Par Quentin Gérard
Temps de lecture :
4 min
Publié le
Mis à jour le
NIS 2 succède à NIS 1. Cette deuxième version de Network and information system security (NIS) vise à renforcer la cybersécurité de certains acteurs fournissant des services jugés « essentiels ». La directive européenne a été adoptée en janvier 2023 et doit maintenant être transposée dans le droit français. Elle a été présentée en Conseil des ministres mi-octobre.
La directive NIS 1 a été promulguée en 2016 dans le but d’harmoniser les législations nationales en matière de cybersécurité. Avant son adoption, les États membres de l’UE avaient des approches divergentes et incohérentes pour réglementer la cybersécurité. Ce qui rendait difficile la coopération transfrontalière et la réponse aux incidents de cybersécurité à l’échelle européenne.
L’entrée en vigueur de NIS 2 vient donc renforcer le niveau commun de cybersécurité. Concrètement, certaines mesures seront à mettre en place pour certaines entités qualifiées comme « essentielles », comme les départements et communes, ou « importantes », comme les administrations publiques, en raison des services qu’elles fournissent et de leur taille. Ce nouveau règlement élargit ainsi considérablement le périmètre des acteurs et secteurs régulés par la directive NIS 1. En France, cela se traduit par une augmentation estimée du nombre d’entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18.
« La genèse de cette directive trouve sa source dans l’évolution du paysage de la menace », indique Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), instance chargée d’accompagner la mise en place de cette directive. « Il y a une nouvelle menace systémique, liée au crime organisé. A travers la paralysie d’hôpitaux, d’entreprises ou de secteurs publics », souligne-t-il, devant la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité du Palais du Luxembourg.
Derrière cette nouvelle criminalité cyber, se cache des « petits acteurs qui cherchent à se mettre en lumière », tance Vincent Strubel, qui indique que cela « pose aussi le lien de cohabitation entre certains états qui laissent faire ces groupes criminels ». Avec NIS 2, il y a aussi « un changement de paradigme dans la sanction », poursuit-il, car « on passe d’une logique de sanctions pénales à des sanctions administratives et financières ». Le montant de ses nouvelles sanctions peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires total annuel de l’entité concernée.
Le directeur de l’ANSSI le promet : il n’y aura pas de surtransposition par rapport aux autres Etats membres. « On va rechercher la proportionnalité, l’exigence sera soutenable et réaliste économiquement », indique-t-il. « Il faut se donner le temps pour mettre en œuvre proprement ces dispositions, mais poser un cadre le plus tôt possible », poursuit Vincent Strubel, directeur de l’agence depuis janvier dernier. « Il faudra au moins trois ans avant d’exiger une conformité complète », ajoute-t-il. Notamment à cause des délais d’investissement, des renouvellements des contrats. Le délai sera réduit à six mois pour les entreprises ou administrations pour qui les investissements seront moindres.
Le projet de loi apporte des précisions sur les définitions des entités « essentielles » et « importantes », qui devront selon leur classification répondre à certaines obligations. Les régions, les départements et les communes d’une population supérieure à 30 000 habitants correspondent au spectre des « entités essentielles » (elles auront davantage d’objectifs à remplir que les entités importantes). Pour les entités importantes, sont notamment concernés les communautés de communes et leurs établissements publics administratifs. Enfin il a été confirmé dans ce projet de loi que l’ANSSI, ne souhaite pas voir les collectivités être soumises à des sanctions en cas de non-conformité.
Pour aller plus loin
Parlementaire
La réforme de l’audiovisuel public ira-t-elle au bout de sa seconde lecture au Sénat ? La gauche sénatoriale, fermement opposée à cette proposition de loi soutenue par Rachida Dati, a multiplié les manœuvres parlementaires pour ralentir l'examen de ce texte jeudi. Un véritable supplice chinois pour la ministre de la Culture et la majorité sénatoriale de droite et du centre, alors que la session parlementaire est supposée s’arrêter vendredi soir.
Le
Parlementaire
Marchés publics : un rapport sénatorial dénonce un « recours massif » de l’Etat aux GAFAM
Le rapport de la commission d’enquête sur la commande publique met en lumière un déficit de pilotage de l’Etat en la matière. Les sénateurs appellent à utiliser ce « levier » de souveraineté en déclinant des mesures de l’échelon des collectivités à l’échelon européen. Ce travail pourrait donner lieu à deux propositions de loi à la rentrée.
Le
Parlementaire
Le Sénat rend hommage à Olivier Marleix
En préambule des questions d’actualités au gouvernement, le président Gérard Larcher a rendu hommage au député Les Républicains, Olivier Marleix, retrouvé mort à son domicile lundi. Il a rappelé l’engagement du député « marqué par le gaullisme ». François Bayrou a également salué la mémoire d’Olivier Marleix.
Le
Parlementaire
Le Sénat examinera en seconde lecture, à partir de jeudi, la réforme de l’audiovisuel public, une proposition de loi issue des rangs centristes mais fermement défendue par la ministre de la Culture Rachida Dati. La gauche sénatoriale accuse la locataire de la rue de Valois de tenter un passage en force sur ce texte qui vise à rapprocher dans une même entité France Télévisions, Radio France, France Médias Monde et l’Institut national de l’audiovisuel (INA).
Le
Le Sénat rejette la réforme du scrutin Paris - Lyon - Marseille