La nouvelle directive européenne sur la cybersécurité, dite « NIS 2 » (ou « SRI 2 » en français), entrera en vigueur dans quelques jours. Elle remplacera la première directive NIS en l’améliorant sur tous les points. Harmonisation, réponse en cas de crise, partage des compétences : panorama des changements les plus importants.
La première directive concernait des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union est arrivée en 2016. Elle a représenté une évolution importante des pratiques en Europe en matière de cybersécurité, mais cette dernière a profondément été transformée durant les dernières années, s’adaptant sans cesse aux nouvelles menaces dans un éternel jeu du chat et de la souris.
Le phénomène s’est particulièrement renforcé depuis le début de la pandémie de COVID-19 et la guerre en Ukraine. De plus, son application était fragmentée en Europe. La France avait même été épinglée pour défaut de transposition intégrale du texte. Cette première directive a cependant fait bouger les lignes en proposant une approche cohérente et institutionnelle de la cybersécurité et en propulsant le rôle prépondérant des États.
Ces derniers devaient non seulement renforcer leurs propres infrastructures face aux menaces, mais également établir un socle pour les entités aussi bien publiques que privées dans sept secteurs cruciaux : énergie, transports, banque, marchés financiers, santé, distribution de l’eau et infrastructures numériques. Elle a aussi imposé aux opérateurs jugés essentiels (ou vitaux) et services numériques des exigences, tant pour la cybersécurité que le signalement des incidents.
Avec le temps, plusieurs carences sont apparues, notamment le faible niveau constaté des entreprises dans l’Union européenne en matière de résilience. « En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité », peut-on lire dans le nouveau texte.
La résilience était de plus variable d’un État membre à un autre. En outre, et en dépit des efforts engendrés par la directive, il existait des écarts importants entre les pays, sans réelle prise de conscience conjointe ni mécanismes appropriés de réponse concertée face aux crises pouvant se présenter. Un pays pouvait par exemple imposer aux établissements de santé une déclaration et une communication sur les incidents cyber et pas un autre.
La nouvelle directive NIS 2, publiée au journal officiel le 27 décembre, ambitionne de combler ces lacunes et d’aller plus loin dans d’autres domaines. Elle étend notamment le nombre de secteurs essentiels, propose des règles et définitions harmonisées et mises à jour pour la défense de l’Union européenne et prévoit des stratégies nationales de résilience, ainsi qu’une meilleure communication transfrontalière. Enfin, elle crée un groupe de coopération stratégique et d’échange d’informations entre États membres, CyCLONe.