Par Quentin Gérard
Temps de lecture :
4 min
Publié le
Mis à jour le
NIS 2 succède à NIS 1. Cette deuxième version de Network and information system security (NIS) vise à renforcer la cybersécurité de certains acteurs fournissant des services jugés « essentiels ». La directive européenne a été adoptée en janvier 2023 et doit maintenant être transposée dans le droit français. Elle a été présentée en Conseil des ministres mi-octobre.
La directive NIS 1 a été promulguée en 2016 dans le but d’harmoniser les législations nationales en matière de cybersécurité. Avant son adoption, les États membres de l’UE avaient des approches divergentes et incohérentes pour réglementer la cybersécurité. Ce qui rendait difficile la coopération transfrontalière et la réponse aux incidents de cybersécurité à l’échelle européenne.
L’entrée en vigueur de NIS 2 vient donc renforcer le niveau commun de cybersécurité. Concrètement, certaines mesures seront à mettre en place pour certaines entités qualifiées comme « essentielles », comme les départements et communes, ou « importantes », comme les administrations publiques, en raison des services qu’elles fournissent et de leur taille. Ce nouveau règlement élargit ainsi considérablement le périmètre des acteurs et secteurs régulés par la directive NIS 1. En France, cela se traduit par une augmentation estimée du nombre d’entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18.
« La genèse de cette directive trouve sa source dans l’évolution du paysage de la menace », indique Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), instance chargée d’accompagner la mise en place de cette directive. « Il y a une nouvelle menace systémique, liée au crime organisé. A travers la paralysie d’hôpitaux, d’entreprises ou de secteurs publics », souligne-t-il, devant la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité du Palais du Luxembourg.
Derrière cette nouvelle criminalité cyber, se cache des « petits acteurs qui cherchent à se mettre en lumière », tance Vincent Strubel, qui indique que cela « pose aussi le lien de cohabitation entre certains états qui laissent faire ces groupes criminels ». Avec NIS 2, il y a aussi « un changement de paradigme dans la sanction », poursuit-il, car « on passe d’une logique de sanctions pénales à des sanctions administratives et financières ». Le montant de ses nouvelles sanctions peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires total annuel de l’entité concernée.
Le directeur de l’ANSSI le promet : il n’y aura pas de surtransposition par rapport aux autres Etats membres. « On va rechercher la proportionnalité, l’exigence sera soutenable et réaliste économiquement », indique-t-il. « Il faut se donner le temps pour mettre en œuvre proprement ces dispositions, mais poser un cadre le plus tôt possible », poursuit Vincent Strubel, directeur de l’agence depuis janvier dernier. « Il faudra au moins trois ans avant d’exiger une conformité complète », ajoute-t-il. Notamment à cause des délais d’investissement, des renouvellements des contrats. Le délai sera réduit à six mois pour les entreprises ou administrations pour qui les investissements seront moindres.
Le projet de loi apporte des précisions sur les définitions des entités « essentielles » et « importantes », qui devront selon leur classification répondre à certaines obligations. Les régions, les départements et les communes d’une population supérieure à 30 000 habitants correspondent au spectre des « entités essentielles » (elles auront davantage d’objectifs à remplir que les entités importantes). Pour les entités importantes, sont notamment concernés les communautés de communes et leurs établissements publics administratifs. Enfin il a été confirmé dans ce projet de loi que l’ANSSI, ne souhaite pas voir les collectivités être soumises à des sanctions en cas de non-conformité.
Pour aller plus loin
Parlementaire
Selon les conclusions de la commission d’enquête du Sénat sur les agences et opérateurs d’Etat, il ne sera pas possible de trouver des milliards d’euros d’économies en supprimant ces structures, sauf à stopper leurs politiques publiques. En poussant les mutualisations, près de 540 millions d’euros peuvent être espérés. Un constat qui démonte le récit fait par la ministre Amélie de Montchalin.
Le
Parlementaire
Fin de vie : le Sénat se nourrit des expériences étrangères
Après avoir entendu les anciens députés Jean Leonetti et Alain Claeys, auteurs du texte de loi « Claeys – Leonetti » relatif aux droits du patient en fin de vie, les sénateurs de la commission des affaires sociales ont souhaité entendre certaines expériences étrangères où l’euthanasie est autorisée comme en Belgique, au Québec et aux Pays-Bas.
Le
Parlementaire
Durant la séance de questions d’actualité au gouvernement, ce mercredi 2 juillet, l’élue écologiste a accusé le gouvernement de « mener une politique climaticide dictée par l’extrême droite », afin de se maintenir au pouvoir dans un contexte de forte fracturation politique. Alors que la France suffoque depuis plusieurs jours sous une vague de chaleur particulièrement précoce et intense, la ministre Agnès Pannier-Runacher a tenté de faire valoir les adaptations mises en place depuis la canicule de 2003.
Le
Parlementaire
La réforme de l’audiovisuel public revient au Sénat : une planche de salut pour Rachida Dati ?
Après son rejet par l’Assemblée nationale, l’examen de la proposition de loi sur l’audiovisuel public revient en seconde lecture au Sénat à partir du 10 juillet. La ministre de la Culture, qui a fait de cette réforme l’étendard de son action au gouvernement, devrait s’appuyer sur la Chambre haute, dominée par une majorité de centre-droit, pour imposer ses idées, contre une gauche farouchement opposée à ce texte.
Le
L'intégrale du jeudi 3 juillet