La directive NIS 2 (Netwrok and Information Security 2), entrée en vigueur le 16 janvier 2023, vise à renforcer la cybersécurité et la résilience numérique face aux menaces en constante évolution.
Cette directive étend le champ d'application de la Directive NIS de 2016 et impose des exigences plus strictes en matière de cybersécurité aux industries concernées.
Les États membres de l'UE ont jusqu'en octobre 2024 pour transposer la directive NIS 2 en droit national, sous peine de sanctions administratives sévères.
L'ANSSI, l'autorité française en matière de cybersécurité, veillera au respect de la directive et à la mise en place d'un écosystème numérique sécurisé.
Un nouveau cadre pour la cybersécurité et la résilience numérique
La Directive NIS 2, véritable révolution dans le domaine de la cybersécurité, marque un tournant majeur dans la protection des réseaux et des systèmes d'information au sein de l'Union Européenne.
Ce nouveau cadre, qui vise à renforcer la sécurité et à améliorer la capacité des États membres à faire face aux cybermenaces, est une réponse aux défis grandissants que représentent les attaques informatiques pour la stabilité et la prospérité de l'UE.
Ce cadre novateur repose sur plusieurs piliers fondamentaux. Tout d'abord, la Directive NIS 2 étend son champ d'application, initialement défini par la Directive NIS de 2016, en intégrant davantage de secteurs et d'entités.
Ainsi, un plus grand nombre d'organisations seront soumises à des normes strictes en matière de cybersécurité et devront mettre en place des mesures de résilience numérique adaptées.
De plus, cette directive renforce les exigences concernant la notification des incidents de sécurité, imposant aux organisations concernées de signaler rapidement les incidents significatifs aux autorités compétentes, afin de permettre une réponse coordonnée et efficace.
La Directive NIS 2 encourage également la collaboration et l'échange d'informations entre les États membres et les acteurs du secteur privé. Cette coopération est indispensable pour garantir une approche harmonisée et cohérente de la cybersécurité à travers l'Union Européenne.
Enfin, ce nouveau cadre prévoit des mécanismes de contrôle et de sanctions pour assurer le respect des nouvelles exigences en matière de cybersécurité. Les États membres devront désigner des autorités compétentes pour veiller à la conformité et appliquer des sanctions en cas de non-respect des règles.
Un champ d'application élargi et des exigences renforcées
La directive NIS 2 élargit le champ d'application de la Directive NIS de 2016, en ciblant un éventail plus large d'industries et en étendant les exigences en matière de cybersécurité.
Parmi les nouvelles dispositions, on retrouve la maîtrise des risques liés aux tiers, la rationalisation des obligations de signalement et l'introduction d’exigences strictes en matière de mise en application.
En somme, la directive NIS 2 impose aux organisations concernées de mettre en place un cadre complet de gestion des risques pour accroître le niveau global de résilience en matière de cybersécurité au sein de l'UE.
Parmi les secteurs impactés par cette mise à jour, on retrouve tout d'abord les secteurs déjà critiques sous NIS 1. Les entreprises précédemment catégorisées comme Opérateurs de Services Essentiels (OSE) seront automatiquement concernées par NIS 2.
Parmi les nouveautés, le secteur spatial fait son apparition, incluant les exploitants d'infrastructures terrestres et les appareils spatiaux. Le secteur alimentaire est également pris en compte, couvrant la production, la transformation et la distribution de denrées alimentaires, y compris les coopératives et la grande distribution.
Le secteur de la fabrication n'est pas en reste, avec la fabrication industrielle, l'équipement, les machines-outils, les moyens de transport et les dispositifs électroniques et optiques.
Les technologies de l'information et de la communication connaissent également une extension, avec l'inclusion des plateformes de marché en ligne, des sites e-commerce mettant en relation vendeurs et acheteurs, ainsi que des moteurs de recherche et des réseaux sociaux employant plus de 50 personnes.
La gestion des déchets et des eaux usées rejoint les secteurs déjà concernés par NIS 1, tels que la gestion de l'eau potable.
La production et la distribution de produits chimiques forment désormais un secteur à part, en raison de réglementations spécifiques.
Les administrations locales et régionales sont également prises en compte, bien que certaines décisions concernant leur inclusion soient laissées à la discrétion des États membres, avec une attention particulière aux grandes métropoles et aux communautés de communes.
Les organismes de recherche et les établissements d'enseignement supérieur effectuant des activités de recherche critique sont également inclus, bien que la définition soit encore à préciser.
Enfin, les services essentiels à la santé publique et à la sécurité font partie des secteurs concernés. Cette catégorie, laissée à la discrétion des États membres, comprend les services dont la perturbation pourrait avoir un impact significatif sur la santé publique, la sûreté et la sécurité.
Transposition en droit national et sanctions en cas de non-respect
Les États membres de l'UE ont jusqu'en octobre 2024 pour transposer la directive NIS 2 en droit national. Les autorités nationales compétentes veilleront au respect de la loi, en ayant recours à des sanctions administratives sévères et à des mesures correctives si nécessaire. En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) sera chargée de réguler et de contrôler l'application de la directive.
L'ANSSI, garante de la cybersécurité en France
L'ANSSI joue un rôle clé dans la mise en œuvre et le respect de la directive NIS 2 en France. L'agence accompagnera les acteurs concernés dans leur mise en conformité avec les nouvelles exigences en matière de cybersécurité. En veillant à l'application des sanctions en cas de non-respect, l'ANSSI contribuera à renforcer la cybersécurité et la résilience numérique au niveau national et européen.
Sources :
