(W).jpg?v=1)
Six ans après son adoption, la directive (UE) 2016/1148 du 6 juillet 20161, dite NIS I (ci-après « Directive NIS I »), est révisée et remplacée par la directive (UE) 2022/2555 du 14 décembre 20222 , dite NIS II (ci-après la « Directive »). Cette Directive répond à un besoin d’harmonisation des normes communes en matière de cybersécurité et à la nécessité de faire face à l’augmentation des cyberattaques dans l’Union européenne. La Commission européenne avait soumis, le 16 décembre 2020, une proposition tendant à réviser la Directive NIS I, qui constituait le premier texte législatif de l’Union sur la cybersécurité et dont le champ d’application devait être étendu.
Cette proposition s’inscrivait dans la ligne des priorités de la Commission pour la stratégie 2020-2025 visant à rendre l’Europe apte à l’ère numérique3.
Dans un communiqué de presse du 13 mai 2022, Thierry Breton, commissaire européen au commerce intérieur, a souligné l’importance de cette révision de la Directive NIS I : « Malgré leurs accomplissements notables et leur incidence positive, ces règles ont dû être mises à jour en raison du degré croissant de numérisation et d'interconnexion de notre société et de l'augmentation des actes de cybermalveillance à l'échelle mondiale4. »
Les étapes d’adoption de la Directive
Les objectifs de la Directive
La Directive a pour objectif d’harmoniser les normes européennes en matière de cybersécurité et de renforcer les critères de sécurité. En effet, les divergences existantes « pourraient aggraver la vulnérabilité de certains Etats membres aux cybermenaces, ce qui peut avoir des retombées dans l’ensemble de l’Union »5. Son article 1er rappelle ainsi l’objectif d’« un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer le fonctionnement du marché intérieur ».
A cette fin, la Directive :
- pose les fondements d’un cadre réglementaire coordonné (mise en place de mécanismes permettant une coopération efficace entre les autorités compétentes de chaque Etat membre) ;
- met à jour la liste des entités et secteurs soumis à des obligations en matière de cybersécurité ;
- décrit les obligations imposées aux entreprises ;
- prévoit des mesures de supervision et des sanctions en cas de non-respect de la Directive.
• Développement de stratégies nationales communes
La Directive impose aux Etats membres d’adopter des stratégies nationales en matière de cybersécurité6, de désigner ou mettre en place des autorités compétentes7 , des autorités chargées de la gestion des crises et incidents de cybersécurité majeurs8, des points de contact uniques en matière de cybersécurité9 et des centres de réponse aux incidents de sécurité informatique (CSIRT)10.
• Elargissement des entités et secteurs concernés par la Directive
Pour faire face à l’exposition croissante de l’Europe aux cybermenaces, la Directive étend le nombre d’entités concernées à raison de leur taille et le nombre de secteurs importants pour l’économie et la société. Sont en effet concernées, tant des petites entités (petites entreprises et microentreprises)11 , que des entités de taille moyenne ou grande.
Par ailleurs, il est désormais prévu que « les entités qui relèvent du champ d’application de la directive devraient être classées en deux catégories : entités essentielles et entités importantes »12 . La Directive vient ainsi remplacer les opérateurs de services essentiels (OSE) et les opérateurs d’importance vitale (OIV), ce qui accroît le nombre d’entités concernées. Pour permettre la transition, la Directive précise que « les Etats membres devraient pouvoir décider que les entités identifiées, avant l’entrée en vigueur de la directive, comme OSE conformément à la directive NIS I, doivent être considérées comme des entités essentielles »13 .
Tableau comparatif des secteurs concernés14
| Directive NIS I | Directive NIS II |
| Secteurs hautement critiques :
Autres secteurs critiques :
|
• Les obligations imposées aux entreprises
La Directive renforce également les exigences en matière de cybersécurité imposées aux entreprises.
Obligation de gouvernance15 . Les entités essentielles et importantes devront notamment :
- évaluer et prendre en compte la qualité et la résilience globale des produits et des services, les mesures de gestion des risques en matière de cybersécurité et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services ;
- répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties ;
- adopter une vaste gamme de pratiques de « cyberhygiène » de base, comme par exemple les mises à jour de logiciels, la configuration des dispositifs, la gestion des accès, l’organisation de formations pour le personnel et la sensibilisation aux cybermenaces.
Partage d’information. Les entités essentielles ou importantes échangent volontairement entre elles et avec des entités non concernées par cette directive, des informations pertinentes en matière de cybersécurité (e.g vulnérabilités, acteurs de la menace) dès lors que ce partage d’informations vise à prévenir et détecter les incidents et rétablir leur impact16 .
Règles de procédure en cas d’incident important. Les entités essentielles ou importantes devront être réactives dès lors qu’elles prennent connaissance d’un incident important. Elles devront soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures, à leur CSIRT qui devra être suivie d’une notification d’incident dans les 72 heures suivant la connaissance de l’incident important17 .
• Mesures de supervision des entités essentielles et importantes
Les entités devront se soumettre à des audits de sécurité, des inspections sur place et à distance, ou encore à des scans de sécurité, réalisés par les autorités compétentes dans le cadre de leurs tâches de supervision, dans le but de recevoir des recommandations et répondre à des normes de sécurité18.
• Sanctions
Selon Thierry Breton, cette Directive permet de sécuriser davantage les entités « en mettant en place un régime d’obligations et de sanctions ». Pour les entreprises en faute, la Directive prévoit que l’Etat membre veille à ce que :
- les entités essentielles soient soumises à des amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 EUR ou à au moins 2% du chiffre d’affaires annuel mondial ;
- les entités importantes soient soumises à des amendes administratives d’un montant maximal s’élevant à au moins 7 000 000 EUR ou à au moins 1,4% du chiffre d’affaires annuel mondial19.
Prochaines étapes pour les Etats membres
La Directive a été publiée au Journal Officiel de l’Union européenne le 27 décembre 2022. Les Etats membres devront transposer les nouvelles dispositions dans leur droit national au plus tard le 17 octobre 2024 et les appliquer à partir du 18 octobre 2024. L’Article 40 de la Directive prévoit un nouveau réexamen par la Commission au plus tard le 17 octobre 2027 et tous les 36 mois par la suite.
Points clés :
- La Directive tient compte des évolutions et de l’augmentation des cybermenaces dans l’Union : elle se veut un cadre plus efficace.
- Les entités soumises à la Directive sont bien plus nombreuses qu’auparavant, et leurs obligations plus importantes.
- Les entreprises devront donc adapter leurs pratiques pour y inclure de manière plus prononcée les exigences de cybersécurité, d’ici octobre 2024, date d’entrée en vigueur des nouvelles règles.
Article paru dans Option Finance Innovation le 02/01/2023
[1] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016L1148
[2] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR
[3]https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333#:~:
text=The%20NIS2%20Directive%3A%20A%20high%20common%20level%20of%20cybersecurity%20in%20the%20EU,
[4] https://ec.europa.eu/commission/presscorner/detail/fr/ip_22_2985
[5] Considérant 5 de la Directive.
[6] Article 7 de la Directive.
[7] Considérant 38 et article 8 de la Directive.
[8] Article 9 de la Directive.
[9] Considérants 39, 40 et article 8 de la Directive.
[10] Considérants 41, 42 et articles 10, 11 de la Directive.
[11] Considérant 7 de la Directive.
[12] Considérant 15 de la Directive.
[13] Considérant 17 de la Directive.
[14] Annexe I Directive NIS I ; Annexes I et II de la Directive.
[15] Considérants 85, 88 et 89 ; article 20 de la Directive.
[16] Article 29 de la Directive.
[17] Considérant 102 et article 23 de la Directive.
[18] Considérant 87 ; articles 32 et 33 de la Directive.
[19] Article 34 de la Directive.
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
|
|
|
