En raison du succès de son application, et de l’accroissement de la surface d’attaques cyber affectant désormais les entreprises de toute taille présentes sur le territoire de l’Union européenne, la Directive NIS 2 du 27 décembre 2022 a étendu le régime de cybersécurité aux entités économiques.
La directive NIS 2, adoptée en 2022, est une mise à jour de la première directive NIS. Elle impose également des obligations aux fournisseurs de services numériques et aux opérateurs de systèmes de transport de données, ainsi que des obligations telles que la mise en œuvre de mesures de sécurité adéquates, la notification des incidents de sécurité aux autorités compétentes et la coopération avec d’autres entreprises pour prévenir les incidents de sécurité.
Les entreprises doivent également surveiller régulièrement leur système d’information pour détecter les incidents et les résoudre rapidement. L’objectif de la directive NIS 2 est de garantir la continuité des services essentiels et la protection des données personnelles dans l’UE. L’Europe a également mis en place UE-CyCLONe, un réseau européen d’organisations de liaison en cas de crises de cybersécurité.
I – Rappel : la directive NIS de 2016, de la cybersécurité à la cyberrésilience
En complément du règlement sur la protection des données à caractère personnel (Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel) et du règlement eIDAS (Règlement (UE) n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur), cette directive ambitionnait de renforcer la confiance des utilisateurs du cyberespace européen en mettant en place une coopération renforcée entre les États membres et les institutions européennes.
L’adoption de la stratégie européenne de cybersécurité le 7 février 2013 et la directive NIS posent ainsi les bases d’une prise de conscience et de responsabilité partagée de la cybermenace en Europe.
Déjà, la directive 2013/40/CE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information incriminait de nouvelles formes de cyberattaques :
・ l’accès illicite à des systèmes d’information ;
・ l’atteinte à l’intégrité d’un système ;
・ l’atteinte à l’intégrité des données ;
・ les interceptions illégales de données ;
・ la mise à disposition d’outils utilisés pour commettre des infractions.
L’Union européenne, en adoptant la directive n° 2016/1148 du 6 juillet 2016 (NIS), s’est inscrite dans la même logique de protection structurelle. Elle avait ainsi fixé un cadre européen compatible avec la loi de programmation militaire dont elle s’est largement inspirée.
Pour les opérateurs d’importance vitale (OIV), la loi de programmation militaire de 2013 pouvait ainsi être considérée comme une transposition anticipée de la directive.
La loi de transposition n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité a créé en réalité un régime distinct. En effet, Le champ d’application de la directive ne concerne pas les seuls opérateurs d’importance vitale (OIV) tels que définis par la législation française, mais tous les opérateurs dits « essentiels à l’économie ».
Ce faisant, l’objectif affirmé de la loi avait été d’assurer la sécurité des réseaux et systèmes d’information en renforçant leur capacité à résister, à un niveau de confiance donné, à « des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles. »
La directive, comme la loi, s’applique désormais aux entreprises importantes du secteur numérique et aux opérateurs dans les secteurs suivants : l’énergie, les transports, les banques, les marchés financiers, la santé, le secteur de l’eau, l’infrastructure numérique (les points d’échange internet, les prestataires de services relatifs au système des noms de domaine, les registres de nom de domaine de premier niveau).
Le secteur de l’énergie se divise lui-même en trois sous-secteurs, à savoir ceux de l’électricité, du pétrole et du gaz.
Le secteur des transports recoupe les sous-secteurs du transport aérien, du transport ferroviaire, du transport par voie d’eau et du transport routier.
À l’instar de la directive, la loi s’adresse autant aux opérateurs publics que privés, elle vise deux types d’acteurs en particulier : les opérateurs de services essentiels et les fournisseurs de service numérique.
a) Les opérateurs de services essentiels (OSE)
Les opérateurs de services essentiels (OSE) sont définis comme des opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services.
La désignation des opérateurs de services essentiels relève des services du Premier ministre, en réalité davantage de l’Agence nationale de sécurité des systèmes d’information (ANSSI). Cette liste des opérateurs de services essentiels est susceptible d’être révisée régulièrement.
En conséquence, les opérateurs relevant de cette catégorie dûment désignés se voient soumis aux obligations et exigences de sécurité prévues par la loi, à leurs frais (article 6). Dès lors, ils doivent engager les moyens financiers rendus nécessaires pour satisfaire les obligations mises à leur charge. Le non-respect des obligations relevant des prescriptions de l’ANSSI et plus généralement prévues par la loi expose l’opérateur à 100 000 € d’amende, après mise en demeure restée infructueuse. L’absence de déclaration d’incident (cf. infra) expose le dirigeant à 75 000 € d’amende. Enfin, le refus ou le fait de s’affranchir des contrôles de l’ANSSI est sanctionné par une amende de 125 000 €.
Les règles de sécurité applicables sont également fixées par l’Etat, en regard notamment :
- De la gouvernance des la sécurité des réseaux et systèmes d’information ;
- De la protection des réseaux et systèmes d’information ;
- De la défense des réseaux et systèmes d’information ;
- De la résilience des activités.
Les incidents de sécurité affectant leurs infrastructures doivent être signifiés à l’ANSSI sans délai. Le public peut également en être avisé par cette dernière.
b) Les fournisseurs de service numérique (FSN)
La loi a également institué un statut de fournisseur de service numérique retenu comme étant « tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services, à savoir :
- Les services de place de marché en ligne (conclusion de vente à distance) ;
- Les services de moteur de recherche en ligne (réponses à une requête par voie de recherche sur des bases de données électroniques) ;
- Les services d’informatique en nuage – ou cloud – entendu comme un ensemble de ressources informatiques pouvant être partagées.
Incontestablement, l’essentiel des activités numériques grand public se trouve ainsi soumis à cette nouvelle obligation de conformité et il n’échappera au lecteur que les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) se voient directement visés par ces mesures.
À cet effet, dès lors qu’ils ont leur siège en dehors de l’Union européenne, ils doivent désormais désigner un correspondant permanent auprès de l’ANSSI (article 11).
Dans le cadre de leurs services, au titre des obligations mises à leur charge, les fournisseurs de service numérique doivent garantir un niveau élevé de sécurité des réseaux et des systèmes d’information nécessaires à leurs activités, eu égard aux risques existants.
De fait, il leur appartient d’identifier et d’actualiser lesdits risques existants susceptibles de menacer et/ou d’affecter leurs réseaux et systèmes et d’adopter des contre-mesures dans les domaines prévus par la loi (article 12) :
- La sécurité des systèmes et des installations ;
- La gestion des incidents ;
- La gestion de la continuité des activités ;
- Le suivi, l’audit et le contrôle ;
- Le respect des normes internationales.
Ce faisant, tout fournisseur de service numérique devra intégrer une politique pertinente de sécurité des réseaux et systèmes d’information (PSSI) et définir des plans de continuité d’activité (PCA) et de reprise d’activité (PRA). Par voie de conséquence, cette cyberrésilience ainsi instituée doit être guidée par des impératifs techniques, mais encore par des considérations relevant de la gestion de crise, d’origine humaine, logique …
De même que pour les opérateurs de services essentiels, les fournisseurs de service numérique sont soumis à des contrôles de l’ANSSI et doivent signaler les incidents qui seront, le cas échant, connus du public.
Ici encore, le non-respect de se conformer aux prescriptions légales et règlementaires expose le fournisseur à 75 000 € d’amende, après mise en demeure restée infructueuse. L’absence de déclaration d’incident (cf. supra) expose le dirigeant à 50 000 € d’amende. Enfin, le fait de faire obstacle aux opérations de contrôle de l’ANSSI est sanctionné par une amende de 100 000 €.
II – La Directive (UE) 2022/2555 sur la cybersécurité et les entités essentielles et importantes (NIS 2)
La Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 a pour objectif d’assurer un niveau élevé commun de cybersécurité dans l’Union et de créer des capacités en matière de cybersécurité, ainsi que d’atténuer les menaces pesant sur les réseaux et les systèmes d’information qui fournissent des services essentiels dans des secteurs clés.
Elle inclut également des obligations pour les entreprises partenaires et les entreprises liées, des critères applicables aux microentreprises et aux petites entreprises, des mécanismes de financement pour couvrir les dépenses nécessaires à l’exécution des tâches des entités publiques chargées de la cybersécurité, et des accords de coopération pour encourager une cohérence des approches et des échanges d’informations entre les autorités compétentes.
Pour entrer dans le cadre de la directive NIS 2, une entité doit remplir les critères suivants :
1. Être établie dans l’Union européenne.
2. Être une entité prestataire de services essentiels ou un opérateur d’importance vitale.
3. Avoir un impact significatif sur la continuité des services essentiels. Cela signifie qu’un incident de sécurité de leur système d’information pourrait entraîner des conséquences graves pour la société.
4. Avoir un système d’information connecté à Internet
a) Cybersécurité et coopération entre États membres de l’Union européenne
Les États membres de l’Union européenne sont donc encouragés à inviter les petites et moyennes entreprises à relever les défis de la cybersécurité en mettant en place des points de contact, des services de configuration et de journalisation, et en adoptant des mesures pour améliorer le niveau de cybersécurité et faciliter l’utilisation de technologies innovantes.
La Commission européenne, l’ENISA et les États membres devraient encourager l’alignement sur les normes internationales ISO/CEI 30111 et ISO/CEI 29147 ainsi que les bonnes pratiques du secteur en matière de gestion des risques de cybersécurité.
Par ailleurs, les entités essentielles et importantes sont tenues de garantir la sécurité des systèmes d’information et appliquer des mesures de gestion des risques en matière de cybersécurité adaptées aux risques encourus.
L’intégration des sous-traitants et prestataires de services en charge d’une infrastructure critique dans la directive NIS 2 signe la fin des OSE.
En effet, les sous-traitants et prestataires de services ayant un accès à une infrastructure critique seront également soumis à la directive NIS 2, car les failles dans l’infrastructure d’un prestataire peuvent mettre à mal la sécurité des OSE pour lesquels il travaille.
Désormais, les OSE (Opérateurs de Service Essentiels), apparus avec NIS 1 fin 2018, désignés et audités par l’ANSSI (une version allégée des OIV introduits par la Loi de Programmation Militaire de 2013) vont être séparés en deux entités distinctes :
- Les EE, Entités Essentielles, englobant par exemple les secteurs de l’énergie, bancaire ou numérique.
- Les EI, Entités Importantes, englobant par exemple les secteurs postaux ou ceux de la gestion de déchets
La différenciation se fait par la criticité des secteurs associés, ainsi que la taille des entités.
Le nombre de catégories de secteurs concernés par la directive NIS 2 passe ainsi de 19 à 35.
En complément, chaque État membre peut désigner, à sa discrétion, certains opérateurs comme essentiels ou importants selon ses propres critères. Les entités officiellement considérées comme des « fournisseurs de services numériques » (FSN) dans la directive NIS sont à présent indiquées comme « entités importantes » dans la nouvelle proposition.
Les FSN qui fournissent des services dans plusieurs États membres relèvent de la juridiction de l’État membre dans lequel ils ont leur principal établissement. Cette mesure permet d’éviter tout chevauchement réglementaire.
La liste des entités importantes a été élargie et comprend : les services postaux et de courrier (notamment électronique), la gestion des déchets, la production alimentaire, l’industrie manufacturière, les market places, les moteurs de recherche en ligne et les réseaux sociaux.
Il a été défini que les entreprises définies comme « micro-entreprises et entreprises de petites tailles » devraient rester hors du champ d’application de la directive : l’ajout de restrictions et d’obligations de conformité complexes aux plus petites entreprises empêcherait leur croissance. Cependant, chaque État membre définit ses propres seuils d’application.
b) Obligations et règlements européens de cybersécurité
La Directive UE sur la cybersécurité a pour objectif d’obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union en instaurant des obligations aux États membres, telles que la désignation d’autorités compétentes, des mesures de gestion des risques et des obligations de partage d’informations.
Le Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 vise à promouvoir l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne et définit des termes tels que "risque", "cybermenace", "cybermenace importante", "produit TIC", "service TIC", "processus TIC", "vulnérabilité", "norme", "spécification technique". Réglementation et supervision des entités essentielles et importantes.
La Commission européenne a adopté des actes d’exécution qui définissent les situations dans lesquelles un incident est considéré comme important et ainsi, les entités essentielles et importantes doivent prendre des mesures techniques, opérationnelles et organisationnelles adaptées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information.
Ces mesures incluent des politiques d’analyse des risques et de sécurité des systèmes d’information, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement et les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs ou prestataires de services directs.
Afin de garantir la conformité aux exigences, les États membres peuvent prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC certifiés.
Les autorités compétentes des États membres sont chargées de veiller à ce que les mesures de supervision et d’exécution imposées aux entités essentielles soient effectives, proportionnées et dissuasives. Elles ont le pouvoir d’exercer diverses mesures de supervision, de coopérer étroitement avec les autorités de contrôle pour traiter des incidents donnant lieu à des violations de données à caractère personnel, ainsi que de demander des preuves de la mise en œuvre de politiques de cybersécurité.
La nouvelle directive élargit les pouvoirs de contrôle des autorités nationales, autorisant ces dernières à procéder à un audit des opérateurs vitaux, essentiels et importants dans une moindre mesure.
Les sanctions encourues en cas de non-respect de la directive NIS 2 dépendent de l’État membre de l’Union européenne dans lequel l’entreprise est établie. Cependant, elle prévoit généralement des sanctions administratives telles que des amendes (le montant peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires total annuel de l’entité concernée, le montant le plus important étant choisi) ou des pénalités financières en cas de non-respect des obligations en matière de sécurité des informations.
Le montant de ces sanctions peut varier considérablement en fonction de la gravité de l’incident de sécurité et de la négligence de l’entreprise. En outre, le manquement à la directive NIS 2 peut également entraîner des conséquences juridiques pour les entreprises, telles que des actions en responsabilité civile ou des poursuites judiciaires. Les entreprises peuvent également subir une perte de confiance de la part des clients et des consommateurs en raison de l’incident de sécurité, ce qui peut avoir un impact négatif sur leur réputation et leur activité commerciale.
Olivier de MAISON ROUGE
Avocat – Docteur en droit
Dernier ouvrage publié : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique & une indépendance stratégique » VA Editions, mars 2022
La directive NIS 2, adoptée en 2022, est une mise à jour de la première directive NIS. Elle impose également des obligations aux fournisseurs de services numériques et aux opérateurs de systèmes de transport de données, ainsi que des obligations telles que la mise en œuvre de mesures de sécurité adéquates, la notification des incidents de sécurité aux autorités compétentes et la coopération avec d’autres entreprises pour prévenir les incidents de sécurité.
Les entreprises doivent également surveiller régulièrement leur système d’information pour détecter les incidents et les résoudre rapidement. L’objectif de la directive NIS 2 est de garantir la continuité des services essentiels et la protection des données personnelles dans l’UE. L’Europe a également mis en place UE-CyCLONe, un réseau européen d’organisations de liaison en cas de crises de cybersécurité.
I – Rappel : la directive NIS de 2016, de la cybersécurité à la cyberrésilience
En complément du règlement sur la protection des données à caractère personnel (Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel) et du règlement eIDAS (Règlement (UE) n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur), cette directive ambitionnait de renforcer la confiance des utilisateurs du cyberespace européen en mettant en place une coopération renforcée entre les États membres et les institutions européennes.
L’adoption de la stratégie européenne de cybersécurité le 7 février 2013 et la directive NIS posent ainsi les bases d’une prise de conscience et de responsabilité partagée de la cybermenace en Europe.
Déjà, la directive 2013/40/CE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information incriminait de nouvelles formes de cyberattaques :
・ l’accès illicite à des systèmes d’information ;
・ l’atteinte à l’intégrité d’un système ;
・ l’atteinte à l’intégrité des données ;
・ les interceptions illégales de données ;
・ la mise à disposition d’outils utilisés pour commettre des infractions.
L’Union européenne, en adoptant la directive n° 2016/1148 du 6 juillet 2016 (NIS), s’est inscrite dans la même logique de protection structurelle. Elle avait ainsi fixé un cadre européen compatible avec la loi de programmation militaire dont elle s’est largement inspirée.
Pour les opérateurs d’importance vitale (OIV), la loi de programmation militaire de 2013 pouvait ainsi être considérée comme une transposition anticipée de la directive.
La loi de transposition n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité a créé en réalité un régime distinct. En effet, Le champ d’application de la directive ne concerne pas les seuls opérateurs d’importance vitale (OIV) tels que définis par la législation française, mais tous les opérateurs dits « essentiels à l’économie ».
Ce faisant, l’objectif affirmé de la loi avait été d’assurer la sécurité des réseaux et systèmes d’information en renforçant leur capacité à résister, à un niveau de confiance donné, à « des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles. »
La directive, comme la loi, s’applique désormais aux entreprises importantes du secteur numérique et aux opérateurs dans les secteurs suivants : l’énergie, les transports, les banques, les marchés financiers, la santé, le secteur de l’eau, l’infrastructure numérique (les points d’échange internet, les prestataires de services relatifs au système des noms de domaine, les registres de nom de domaine de premier niveau).
Le secteur de l’énergie se divise lui-même en trois sous-secteurs, à savoir ceux de l’électricité, du pétrole et du gaz.
Le secteur des transports recoupe les sous-secteurs du transport aérien, du transport ferroviaire, du transport par voie d’eau et du transport routier.
À l’instar de la directive, la loi s’adresse autant aux opérateurs publics que privés, elle vise deux types d’acteurs en particulier : les opérateurs de services essentiels et les fournisseurs de service numérique.
a) Les opérateurs de services essentiels (OSE)
Les opérateurs de services essentiels (OSE) sont définis comme des opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services.
La désignation des opérateurs de services essentiels relève des services du Premier ministre, en réalité davantage de l’Agence nationale de sécurité des systèmes d’information (ANSSI). Cette liste des opérateurs de services essentiels est susceptible d’être révisée régulièrement.
En conséquence, les opérateurs relevant de cette catégorie dûment désignés se voient soumis aux obligations et exigences de sécurité prévues par la loi, à leurs frais (article 6). Dès lors, ils doivent engager les moyens financiers rendus nécessaires pour satisfaire les obligations mises à leur charge. Le non-respect des obligations relevant des prescriptions de l’ANSSI et plus généralement prévues par la loi expose l’opérateur à 100 000 € d’amende, après mise en demeure restée infructueuse. L’absence de déclaration d’incident (cf. infra) expose le dirigeant à 75 000 € d’amende. Enfin, le refus ou le fait de s’affranchir des contrôles de l’ANSSI est sanctionné par une amende de 125 000 €.
Les règles de sécurité applicables sont également fixées par l’Etat, en regard notamment :
- De la gouvernance des la sécurité des réseaux et systèmes d’information ;
- De la protection des réseaux et systèmes d’information ;
- De la défense des réseaux et systèmes d’information ;
- De la résilience des activités.
Les incidents de sécurité affectant leurs infrastructures doivent être signifiés à l’ANSSI sans délai. Le public peut également en être avisé par cette dernière.
b) Les fournisseurs de service numérique (FSN)
La loi a également institué un statut de fournisseur de service numérique retenu comme étant « tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services, à savoir :
- Les services de place de marché en ligne (conclusion de vente à distance) ;
- Les services de moteur de recherche en ligne (réponses à une requête par voie de recherche sur des bases de données électroniques) ;
- Les services d’informatique en nuage – ou cloud – entendu comme un ensemble de ressources informatiques pouvant être partagées.
Incontestablement, l’essentiel des activités numériques grand public se trouve ainsi soumis à cette nouvelle obligation de conformité et il n’échappera au lecteur que les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) se voient directement visés par ces mesures.
À cet effet, dès lors qu’ils ont leur siège en dehors de l’Union européenne, ils doivent désormais désigner un correspondant permanent auprès de l’ANSSI (article 11).
Dans le cadre de leurs services, au titre des obligations mises à leur charge, les fournisseurs de service numérique doivent garantir un niveau élevé de sécurité des réseaux et des systèmes d’information nécessaires à leurs activités, eu égard aux risques existants.
De fait, il leur appartient d’identifier et d’actualiser lesdits risques existants susceptibles de menacer et/ou d’affecter leurs réseaux et systèmes et d’adopter des contre-mesures dans les domaines prévus par la loi (article 12) :
- La sécurité des systèmes et des installations ;
- La gestion des incidents ;
- La gestion de la continuité des activités ;
- Le suivi, l’audit et le contrôle ;
- Le respect des normes internationales.
Ce faisant, tout fournisseur de service numérique devra intégrer une politique pertinente de sécurité des réseaux et systèmes d’information (PSSI) et définir des plans de continuité d’activité (PCA) et de reprise d’activité (PRA). Par voie de conséquence, cette cyberrésilience ainsi instituée doit être guidée par des impératifs techniques, mais encore par des considérations relevant de la gestion de crise, d’origine humaine, logique …
De même que pour les opérateurs de services essentiels, les fournisseurs de service numérique sont soumis à des contrôles de l’ANSSI et doivent signaler les incidents qui seront, le cas échant, connus du public.
Ici encore, le non-respect de se conformer aux prescriptions légales et règlementaires expose le fournisseur à 75 000 € d’amende, après mise en demeure restée infructueuse. L’absence de déclaration d’incident (cf. supra) expose le dirigeant à 50 000 € d’amende. Enfin, le fait de faire obstacle aux opérations de contrôle de l’ANSSI est sanctionné par une amende de 100 000 €.
II – La Directive (UE) 2022/2555 sur la cybersécurité et les entités essentielles et importantes (NIS 2)
La Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 a pour objectif d’assurer un niveau élevé commun de cybersécurité dans l’Union et de créer des capacités en matière de cybersécurité, ainsi que d’atténuer les menaces pesant sur les réseaux et les systèmes d’information qui fournissent des services essentiels dans des secteurs clés.
Elle inclut également des obligations pour les entreprises partenaires et les entreprises liées, des critères applicables aux microentreprises et aux petites entreprises, des mécanismes de financement pour couvrir les dépenses nécessaires à l’exécution des tâches des entités publiques chargées de la cybersécurité, et des accords de coopération pour encourager une cohérence des approches et des échanges d’informations entre les autorités compétentes.
Pour entrer dans le cadre de la directive NIS 2, une entité doit remplir les critères suivants :
1. Être établie dans l’Union européenne.
2. Être une entité prestataire de services essentiels ou un opérateur d’importance vitale.
3. Avoir un impact significatif sur la continuité des services essentiels. Cela signifie qu’un incident de sécurité de leur système d’information pourrait entraîner des conséquences graves pour la société.
4. Avoir un système d’information connecté à Internet
a) Cybersécurité et coopération entre États membres de l’Union européenne
Les États membres de l’Union européenne sont donc encouragés à inviter les petites et moyennes entreprises à relever les défis de la cybersécurité en mettant en place des points de contact, des services de configuration et de journalisation, et en adoptant des mesures pour améliorer le niveau de cybersécurité et faciliter l’utilisation de technologies innovantes.
La Commission européenne, l’ENISA et les États membres devraient encourager l’alignement sur les normes internationales ISO/CEI 30111 et ISO/CEI 29147 ainsi que les bonnes pratiques du secteur en matière de gestion des risques de cybersécurité.
Par ailleurs, les entités essentielles et importantes sont tenues de garantir la sécurité des systèmes d’information et appliquer des mesures de gestion des risques en matière de cybersécurité adaptées aux risques encourus.
L’intégration des sous-traitants et prestataires de services en charge d’une infrastructure critique dans la directive NIS 2 signe la fin des OSE.
En effet, les sous-traitants et prestataires de services ayant un accès à une infrastructure critique seront également soumis à la directive NIS 2, car les failles dans l’infrastructure d’un prestataire peuvent mettre à mal la sécurité des OSE pour lesquels il travaille.
Désormais, les OSE (Opérateurs de Service Essentiels), apparus avec NIS 1 fin 2018, désignés et audités par l’ANSSI (une version allégée des OIV introduits par la Loi de Programmation Militaire de 2013) vont être séparés en deux entités distinctes :
- Les EE, Entités Essentielles, englobant par exemple les secteurs de l’énergie, bancaire ou numérique.
- Les EI, Entités Importantes, englobant par exemple les secteurs postaux ou ceux de la gestion de déchets
La différenciation se fait par la criticité des secteurs associés, ainsi que la taille des entités.
Le nombre de catégories de secteurs concernés par la directive NIS 2 passe ainsi de 19 à 35.
En complément, chaque État membre peut désigner, à sa discrétion, certains opérateurs comme essentiels ou importants selon ses propres critères. Les entités officiellement considérées comme des « fournisseurs de services numériques » (FSN) dans la directive NIS sont à présent indiquées comme « entités importantes » dans la nouvelle proposition.
Les FSN qui fournissent des services dans plusieurs États membres relèvent de la juridiction de l’État membre dans lequel ils ont leur principal établissement. Cette mesure permet d’éviter tout chevauchement réglementaire.
La liste des entités importantes a été élargie et comprend : les services postaux et de courrier (notamment électronique), la gestion des déchets, la production alimentaire, l’industrie manufacturière, les market places, les moteurs de recherche en ligne et les réseaux sociaux.
Il a été défini que les entreprises définies comme « micro-entreprises et entreprises de petites tailles » devraient rester hors du champ d’application de la directive : l’ajout de restrictions et d’obligations de conformité complexes aux plus petites entreprises empêcherait leur croissance. Cependant, chaque État membre définit ses propres seuils d’application.
b) Obligations et règlements européens de cybersécurité
La Directive UE sur la cybersécurité a pour objectif d’obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union en instaurant des obligations aux États membres, telles que la désignation d’autorités compétentes, des mesures de gestion des risques et des obligations de partage d’informations.
Le Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 vise à promouvoir l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne et définit des termes tels que "risque", "cybermenace", "cybermenace importante", "produit TIC", "service TIC", "processus TIC", "vulnérabilité", "norme", "spécification technique". Réglementation et supervision des entités essentielles et importantes.
La Commission européenne a adopté des actes d’exécution qui définissent les situations dans lesquelles un incident est considéré comme important et ainsi, les entités essentielles et importantes doivent prendre des mesures techniques, opérationnelles et organisationnelles adaptées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information.
Ces mesures incluent des politiques d’analyse des risques et de sécurité des systèmes d’information, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement et les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs ou prestataires de services directs.
Afin de garantir la conformité aux exigences, les États membres peuvent prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC certifiés.
Les autorités compétentes des États membres sont chargées de veiller à ce que les mesures de supervision et d’exécution imposées aux entités essentielles soient effectives, proportionnées et dissuasives. Elles ont le pouvoir d’exercer diverses mesures de supervision, de coopérer étroitement avec les autorités de contrôle pour traiter des incidents donnant lieu à des violations de données à caractère personnel, ainsi que de demander des preuves de la mise en œuvre de politiques de cybersécurité.
La nouvelle directive élargit les pouvoirs de contrôle des autorités nationales, autorisant ces dernières à procéder à un audit des opérateurs vitaux, essentiels et importants dans une moindre mesure.
Les sanctions encourues en cas de non-respect de la directive NIS 2 dépendent de l’État membre de l’Union européenne dans lequel l’entreprise est établie. Cependant, elle prévoit généralement des sanctions administratives telles que des amendes (le montant peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires total annuel de l’entité concernée, le montant le plus important étant choisi) ou des pénalités financières en cas de non-respect des obligations en matière de sécurité des informations.
Le montant de ces sanctions peut varier considérablement en fonction de la gravité de l’incident de sécurité et de la négligence de l’entreprise. En outre, le manquement à la directive NIS 2 peut également entraîner des conséquences juridiques pour les entreprises, telles que des actions en responsabilité civile ou des poursuites judiciaires. Les entreprises peuvent également subir une perte de confiance de la part des clients et des consommateurs en raison de l’incident de sécurité, ce qui peut avoir un impact négatif sur leur réputation et leur activité commerciale.
Olivier de MAISON ROUGE
Avocat – Docteur en droit
Dernier ouvrage publié : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique & une indépendance stratégique » VA Editions, mars 2022
Inscription Newsletter
