Cybersécurité : la directive européenne NIS 2 est là, ce qu’elle change pour les États membres

La nouvelle directive européenne sur la cybersécurité, dite « NIS 2 » (ou « SRI 2 » en français), entrera en vigueur dans quelques jours. Elle remplacera la première directive NIS en l’améliorant sur tous les points. Harmonisation, réponse en cas de crise, partage des compétences : panorama des changements les plus importants.

La première directive concernait des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union est arrivée en 2016. Elle a représenté une évolution importante des pratiques en Europe en matière de cybersécurité, mais cette dernière a profondément été transformée durant les dernières années, s’adaptant sans cesse aux nouvelles menaces dans un éternel jeu du chat et de la souris.

Le phénomène s’est particulièrement renforcé depuis le début de la pandémie de COVID-19 et la guerre en Ukraine. De plus, son application était fragmentée en Europe. La France avait même été épinglée pour défaut de transposition intégrale du texte. Cette première directive a cependant fait bouger les lignes en proposant une approche cohérente et institutionnelle de la cybersécurité et en propulsant le rôle prépondérant des États.

Ces derniers devaient non seulement renforcer leurs propres infrastructures face aux menaces, mais également établir un socle pour les entités aussi bien publiques que privées dans sept secteurs cruciaux : énergie, transports, banque, marchés financiers, santé, distribution de l’eau et infrastructures numériques. Elle a aussi imposé aux opérateurs jugés essentiels (ou vitaux) et services numériques des exigences, tant pour la cybersécurité que le signalement des incidents.

Avec le temps, plusieurs carences sont apparues, notamment le faible niveau constaté des entreprises dans l’Union européenne en matière de résilience. « En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité », peut-on lire dans le nouveau texte.

La résilience était de plus variable d’un État membre à un autre. En outre, et en dépit des efforts engendrés par la directive, il existait des écarts importants entre les pays, sans réelle prise de conscience conjointe ni mécanismes appropriés de réponse concertée face aux crises pouvant se présenter. Un pays pouvait par exemple imposer aux établissements de santé une déclaration et une communication sur les incidents cyber et pas un autre.

La nouvelle directive NIS 2, publiée au journal officiel le 27 décembre, ambitionne de combler ces lacunes et d’aller plus loin dans d’autres domaines. Elle étend notamment le nombre de secteurs essentiels, propose des règles et définitions harmonisées et mises à jour pour la défense de l’Union européenne et prévoit des stratégies nationales de résilience, ainsi qu’une meilleure communication transfrontalière. Enfin, elle crée un groupe de coopération stratégique et d’échange d’informations entre États membres, CyCLONe.

Un champ d’application élargi

Comme indiqué, l’un des premiers gros changements est le passage de sept secteurs essentiels à onze : énergie, transports, banques, infrastructures de marché financier, infrastructures numériques, eau potable, eaux usées, alimentaire (incluant la production, le traitement et la livraison), la santé, l’administration publique et l’espace.

Ces secteurs sont largement détaillés dans le texte. Par exemple, celui de l’énergie concerne toute la production et le transport pour l’électricité, les réseaux de chaleur et de froid, le pétrole, le gaz et l’hydrogène, pour lequel l’Europe a d’ailleurs de grandes ambitions. Dans la santé, on retrouve la totalité des prestataires de soins, les laboratoires, ainsi que toutes les entités exerçant des activités de recherche, pharmaceutiques ou de fabrication de dispositifs médicaux jugés critiques.

Les infrastructures numériques couvrent un très large domaine et impliquent les fournisseurs de points d’échange internet, de services DNS (mais pas les opérateurs de serveurs racines), de solutions de cloud, de centres de données, de diffusion de contenus, de services de confiance, ou encore de réseaux de communications électroniques publics.

Viennent s’ajouter d’autres secteurs que l’on pourrait qualifier de « logiques », comme les services postaux et de courrier, ou encore tout ce qui touche aux produits chimiques, de leur fabrication à leur distribution.

On note également l’entrée du secteur de l’espace, concernant tous les « exploitants d’infrastructures terrestres, détenues, gérées et exploitées par des États membres ou par des parties privées, qui soutiennent la fourniture de services spatiaux, à l’exclusion des fournisseurs de réseaux de communications électroniques publics ».

À tous ces secteurs, la directive NIS 2 impose des stratégies nationales de résilience. Elles sont établies par les États membres sur la base d’un socle commun. Rien n’empêche d’aller plus loin, mais cette nouvelle base, plus riche et plus stricte que l’ancienne, doit faciliter la communication et les réactions, afin d’établir notamment un langage commun, facilement interprétable par les autres États.

En outre, la nouvelle directive NIS 2 introduit un changement conséquent vis-à-vis de la première du nom. Avec cette dernière, les États membres devaient déterminer les entités qui remplissaient les critères pour être qualifiées d’opérateurs essentiels. Ce n’est plus le cas dans la version 2 : la règle est commune à tous les pays membres et associée à un plafond.

Traduction : toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive entrent automatiquement dans son champ d’application. Les micro et petites entités en sont exemptées, sauf dans quatre domaines : fournisseurs de réseaux de communications électroniques, prestataires de services de confiance, registres de noms de domaine de premier niveau et administrations publiques.

La directive exclut notablement plusieurs domaines, comme la défense, la sécurité nationale, la sécurité publique, l’application des lois, le pouvoir judiciaire, les parlements ou encore les banques centrales. Ils sont rattachés à des compétences régaliennes et sont donc laissés à l’appréciation des États membres. En revanche, les administrations publiques sont concernées plus finement, avec une application aux niveaux central et régional. Les pays membres pourront choisir de l’appliquer au niveau local, à leur entière discrétion.

De nouvelles règles et une extension aux entreprises

La « grande affaire » de la directive NIS 2 est sans doute son extension aux entreprises, donc au monde du privé n’appartenant pas strictement aux onze catégories mentionnées plus haut.

On y trouve une séparation entre les entités essentielles et celles jugées importantes, incluant un régime de supervision différent : « Ainsi, les entités essentielles devraient être soumises à un régime de supervision à part entière, ex ante et ex post, tandis que les entités importantes devraient pour leur part être soumises à un régime de supervision léger, uniquement ex post », indique le texte. Ces supervisions « après les faits » pourront se faire sur la base de preuves ou d’informations portées à la connaissance des autorités compétentes.

Mais qu’est-ce qui différencie au juste ces deux types d’entités ? La directive l’explique dans son article 3 : toute entité appartenant à l’un des secteurs couverts et n’étant pas considérée comme essentielle est importante. Ce qui devrait concerner, au bas mot, des dizaines de milliers d’entreprises, qui devront donc s’adapter et s’assurer que leur stratégie de cyberrésilience est dans les clous.

Chaque État membre devra avoir communiqué une liste de ses entités essentielles et importantes au plus tard le 17 avril 2025. Cette liste devra régulièrement être réexaminée, au minimum tous les deux ans.

Ce n’est pas tout, puisque la directive impose aux États membres de s’assurer que les organes de direction comme les organismes concernés approuvent les mesures de gestion des risques cyber adoptées par ces mêmes entités. Ce qui signifie notamment l’obligation pour l’ensemble des décideurs de suivre une formation sur la cybersécurité.

Précisons que la directive se présente comme une « harmonisation minimale ». Elle ne fait « pas obstacle à l’adoption ou au maintien par les États membres de dispositions assurant un niveau plus élevé de cybersécurité, à condition que ces dispositions soient compatibles avec les obligations des États membres prévues par le droit de l’Union ».

Pour toutes ces entités, la stratégie nationale s’appliquera de manière uniforme. Elle devra :

• déterminer les objectifs et ressources nécessaires aux objectifs, comprenant « les mesures politiques et réglementaires appropriées »,
• préciser les rôles des parties prenantes,
• déterminer les actifs pertinents et une évaluation des risques,
• dresser l’inventaire des mesures garantissant la préparation, la réaction et la récupération des services après incident, y compris la coopération entre les secteurs public et privé,
• établir la liste des acteurs et autorités concernés par la mise en œuvre de cette stratégie,
• créer un cadre politique favorisant une coordination renforcée entre les autorités compétentes,
• bâtir un plan de sensibilisation des citoyens à la cybersécurité.

Ce dernier point devrait particulièrement plaire à l’ensemble des acteurs de ce domaine qui ont pu s’exprimer ces dernières années, car tous ou presque le mettaient en avant.

Les États devront également adopter des politiques globales pour la cybersécurité des chaines d’approvisionnement de produits TIC (Technologies de l'information et de la communication), l’inclusion et la spécification d’exigences pour la cybersécurité dans les marchés publics, la gestion des vulnérabilités, la promotion et le développement de technologies considérées comme « avancées » pour mettre en œuvre des « mesures de pointe » en cybersécurité, ou encore, dans le même esprit, le soutien au monde universitaire et de la recherche dans ce même domaine.

Les États devront en outre faire la promotion de la cybersécurité active, ainsi que « des valeurs de cyberrésilience et de cyberhygiène des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d’application de la présente directive ».

Ces stratégies nationales, quand elles auront été adoptées, auront trois mois pour être notifiées à la Commission européenne. Les États devront évaluer régulièrement leurs stratégies et les mettre à jour au moins une fois tous les cinq ans. L’ENISA (Agence de l'Union européenne pour la cybersécurité) pourra aider à l’établissement de ces stratégies.

Un CyCLONe sur l’Europe

La nouvelle directive instaure le CyCLONe (Cyber Crises Link Organisation Network), réseau européen d’organisations de liaison en cas de crises de cybersécurité. Sa mission principale est de soutenir la gestion coordonnée lors des crises et incidents majeurs en matière de cybersécurité dans l’Union.

Le CyCLONe doit garantir à la fois des réponses communes et des échanges réguliers entre États membres, mais aussi avec les institutions, organes et agences de l’Union.

Les autorités compétentes de type ANSSI (Agence nationale de la sécurité des systèmes d'information) voient leur rôle renforcé. À charge pour elles de faire appliquer notamment les règles plus strictes. Les États devront également désigner un point de contact unique (les CSIRT, centres de réponse aux incidents de sécurité informatique), qui sera dans la majorité des cas l’agence compétente (ou les agences).

Ces points de contact assureront « une coopération transfrontalière efficace » avec les autorités des autres pays membres, ainsi qu'avec la Commission européenne et l’ENISA. Cette dernière va bénéficier d’une augmentation de budget et de ressources humaines.

Ces nominations sont rendues obligatoires par le nouveau cadre. Ce dernier permet et impose la divulgation coordonnée des vulnérabilités. Les CSIRT – dont l’ANSSI fait partie – agiront en tant qu’intermédiaires de confiance entre tous les acteurs de la chaine : entreprises, administrations, États, institutions européennes, etc.

L’ENISA, qui assure le lien entre les CSIRT, aura également pour nouvelle mission de tenir à jour un registre complet de toutes les vulnérabilités constatées dans les pays membres de l’Union. Les informations doivent être d’autant mieux collectées que ces pays vont devoir mettre en place un cadre national de gestion de crise en cybersécurité, si ce n’est pas déjà fait. De plus, elle devra produire tous les deux ans un rapport sur l’état de la cybersécurité dans l’Union.

Point intéressant, la Commission mettra en place un système d’évaluation par les pairs, qui permettra aux États membres qui le souhaitent de soumettre leurs politiques de cybersécurité, à des fins d’examen collégial. Cette évaluation se fera sur une base volontaire.

Dans chaque pays, l’autorité compétente aura pour mission supplémentaire de surveiller la bonne application du cadre. Ce qui risque de peser lourdement sur l’ANSSI en France, déjà fort occupée. Cependant, les pouvoirs des CSIRT vont mathématiquement augmenter, avec de nouvelles capacités d’action, dont la capacité à infliger des amendes ou à demander de le faire.

Mais si la directive harmonise les pratiques et mécanismes, elle ne le fait pas pour les montants des amendes. Il reviendra à chaque État membre de déterminer les fourchettes, en fonction de sa propre situation économique. Les sanctions devront dans tous les cas être « effectives, proportionnées et dissuasives ». Elles pourront être accompagnées d’autres mesures, comme la suspension temporaire d’une certification. Dans le cas d’entités fournissant des services dans plusieurs pays, ces derniers devront « coopérer et se prêter mutuellement assistance ».

Nous avons demandé à l’ANSSI si le sujet de son budget était actuellement débattu dans le cadre de cette directive et attendons sa réponse.

Quand la directive sera-t-elle appliquée dans l'Union ?

Maintenant que la directive NIS 2 a été publiée au journal officiel, son entrée en vigueur est prévue pour le vingtième jour suivant sa publication, soit le lundi 16 janvier. À compter de cette date, les États membres auront 21 mois pour intégrer ses dispositions dans leur droit national.

Cela ne signifie pas nécessairement qu’il faudra attendre presque deux ans pour que la directive soit appliquée dans les pays de l’Union. Chacun peut déjà être en train de travailler sur cette intégration, il s’agit simplement d’un délai à ne pas dépasser. Il est fort probable que ce texte, particulièrement important pour la cybersécurité dans l’Union européenne, soit appliqué avant, même s’il engendre un vaste chantier de « mise au pas » des entreprises.

En outre, la directive NIS 2 prévoit que la Commission européenne pourra la compléter avec d’autres mesures, par exemple pour établir quelles catégories d’entités essentielles et importantes doivent intégrer des « produits TIC, services TIC et processus TIC certifiés » ou obtenir une certification. La nouvelle directive est donc évolutive, ce que n’était pas l’ancienne. Le travail se fera conjointement avec le Parlement et le Conseil, ainsi qu’un panel d’experts.

Cette évolutivité se retrouve dans un autre mécanisme, entrainant un réexamen régulier du texte par la Commission pour juger de son adéquation dans le temps. Objectif premier, identifier les plateformes et autres structures qui pourraient être amenées à intégrer l’une des catégories jugées essentielles ou importantes, afin qu’elles en aient les mêmes obligations.

Enfin, si la directive harmonise les pratiques et veut augmenter le niveau global de cybersécurité dans l’Union, elle ne touche pas aux « droits fondamentaux et observe les principes reconnus par la Charte, en particulier le droit au respect de la vie privée et du caractère privé des communications, le droit à la protection des données à caractère personnel, la liberté d’entreprise, le droit de propriété, le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense ». Son application devra donc respecter ces mêmes droits dans chaque État membre.