La Commission européenne a rendu publique le 16 décembre 2020 la nouvelle stratégie de cybersécurité de l’Union européenne[1]. Parmi les priorités d’action, figure la révision de la directive 2016/1148 du 6 juillet 2016 relative à la sécurité des réseaux et des systèmes d’information (Network and information systems – NIS).
Pourquoi réviser la directive NIS, et pourquoi maintenant ?
La réévaluation des textes fait partie des processus standard de la Commission européenne. L’article 23 de la directive NIS prévoyait ainsi un premier réexamen « au plus tard le 9 mai 2021 ». Divers travaux et une consultation menés en 2020 ont abouti à la conclusion qu’il convenait de réviser cet instrument[2]. Une nouvelle consultation, au second semestre 2020, a permis d’affiner les orientations retenues.
La réflexion menée s’inscrit dans le prolongement des travaux de la Commission sur l’avenir numérique de l’Europe et la sécurité dans son ensemble, dans un contexte de risque cyber de plus en plus prégnant. Elle a mis en lumière les progrès réalisés, mais également les limites du texte. Sont notamment pointés une mauvaise compréhension des cybermenaces par les entreprises et les régulateurs nationaux, qui aboutit à un niveau de protection des entreprises trop hétérogène. Par ailleurs, le droit de l’Union européenne doit prendre en compte les évolutions technologiques, notamment la digitalisation des pratiques et l’augmentation des interconnexions entre divers systèmes.
A quoi faut-il s’attendre ?
La proposition de directive révisée[3], présentée par la Commission européenne le 16 décembre 2020 doit encore être débattue entre les institutions européennes. Mais on peut d’ores-et-déjà en dresser un panorama à date.
Un élargissement des entités soumises - Le texte révisé doit améliorer la cyber-résilience des entités critiques des secteurs public et privé.
Le nombre de secteurs critiques est élargi. Aux secteurs déjà concernés (énergie, transport, banques, infrastructures financières de marché, santé, eau potable et infrastructures numériques[4]) s’ajouteront les secteurs des eaux usées, de l’espace et les administrations.
Selon leur taille et leur importance stratégique, les entreprises de ces secteurs seront qualifiées d’opérateurs « essentiels » ou « importants », les premiers étant soumis à un régime plus complet que les seconds. Dans le domaine numérique par exemple, seront essentiels les services informatiques (fournisseurs de DNS, de services d’informatique en nuage, de services de confiance, etc.), tandis que seront « importants » les places de marché, les moteurs de recherche et les services de réseaux sociaux.
Par ailleurs, un critère de taille sera posé : les moyennes et les grandes entreprises seront soumises par principe à la directive alors que les petites structures[5] en seront exclues[6]. La directive révisée s’appliquera ainsi de manière beaucoup plus large que précédemment, et la France ne pourra plus moduler ce champ d’application.
Un renforcement des obligations des entreprises - La proposition :
- complète les exigences de sécurité imposées aux entreprises « essentielles » et « importantes ». Celles-ci devront adopter une approche de gestion des risques, et un nombre minimal d'éléments de sécurité de base devront être appliqués. Le niveau d’exigence sera modulé selon la taille de l’entreprise et la réalité du risque ;
- traite de la sécurité des chaînes d'approvisionnement et des relations avec les fournisseurs. Ainsi, si cette révision est présentée par l’ANSSI comme « une évolution, pas une révolution »[7], elle va de fait générer de nouvelles exigences à l’égard des prestataires de services de ces entités ;
- complète les obligations déclaratives, en y ajoutant une obligation de déclaration des failles informatiques dans un délai de 24 heures. Les « incidents potentiels » devront eux aussi être signalés ;
- introduit des mesures de surveillance plus strictes pour les autorités nationales. Celles-ci pourront contrôler ex ante les entités essentielles, et ex post les entités importantes ; et
- harmonise les régimes de sanction. Un certain nombre de sanctions administratives devront être mises en place dans les Etats membres, parmi lesquelles des amendes dont les plus lourdes seraient fixées à 10 000 000 euros ou 2 % du chiffre d'affaires annuel mondial de l'exercice précédent, le montant le plus élevé devant être retenu. La responsabilité des personnes physiques occupant des postes de représentation ou de direction pourra également être mise en jeu.
Plus de coordination et de contrôles – La directive NIS 2 a pour ambition de créer un « bouclier cyber », grâce à la création d’une entité européenne spécialisée en matière de cybersécurité. Un centre de compétences en cybersécurité et un réseau de centres de coordination devraient être mis sur pied, afin d’appuyer les entreprises dans leurs politiques de cybersécurité. Ces entités devraient être dotées d’un budget de 4,5 milliards d’euros.
Les autorités de régulation nationales disposeront de pouvoirs d’intervention renforcés. Elles pourront mener des audits réguliers et ciblés, des contrôles sur site et hors site, et formuler des demandes d'informations et d'accès à des documents ou à des preuves.
L’étude d’impact de la directive fait état de surcoûts directs pour les entreprises concernées, au titre à la fois de la mise en conformité initiale et des obligations à respecter dans le temps. Mais la Commission estime que ces coûts devraient être contrebalancés par la réduction des frais engendrés par les incidents de sécurité, dont la gravité et les impacts seraient réduits.
Autres textes en cours d’adoption
Deux textes européens, complémentaires à la directive NIS, doivent être signalés.
Concernant les entités « critiques », une proposition de directive a été présentée le 16 décembre 2020 (Critical entities resilience – CIR)[8]. Concomitante à la proposition de directive NIS 2, elle vient la compléter. Elle doit enrichir le régime de prévention des risques pour les opérateurs de services essentiels en ligne, mais également hors ligne (criminalité et catastrophes naturelles sont par exemple traités). Elle élargit aussi la portée de la directive 2008/114 du 8 décembre 2008 sur les infrastructures critiques européennes, puisqu’elle s’appliquera aux mêmes secteurs critiques que la directive NIS révisée, là où elle ne régit actuellement que les infrastructures énergétiques et de transport.
La Commission européenne a par ailleurs présenté le 24 septembre 2020 une proposition de règlement sur la résilience opérationnelle numérique du secteur financier (Digital operational resilience Act - DORA)[9]. Ce texte vise à améliorer la résistance des entreprises du secteur financier à tous les types de perturbations et de menaces liées à l'informatique. Un cadre de surveillance pour les fournisseurs de TIC est également envisagé. Ce règlement complètera, spécifiquement pour le secteur financier, la directive NIS.
NIS 2, c’est pour quand ?
Le Conseil de l’Union européenne s’est déclaré favorable, dans l’ensemble, aux orientations présentées[10].
Le texte est actuellement examiné par le Parlement européen, qui a rendu public un projet de rapport le 5 mai dernier[11]. Ce projet propose – entre autres – d’allonger à 72 heures le délai de signalement et de créer un système d’incitations pour les PME, en sus des sanctions déjà envisagées.
S’agissant d’un texte technique, la fin des travaux parlementaires peut être envisagée pour fin 2022 ou courant 2023. La directive entrera ensuite en vigueur au terme d’un délai de 18 mois. La France devra la transposer dans ce même délai.
Points clés :
La directive NIS 2 :
- concernera plus d’entreprises et impliquera leurs cocontractants ;
- renforcera les obligations et les sanctions ;
- pourrait s’appliquer courant 2024 ;
- sera complétée par une directive régissant les infrastructures critiques et par un règlement sur la sécurité informatique du secteur financier.
Article paru dans Option Finance le 28/05/2021
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
_840x420.jpg?v=3)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.