS 2, disponible sur le site web de l’ANSSI. En outre, tout au long des travaux de transposition, l’ANSSI continuera à partager le fruit de ses travaux en la matière, particulièrement au sujet de la préparation du projet de loi, dont la date de soumission au Parlement est prévue courant 2024. S’agissant dudit projet de loi, il faut savoir que l’ANSSI a démarré les travaux de co-construction avec les fédérations professionnelles représentant les secteurs concernés par NIS 2, et bientôt avec les associations d’élus et les différents représentants des collectivités territoriales.

Quelques clarifications de l’ANSSI sur la date d’entrée en vigueur de NIS 2

L’Agence Nationale de la Sécurité des Systèmes d’Information fournit des éclaircissements précis sur la date d’entrée en vigueur de NIS 2.

Au niveau européen, il faut savoir que la directive est déjà effective depuis la fin du mois de décembre 2023. Selon les directives émises, chaque Etat membre de l’UE dispose d’un délai pour transposer ces nouvelles réglementations dans son droit national, qui doit être respecté avant le 17 octobre 2024 au plus tard.

L’ANSSI insiste sur l’importance de respecter cette timeline pour l’adoption de la directive, bien que le processus de transposition ne soit pas entièrement sous son contrôle. En effet, le processus législatif implique des consultations obligatoires, ainsi que des étapes de validation par le Conseil d’Etat ou le Parlement, pouvant entraîner des révisions du texte qui nécessitent du temps. L’ANSSI rappelle toutefois qu’à ce stade, il n’existe pas de date précise concernant la mise en application de la Directive NIS 2 au niveau national.

Par ailleurs, il est essentiel de noter que la date d’entrée en vigueur de la directive au niveau national ne coïncide pas avec le début de la période d’application des exigences. Une fois la directive mise en œuvre au niveau national, l’ANSSI souligne que les organisations concernées disposeront de 21 mois pour se conformer aux différentes exigences stipulées ( avant la mise en oeuvre de sanctions).

NIS 2 et ISO 27001 : des points communs

La Directive NIS 2 et la norme ISO 27001:2022 constituent deux cadres de référence majeurs dans le domaine de la sécurité de l'information, chacun se distinguant par ses origines, sa portée et ses objectifs spécifiques. La NIS 2, acte juridique de l'Union Européenne, définit les exigences minimales en matière de cybersécurité pour certaines entités et fournisseurs de services opérant au sein de l'UE. D'autre part, la norme ISO 27001:2022, émise par l'Organisation Internationale de Normalisation (ISO), est une norme volontaire qui fournit un cadre pour l'établissement et le maintien d'un Système de Management de la Sécurité de l'Information (SMSI) applicable à toute organisation, quelle que soit sa taille ou son secteur d'activité.

Concrètement, bien que la NIS 2 et l'ISO 27001:2022 partagent l'objectif commun d'améliorer la sécurité des informations, la principale différence réside dans le caractère obligatoire de la NIS 2 pour certaines organisations au sein de l'UE, contrairement à l'ISO 27001:2022, qui demeure une démarche volontaire pour les entités souhaitant certifier leur système de gestion de la sécurité de l'information. Les deux directives se rencontrent également au niveau de la politique de risques et la gestion d’incidents, entre autres.

Les entités certifiées ISO 27001 auront plus de facilité pour respecter la Directive NIS 2.

NIS 2 : quelles sont les entreprises concernées ?

La Directive NIS 2 vise près de 600 types d'entités, englobant plus de 10 000 entités variées, allant des Entreprises de Taille Intermédiaire (ETI) jusqu'aux grandes sociétés cotées sur le CAC40, réparties à travers 18 secteurs d'activité distincts.

Ces secteurs, définis dans le texte de la directive, sont classés en deux grandes catégories : les secteurs hautement critiques et les secteurs critiques.

• Secteurs hautement critiques : Banque, santé, infrastructure numérique et gestion des services TIC, transports, eau potable, énergie, infrastructures des marchés bancaires et financiers, gestion des eaux usées, administration publique et espace ;
• Autres secteurs critiques : fournisseurs numériques, gestion des déchets, production, transformation et distribution des denrées alimentaires, recherche, fabrication, production et distribution de produits chimiques, fabrication, services postaux et d’expédition.

En vertu de cette nouvelle classification, les entités opérant dans ces domaines seront désormais identifiées comme entités importantes (EI) ou entités essentielles (EE), une distinction qui marque une évolution par rapport à la précédente nomenclature de la directive NIS, qui se concentrait sur les « Opérateurs de Services Essentiels » (OSE) et les « Fournisseurs de Services Numériques » (FSN).

Pour plus d’informations, n’hésitez pas consulter le texte de la Directive européenne NIS 2, disponible ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022L2555