Cybersécurité : la Directive NIS 2 en voie de transposition en France
La directive NIS 2 (Directive (UE) 2022/2555), adoptée le 27 décembre 2022, marque une étape importante dans l’harmonisation et le renforcement des mesures de cybersécurité au sein de l’Union européenne.
Elle remplace et renforce la première directive NIS de 2016, dans un contexte où les cybermenaces deviennent de plus en plus sophistiquées et où la résilience des réseaux et systèmes d’information est une priorité stratégique.
C’est pour quand ?
La directive NIS 2 est entrée en vigueur le 16 janvier 2023. Les États membres ont jusqu’au 17 octobre 2024 pour transposer ses dispositions en droit interne. À partir de cette date, les entités concernées devront être en conformité avec les nouvelles exigences, sous peine de sanctions.
La France n’a pas encore transposé le texte, mais un projet de loi en ce sens a été présenté en conseil des ministres.
Les entreprises concernées doivent donc anticiper son entrée en vigueur et appréhender la mise en place des obligations issues de la directive.
Qui est concerné par la directive ?
La directive NIS 2 élargit son champ d’application par rapport à la première directive. Elle s’applique désormais à 18 secteurs d’activité, en ciblant deux types d’entités :
- Les entités essentielles, telles que les fournisseurs d’infrastructures critiques (énergie, transport, santé, finance) ;
- Les entités importantes, comme les services numériques, les fournisseurs de services cloud, les services de gestion des réseaux sociaux, etc.
Secteurs d’activités concernés par la directive NIS 2 | |||
🏛️ | Administrations publiques | 🚆 | Transports |
🚰 | Eaux potable | 🧪 | Fabrication, production et distribution de produits chimiques |
💧 | Eaux usées | 🖥️ | Fournisseurs numériques |
⚡ | Énergies | ♻️ | Gestion des déchets |
🚀 | Espace | 🏭 | Industrie manufacturière |
💻 | Gestion des services Technologies de l’Information et de la Communication (interentreprises) | 🍞 | Production, transformation et distribution de denrées alimentaires |
💱 | Infrastructures des marchés financiers | 🔬 | Recherche |
📡 | Infrastructures numériques | 📦 | Services postaux et d’expédition |
🏥 | Santé | 🏦 | Secteur bancaire |
Cette catégorisation s’établit, pour les entreprises, selon leur degré de criticité, leur taille et leur chiffre d’affaires. A noter que les entreprises de taille moyenne à grande (plus de 50 employés et un chiffre d’affaires ou un bilan supérieur à 10 millions d’euros) sont principalement visées, bien que certaines petites entreprises opérant dans des secteurs critiques puissent également être concernées.
Le Gouvernement propose un test rapide (1 minute) permettant aux entreprises de déterminer si elles sont visées par cette nouvelle réglementation.
Quelles obligations sont introduites par la directive NIS 2 ?
- Renforcement de la gouvernance de la cybersécurité : Les entités concernées doivent désigner un responsable de la gestion des risques en matière de cybersécurité, garantir l’engagement de la direction sur ces questions et réaliser régulièrement des évaluations des risques pour identifier les vulnérabilités potentielles de leurs systèmes d’information.
- Mesures de cybersécurité : Les entités doivent établir des mesures appropriées pour garantir la sécurité de leurs réseaux et systèmes d’information et développer des plans de continuité des activités pour assurer la résilience de leurs opérations en cas d’incident majeur.
Comment se conformer à la directive ?
Les entités concernées doivent mettre en place des mesures techniques et organisationnelles appropriées. La directive prévoit 10 mesures de gestion des risques à mettre en œuvre par les entreprises, dont notamment :
- L’évaluation des risques et la sécurité des systèmes d’informations : Les entreprises doivent évaluer régulièrement les risques pesant sur la sécurité de leurs réseaux et systèmes d’information.
- La mise en œuvre de mesures de cybersécurité : Ces mesures doivent être adaptées à la nature des risques identifiés, incluant par exemple la gestion des accès, le chiffrement des données, et la mise en place de politiques de sécurité rigoureuses.
- Une politique de continuité des activités : les entreprises doivent notamment prévoir un plan de gestion des sauvegardes, un plan de reprise des activités, et de gestion des crises.
- Une politique de gestion des réseaux et systèmes d’information: afin d’assurer la sécurité de leur acquisition, leur développement et leur maintenance, y compris le traitement et la divulgation des vulnérabilités.
- La surveillance continue des réseaux : Les entités doivent assurer une surveillance continue des menaces et incidents de sécurité afin de pouvoir y réagir rapidement.
- Le signalement des incidents : Toute entité soumise à la directive doit notifier les incidents ayant un impact significatif sur la sécurité de ses services. Ces notifications doivent être envoyées à l’ANSSI dans un délai qui reste à déterminer.
Le projet de loi de transposition présenté en Conseil des ministres doit préciser les modalités d’application de ces différentes mesures.
Ces différentes mesures rappellent celles mises à la charge des entreprises au titre de leur obligation générale de sécurité des données personnelles, imposées par le RGPD ; ainsi que la nouvelle obligation de signalement des vulnérabilités logicielles auprès de l’ANSSI.
Quelles sanctions ?
Les autorités nationales compétentes (l’ANSSI en France) ont des pouvoirs renforcés pour surveiller la mise en conformité et peuvent infliger des amendes significatives en cas de non-respect des obligations (jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel).
Si vous souhaitez être accompagné sur les questions liées à la directive NIS 2, n’hésitez pas à prendre contact avec nos avocats en conformité.
Crédit photo panumas nikhomkhai