NIS 2 succède à NIS 1. Cette deuxième version de Network and information system security (NIS) vise à renforcer la cybersécurité de certains acteurs fournissant des services jugés « essentiels ». La directive européenne a été adoptée en janvier 2023 et doit maintenant être transposée dans le droit français. Elle a été présentée en Conseil des ministres mi-octobre.
La directive NIS 1 a été promulguée en 2016 dans le but d’harmoniser les législations nationales en matière de cybersécurité. Avant son adoption, les États membres de l’UE avaient des approches divergentes et incohérentes pour réglementer la cybersécurité. Ce qui rendait difficile la coopération transfrontalière et la réponse aux incidents de cybersécurité à l’échelle européenne.
L’entrée en vigueur de NIS 2 vient donc renforcer le niveau commun de cybersécurité. Concrètement, certaines mesures seront à mettre en place pour certaines entités qualifiées comme « essentielles », comme les départements et communes, ou « importantes », comme les administrations publiques, en raison des services qu’elles fournissent et de leur taille. Ce nouveau règlement élargit ainsi considérablement le périmètre des acteurs et secteurs régulés par la directive NIS 1. En France, cela se traduit par une augmentation estimée du nombre d’entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18.
Evolution de la menace
« La genèse de cette directive trouve sa source dans l’évolution du paysage de la menace », indique Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), instance chargée d’accompagner la mise en place de cette directive. « Il y a une nouvelle menace systémique, liée au crime organisé. A travers la paralysie d’hôpitaux, d’entreprises ou de secteurs publics », souligne-t-il, devant la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité du Palais du Luxembourg.
Derrière cette nouvelle criminalité cyber, se cache des « petits acteurs qui cherchent à se mettre en lumière », tance Vincent Strubel, qui indique que cela « pose aussi le lien de cohabitation entre certains états qui laissent faire ces groupes criminels ». Avec NIS 2, il y a aussi « un changement de paradigme dans la sanction », poursuit-il, car « on passe d’une logique de sanctions pénales à des sanctions administratives et financières ». Le montant de ses nouvelles sanctions peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires total annuel de l’entité concernée.
3 ans avant une conformité complète
Le directeur de l’ANSSI le promet : il n’y aura pas de surtransposition par rapport aux autres Etats membres. « On va rechercher la proportionnalité, l’exigence sera soutenable et réaliste économiquement », indique-t-il. « Il faut se donner le temps pour mettre en œuvre proprement ces dispositions, mais poser un cadre le plus tôt possible », poursuit Vincent Strubel, directeur de l’agence depuis janvier dernier. « Il faudra au moins trois ans avant d’exiger une conformité complète », ajoute-t-il. Notamment à cause des délais d’investissement, des renouvellements des contrats. Le délai sera réduit à six mois pour les entreprises ou administrations pour qui les investissements seront moindres.
Le projet de loi apporte des précisions sur les définitions des entités « essentielles » et « importantes », qui devront selon leur classification répondre à certaines obligations. Les régions, les départements et les communes d’une population supérieure à 30 000 habitants correspondent au spectre des « entités essentielles » (elles auront davantage d’objectifs à remplir que les entités importantes). Pour les entités importantes, sont notamment concernés les communautés de communes et leurs établissements publics administratifs. Enfin il a été confirmé dans ce projet de loi que l’ANSSI, ne souhaite pas voir les collectivités être soumises à des sanctions en cas de non-conformité.