La directive NIS 2 (Network and Information Security, version 2) vise à harmoniser et à renforcer la cybersécurité sur le territoire européen. Publiée au journal officiel de l’UE du 14 décembre 2022, elle devra être transposée par les Etats-membres d’ici le 18 octobre 2024.

Contexte

La stratégie cybersécurité de l’Union européenne annoncée en décembre 2020 prévoyait notamment :

• de réviser la directive NIS du 6 juillet 2016 imposant des obligations aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN),
• et d’adopter une nouvelle directive sur la résilience des entités critiques.

La décision de réviser la directive NIS fait suite à la consultation publique menée par la Commission européenne et qui concluait notamment :

• à un manque de cohérence entre les Etats-membres et les secteurs,
• le faible niveau de connaissance commune des risques cyber,
• l’absence de réaction commune en cas de crise.

A titre d’exemple, en 2019, la Finlande (5,5 millions d’habitants) identifiait 10897 OSE sur son territoire tandis que la France (67 millions d’habitants) n’en identifiait que 127.

La directive NIS 2 vise à corriger ces lacunes et à être plus ambitieuse en termes d’obligations imposées aux organismes concernés.

Qui est concerné ?

Nouveaux acteurs : entités essentielles et importantes

Tout d’abord, la directive NIS 2 rompt avec les définitions anciennes d’opérateurs de services essentiels (OSE) et de fournisseurs de services numériques (FSN), que l’on connaissait dans NIS 1.

A présent, il est seulement question d’entité essentielle et d’entité importante. Cette distinction sert à adapter le niveau d’obligations imposé aux entités.

Les critères

Savoir si l’on est concerné ou non par NIS 2 peut être complexe à déterminer, puisque l’article 2 de la directive établie différents critères d’application et d’exclusion.

Vous êtes potentiellement concerné si vous êtes :

1. une entité publique ou privée,

2. qui fournit ses services ou exerce son activité au sein de l’Union européenne,

3. et qui exerce son activité dans l’un des secteurs visés par la directive (voir ci-dessous les secteurs).

Pour savoir si vous êtes effectivement concerné, il faut cocher un quatrième critère, qui peut être que :

(A) votre entité est une entité de taille moyenne ou plus au sens de la Commission européenne, c’est-à-dire que vous employez 50 salariés ou plus ou que votre chiffre d’affaires annuel est de 10 millions d’euros ou plus ; ou,

Indifféremment de la taille de votre entité :

(B) votre entité est une entité critique au sens de la directive 2022/2557 sur la résilience des entités critiques ; ou

(C) votre entité fournit un service de réseau de communications électroniques publics, un service de communication électronique accessible au public, un service de confiance, un service de registre de noms de domaine de premier niveau, un service de système de noms de domaine, un service d’enregistrement de noms de domaine ; ou

(D) votre entité est une entité de l’administration publique des pouvoirs publics centraux ou une entité publique au niveau régional qui fournit des services dont la perturbation pourrait avoir un impact important sur les activités sociétales ou économiques critiques; ou

(E) dans un contexte de risques identifiés au niveau national (décision du pouvoir réglementaire) :

– votre entité s’avère essentielle au maintien d’activités sociétales ou économiques critiques,

– une perturbation du service fourni par votre entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique,

– une perturbation du service fourni par votre entité pourrait induire un risque systémique important,

– votre entité est critique en raison de son importance spécifique au niveau national ou régional.

A cette liste de critères, s’ajoute aussi la possibilité pour chaque États membres de soumettre ou d’exempter des entités spécifiques.

Ces nouveaux critères visent à davantage systématiser l’application de la directive NIS 2 à certains types d’entités et ainsi à uniformiser son application au sein de l’Union européenne. Mais, certaines entités se verront soumettre à la directive NIS 2 par décision du pouvoir réglementaire.

Nouveaux secteurs

La directive NIS 1 visait différents secteurs d’activités : énergie, transports, banques, infrastructures de marchés financiers, secteur de la santé, fourniture et distribution d’eau potable, infrastructures numériques.

La directive NIS 2 complète les secteurs visés par la précédente directive NIS 1, y ajoutant : eaux usées, espace, administration publique, services postaux et d’expédition, gestion des déchets, chimie, alimentation, fabrication, recherche, fournisseurs numériques (dont les places de marché en ligne, moteurs de recherche, services de réseaux sociaux).

Les secteurs sont détaillés plus précisément en annexe de la directive NIS 2 et leur liste pourra être étendue ultérieurement par décision de la Commission européenne. Il s’agit donc d’une liste a minima.

Quelles obligations ?

La directive NIS 2 établie des règles minimales de gestion des risques liées à la cybersécurité. Les Etats membres demeurent libres de durcir ces exigences.

Les entités essentielles comme les entités importantes sont toutes soumises aux même règles.

Obligation de cybersécurité

Les entités doivent évaluer leurs risques en matière de cybersécurité et adopter des mesures techniques, opérationnelles et organisationnelles adaptées à leur degré d’exposition aux risques, à leur taille, à la probabilité de survenance d’incidents et leur gravité, à leurs conséquences sociétales et économiques. Il s’agit d’une évaluation « tous risques« .

De la même manière que pour le RGPD, les entités seront soumises à une obligation d’accountability, en documentant leur conformité à NIS 2.

Sécurité informatique

La directive NIS 2 dresse une liste de mesures a minima devant être prises par toutes les entités ; on y retrouve notamment :

• les politiques relatives à l’analyse des risques et la PSSI,
• la gestion des incidents,
• les plans dédiés à la continuité de l’activité (PCA), à sa reprise (PRA), à la gestion des sauvegardes et des crises,
• la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des SI, notamment le traitement et la divulgation des vulnérabilités,
• l’évaluation des mesures de gestion des risques cyber,
• les politiques et procédures liés à la cryptographie,
• la sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs,
• l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue,
• l’utilisation d’outils de communication sécurisés et de systèmes de communication d’urgence en cas de crise.

Ces mesures de sécurité sont semblables à celles contenues dans les normes de la famille ISO/27000 ou de la norme américaine NIST.

Sécurité contractuelle

La directive NIS 2 introduit également une obligation de sécurité de la chaîne d’approvisionnement contractuelle des entités essentielles et importantes. Les entités soumises à NIS 2 devront encadrer contractuellement les aspects cybersécurité avec leurs fournisseurs et prestataires directs.

En pratique, certaines entités non concernées par la NIS 2 se verront donc imposer, par ricochet, une partie du socle de sécurité NIS 2.

Les entités non concernées devront faire preuve de vigilance dans leurs négociations contractuelles avec des entités NIS 2, afin de n’accepter que ce qui est légitime et ne pas trop engager leur responsabilité contractuelle.

Obligation de notification

En cas d’incident de sécurité « important« , les entités doivent le signaler à leur CSIRT.

La directive NIS 2 définit ce qu’est un « incident important« :

Un incident est considéré comme important si:

a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée;

b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Cette définition devrait limiter la notification abondante des CSIRT, fait par certaines entités, par excès de zèle.

La notification se fait par étapes :

1. Une notification initiale doit être faite sans délai injustifié et au maximum 24 heures après la connaissance de l’incident.
2. Une notification détaillée doit être faite sans délai injustifié et au maximum 72 heures après la connaissance de l’incident.
3. Un rapport final doit enfin être remis au CSIRT dans le mois suivant l’incident.

Cette notification peut être l’occasion pour le CSIRT de conseiller l’entité émettrice ou d’alerter les autres états-membres de l’Union européenne sur un type d’attaque en cours, dans le cadre de la coopération européenne mise en place par la directive NIS2.

Responsabilité des organes de direction

La directive NIS 2 impose aux organes de direction d’approuver les mesures de gestion des risques cybersécurité prises par leur DSI et de superviser leur mise en œuvre.

Afin de s’assurer de leur implication réelle et effective, la directive NIS2 prévoit que les organes de direction doivent pouvoir être tenus pour responsable en cas de violation de la directive NIS 2 en matière de mesures de cybersécurité adoptées.

Les organes de direction doivent également suivre une formation afin d’acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques cyber ainsi que leur impact sur les services fournis par leur entité.

Quelles sanctions ?

Pouvoirs de contrôle de l’ANSSI

La directive NIS 2 confère aux autorités nationales – comme l’ANSSI en France – un pouvoir de surveillance renforcée. Ces pouvoir diffèrent selon que l’entité contrôlée est une entité essentielle ou importante.

Les entités essentielles pourront faire l’objet d’un contrôle ex ante, c’est-à-dire de faire l’objet d’une surveillance en l’absence d’incidents de sécurité. Elles peuvent aussi faire l’objet de contrôle ex post.

Les entités importantes ne font pas l’objet de contrôle ex ante, mais uniquement de contrôle ex post, à la suite d’un incident de sécurité ou en raison d’éléments de preuve, d’indication (= dénonciation) ou d’informations reçues selon lesquels l’entité importante ne respecterait pas NIS 2.

L’ANSSI pourra effectuer des inspections sur place ou à distance, consistant en :

• des audits de sécurité ciblés,
• des scans de sécurité,
• des demandes d’informations nécessaires à l’évaluation des mesures de sécurité adoptées par l’entité,
• des demandes d’accès à des données, documents ou toute autre information,
• des demandes de preuves de la mise en oeuvre des politiques cyber, telles que des résultats d’audit de sécurité,
• etc.

Injonctions de l’ANSSI

Les autorités nationales – comme l’ANSSI en France – pourront émettre des avertissements à l’encontre des entités contrôlées qui ne respectent pas la directive NIS 2.

L’ANSSI pourra notamment :

• ordonner à l’entité de mettre un terme à un comportement violant la directive et à ne pas le réitérer,
• garantir la conformité des mesures de l’entité à la directive,
• ordonner à l’entité d’informer les personnes à l’égard desquelles elle fournit un service de toute mesure préventive ou réparatrice que ces personnes pourraient prendre en réponse à une cybermenace,
• ordonner à l’entité de rendre public certains de ses manquements à la directive NIS 2.

S’agissant des entités essentielles uniquement, en cas d’insuffisance de leur part pour pallier des insuffisances ou satisfaire aux exigences demandées, l’ANSSI pourra :

• suspendre temporairement (ou le demander à l’organisme compétent) une certification ou une autorisation concernant tout ou partie des services pertinents fournis par l’entité essentielle,
• demander aux organes compétents ou juridictions compétentes d’interdire temporairement à toute personne physique exerçant des responsabilités dirigeantes à un niveau de DG ou de représentant légal dans l’entité essentielle d’exercer des responsabilités dirigeantes dans l’entité.

Amendes

La directive NIS 2 prévoit la possibilité pour les autorités nationales comme l’ANSSI de prononcer des amendes administratives à l’encontre des entités qui ne respectent pas la directive.

La directive prévoit uniquement que les Etats membres doivent fixer dans leur droit national un plafond d’amendes qui soit d’a minima :

• 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les entités essentielles,
• 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial pour les entités importantes.

Evidemment, l’ANSSI pourra prononcer des amendes d’un montant moindre.

Entrée en application

La directive NIS 2 doit être transposée au plus tard le 18 octobre 2024. La France devra donc adapter son droit national à la directive NIS 2 avant cette date. La loi qui en découlera permettra de connaître les obligations précises retenues par la France pour ses entités essentielles et importantes.

A retenir

Sans attendre la date limite de transposition, nous vous recommandons de vérifier si la directive NIS 2 vous concerne.

Dans l’affirmative, un chantier technique et juridique peut d’ores et déjà être initié, la mise en conformité de la directive NIS 2 étant évalué à plusieurs mois et dépend évidemment de votre niveau de maturité cybersécurité.

Mais les entités non concernées par la directive NIS 2 pourront aussi être concernées si elles approvisionnent des clients soumis à NIS 2.

Si tel est votre cas,  nous vous recommandons de réviser vos contrats commerciaux pour y prévoir des engagements juridiques en terme de sécurité informatique et établir une annexe relative à vos moyens de sécurité.

Ce travail doit vous permettre de définir et établir votre niveau d’engagement contractuel proportionné et mesuré aux services que vous fournissez. Vous éviterez ainsi de subir les engagements « clés en mains » fournis par vos clients grands comptes, mais trop engageant et dangereux pour votre activité.

*

Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit du numérique et cybersécurité depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com.