Auteurs
La directive NIS2 (UE 2022/2555) renforce la cybersécurité dans l’Union européenne, succédant à NIS1. Elle élargit son champ d’application à de nouveaux secteurs et de nouvelles entités, vise à sécuriser les chaines d’approvisionnement et augmente les notifications d’incidents face à des cyberattaques de plus en plus sophistiquées.
La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2), appelée NIS 2 (Network and Information Security), représente une avancée majeure dans le domaine de la cybersécurité dans l’Union européenne. La réglementation européenne NIS 2 entend consolider l’arsenal européen mis en place avec NIS 1, en renforçant la sécurité des systèmes d’information face à des menaces croissantes de cyberattaques.
La directive NIS 2 succède en effet à la directive NIS 1 (Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union). Elle a pour objectif principal de mettre en place un niveau élevé de cybersécurité dans l’ensemble de l’Union européenne. Cette nouvelle directive s’inscrit dans un contexte où les cyberattaques sont de plus en plus fréquentes et sophistiquées, menaçant la sécurité des infrastructures critiques et des services essentiels. Les risques liés aux potentielles attaques d’infrastructures critiques dans le cadre de conflits armés avec la Russie ou d’attaques de rebelles Houtis, qui pourraient affecter des câbles sous-marins au Moyen Orient, rendent plus impérative encore la protection des infrastructures.
Extension du champ d’application
Les annexes 1 et 2 de la directive détaillent les secteurs couverts par la directive NIS 2 et, pour chaque secteur, des entités concernées qui sont réparties en entités importantes et entités essentielles. La directive NIS 2 élargit le champ d’application de la réglementation sur la cybersécurité en incluant davantage de secteurs et d’entités. Elle couvre désormais non seulement les opérateurs de services essentiels (OSE), les fournisseurs de services numériques (FSN), tels que les plateformes de commerce en ligne, les moteurs de recherche et les services de cloud computing mais aussi d’autres domaines. Toujours dans le domaine technologique, les datas centers qui hébergent des données sensibles sont considérés comme des infrastructures critiques et donc soumises à NIS 2. Le domaine des fibres optiques est également impacté. Les câbles sous-marins sont essentiels pour les communications mondiales, transportant environ 99 % des données numériques. Leur protection est donc cruciale pour la souveraineté économique et la sécurité nationale.
Renforcement des obligations de sécurité
Les entités couvertes par la directive doivent mettre en place des mesures de sécurité appropriées pour gérer les risques posés à la sécurité des réseaux et des systèmes d’information. Cela inclut des mesures techniques et organisationnelles, telles que la gestion des incidents, la continuité des activités, et la sécurité des chaînes d’approvisionnement. L’attention sur la sécurité des approvisionnements est un sujet très important dans NIS 2. En conséquence, afin d’avoir un programme de cybersécurité cohérent, les entreprises devront adopter une approche collaborative impliquant plusieurs départements. Le département IT et sécurité, le département logistique, le service des ressources humaines, le département juridique ainsi que le département de conformité devront travailler ensemble pour élaborer une politique de cybersécurité et un process efficaces. Il sera nécessaire aussi de procéder à des simulations pour tester la mise en place du système. Les entreprises devront mettre en place des formations de plus en plus précises afin d’éviter les cyberattaques (notamment à certains moments de la vie de la société comme par exemple lors de la publication des résultats annuels).
Exigences pour les organisations
Impact sur les entreprises et les administrations La directive NIS 2 impose des obligations plus strictes aux entreprises et aux administrations, ce qui peut nécessiter des investissements financiers significatifs en matière de cybersécurité. Cependant, elle offre également des avantages en termes de protection contre les cybermenaces et de résilience opérationnelle.
Notification des incidents
Les entités doivent notifier les incidents de sécurité significatifs aux autorités compétentes sans retard injustifié. Cette obligation vise à améliorer la réactivité et la coordination en cas de cyberattaque. En France, cette notification sera faite à l’ANSSI. Dans la transposition nationale seront définis le délai pour notifier l’ANSSI ainsi que les mesures de sécurité à mettre en place par les entreprises et les administrations concernées.
Coopération avec les autorités
Les organisations doivent collaborer avec les autorités nationales et européennes afin d’améliorer la cybersécurité globale. La réglementation européenne NIS 2 entend renforcer l’arsenal européen mis en place avec NIS 1 mais nécessitant un renforcement des mesures. NIS 2 permet aussi aux Etats membres de renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI et ses homologues européens.
Sanctions et conformité
La directive prévoit des sanctions en cas de non-conformité, pouvant aller jusqu’à des amendes substantielles. Les autorités nationales disposent également de pouvoirs accrus pour imposer des mesures correctives.
Le non-respect de la directive NIS 2 peut entraîner des sanctions sévères, y compris des amendes d’un montant dissuasif. Pour les entités importantes, les sanctions peuvent aller jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. Pour les entités essentielles, les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
Transposition de NIS 2 en droit français
Les autorités nationales sont responsables de la surveillance et de l’application de la directive. Elles ont pour obligation de transposer la directive NIS 2 au plus tard le 17 octobre 2024. Il est possible cependant que la directive NIS 2 soit transposée plus tardivement en droit français, la France ayant pris quelque retard dans les travaux de transposition. L’ANSSI a été désignée comme l’autorité compétente, chargée de contrôler la mise en œuvre des dispositions de la directive en France. L’ANSSI a travaillé sur un projet et un document de travail a circulé. Les élections européennes, la dissolution de l’Assemblée nationale, puis l’organisation de nouvelles élections ont retardé le processus de transposition de NIS 2 en droit français. Les travaux préparatoires ont notamment mis en lumière le fait que certaines organisations qui, jusque-là n’étaient pas tenues de respecter la réglementation NIS 1, entreraient désormais dans le champ du dispositif. Par ailleurs le délai de transposition accordé aux Etats membres de l’Union européenne est différent des délais de mise en conformité aux exigences du droit français : en d’autres termes les entreprises, après l’adoption de la loi de transposition disposeront encore de plusieurs semaines/mois pour être en conformité au droit français.
La directive NIS 2 représente une étape importante vers une cybersécurité renforcée au sein de l’UE. En harmonisant les mesures de sécurité et en imposant des exigences strictes, elle vise à protéger les infrastructures critiques et les services essentiels contre les cybermenaces croissantes. La cybersécurité occupe une place croissante dans diverses réglementations européennes et nationales. Par exemple, la réglementation DORA (Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier), qui concerne les activités financières, s’applique directement en droit français, contrairement à NIS 2. De plus, la réglementation sur l’intelligence artificielle (Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, appelé aussi AI Act) intègre également un volet significatif dédié à la cybersécurité.
Article paru dans Option Finance le 9 octobre 2024
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
|
|
|
