Restructuration du cadre européen de la cybersécurité : Que modifie la directive NIS 2 et quels sont les impacts pour les entreprises ?

  A-t-on pris la mesure des conséquences sur l'administration et les entreprises européennes de la Directive NIS 2 ? Adoptée en 2022 pour une entrée en vigueur en janvier 2023, cette directive, mûrie depuis des années à Bruxelles, vise à instaurer des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Unio

 Consciente que la transition numérique est un élément essentiel pour le développement économique et l'autonomie stratégique de l'Union Européenne (l’« UE » ou l’« Union »), l'UE travaille sur un certain nombre de domaines d'action afin de sécuriser l’avenir numérique de l'Europe. En mars 2021, la Commission a notamment présenté la « boussole numérique », qui définissait une vision et des objectifs pour encourager le passage au numérique dans l'Union d'ici à 2030. Cette stratégie fait de la sûreté et de la sécurité de l’environnement numérique une de ses valeurs ; et elle comprend un programme d'action "La voie à suivre pour la décennie numérique", qui établit le cadre de gouvernance en vue d'atteindre les objectifs numériques à l'horizon 2030 et prévoit notamment des mesures juridiques visant à renforcer le niveau global de cybersécurité dans l’UE.

C'est dans ce cadre que se situe la directive (UE) 2022/2255 du Parlement européen et du Conseil de décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (la « Directive NIS 2 » ou « NIS 2 »). Cette directive est entrée en vigueur le 16 janvier 2023 et son objectif est de réhausser le niveau commun de cybersécurité de l'Union européenne.

NIS 2 abroge et remplace son prédécesseur, la directive (UE) 2016/1148 du Parlement européen et du Conseil de juillet 2016 concernant des mesures pour un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (la « Directive NIS » ou « NIS »). NIS était la première norme intersectorielle sur la cybersécurité dans l'UE et visait un renforcement de la coopération des Etats membres à l’échelle européenne. Elle s’était très fortement appuyée sur les travaux nationaux français, notamment sur la loi de programmation militaire (« LPM ») de décembre 2013 pour ce qui est de la régulation des opérateurs d’importance vitale en matière de cybersécurité.

Dans un communiqué de presse du 13 mai 2022, Thierry Breton, commissaire européen au commerce intérieur, a souligné l’importance de cette révision de la Directive NIS : « Malgré leurs accomplissements notables et leur incidence positive, ces règles ont dû être mises à jour en raison du degré croissant de numérisation et d'interconnexion de notre société et de l'augmentation des actes de cybermalveillance à l'échelle mondiale». La directive NIS 2 répond à ce besoin d’harmonisation et de création des normes communes en matière de cybersécurité et à cette nécessité de faire face à l’augmentation des actes de cybermalveillance au sein de l’Union.

Les États membres ont jusqu’au 17 octobre 2024 pour transposer NIS 2 dans leur droit national ; la Directive NIS 2 entrera donc en vigueur en France au deuxième semestre 2024 au plus tard. Certaines exigences seront d’application directe et d’autres devraient être soumises à un délai de mise en conformité.

Quel est l’objectif de l’UE avec ce nouveau texte (I) ? Quelles sont les évolutions majeures entre NIS et NIS 2 (II) ? Quel est le calendrier de la transposition de NIS 2 dans le cadre français et qu’implique-t-il pour les entreprises (III) ?

I – Quel est l'objectif de l'UE avec ce nouveau texte ?

A – les raisons du passage de NIS à NIS 2

L'objectif de NIS était de « créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société»[7].

Cependant, depuis 2016 (2016 marquant le début des négociations relatives à NIS 2), l’UE a fait le constat selon lequel NIS, en dépit de ses accomplissements, souffrait de lacunes inhérentes qui empêchaient l’ancienne directive de « relever efficacement les défis actuels et émergents en matière de cybersécurité» [8]. L’UE a notamment soulevé deux problématiques majeures :

1 – l’existence d’une hétérogénéité trop importante en matière de cybersécurité entre les Etats membres

NIS est une directive, et donc par nature transposable avec une certaine liberté au niveau d’un Etat membre. Cependant, sa transposition a donné lieu à une hétérogénéité trop importante entre les Etats-Membres. Cette hétérogénéité a des conséquences concrètes : elle génère une fragilité globale en termes de cybersécurité dans l’espace européen. Par ailleurs elle entraîne des coûts d’échelle importants (à l’entrée et d’entretien sur un marché local) en raison de la variété des normes et pratiques en matière de cybersécurité à date en Europe.

2 – une évolution de la cybermenace pesant sur l’UE

Le deuxième constat qui fut fait a été celui d’une évolution significative de la menace et de ses impacts sur la société entre 2016 et 2020. La Commission Européenne, le Parlement européen et les Etats membres ont constaté une évolution significative de la menace et de ses impacts sur la société.

Sur ce dernier point, le panorama de la menace publié annuellement par l’ANSSI met en exergue de fortes tendances depuis 2021[9] :

(a) Une évolution dans la typologie des cibles des cyberattaques. Alors que ces attaques ciblaient majoritairement les grandes structures lors de la genèse de NIS, le constat depuis 2021 est que les PME, les entreprises de taille intermédiaire (ETI) et les collectivités territoriales sont dorénavant les cibles d’attaques significatives et impactantes, notamment avec le phénomène des rançongiciels. Ainsi, en 2022 les PME, TPE et ETI ont été la cible de plus de 50% des cyberattaques constatées sur le territoire français. En ce sens, l’on peut faire le constat que la cybermenace s’est démocratisée ! Elle n’est plus l’affaire des seuls grands groupes et entreprises stratégiques !

(b) L’enjeu de la sécurisation de la chaîne d’approvisionnement est de plus en plus prégnant. La chaîne d’approvisionnement devient la voie de passage des cyberattaques par excellence et la nécessité de relever le niveau de sécurité de cet écosystème est devenu une problématique essentielle pour les entreprises[10].

En effet, la généralisation de nouveaux usages numériques a créé de nouvelles opportunités pour les acteurs de la cybermenace. Ces derniers ont su profiter des opportunités offertes par le développement du numérique[11].   2024 ne fera certainement pas exception, d’autant que divers événements exceptionnels tels que les Jeux Olympiques de Paris constitueront des opportunités majeures à exploiter pour les acteurs de la cybermenace, cela tant pour des raisons de gain financier que pour porter des messages « politiques » au sens large.

B – Les choix politiques qui sous-tendent NIS 2

La Directive NIS 2 vise à harmoniser les normes européennes en matière de cybersécurité et à renforcer le niveau global de cybersécurité dans l’Union. En effet, les divergences existantes « […] pourraient aggraver la vulnérabilité de certains Etats membres aux cybermenaces, ce qui peut avoir des retombées dans l’ensemble de l’Union […] »[12]. Ainsi, son cinquième considérant énonce que : « […] La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des mesures d’exécution effectifs qui sont essentiels à l’exécution effective de ces obligations. […] » [13].

A cette fin, NIS 2 :

-          Établit les fondations d’un cadre réglementaire coordonné au niveau européen en matière de cybersécurité (notamment au moyen de la mise en place de mécanismes de coopération entre les autorités compétentes de chaque Etat membre) ;

-          Actualise les secteurs et entités soumis à des obligations en matière de cybersécurité ;

-          Précise et adapte les obligations imposées à ces mêmes entités ;

-          Met en place des mesures de supervision et des sanctions en cas de non-respect de ces normes.

II – Les changement clés entre NIS et NIS 2

A – Un changement substantiel d’échelle : d’une cybersécurité des opérateurs critiques vers une cybersécurité de masse.

(a)    Le périmètre des entités régulées sous NIS 2 :

Avant d’entrer plus en détail sur le périmètre des entités régulées sous NIS 2, une précision liminaire s’impose : ce périmètre doit s’interpréter comme a minima. En effet, NIS :

-           Prévoit des mécanismes d’ajustement à la marge du périmètre, et

-          Certains détails restent à définir dans le cadre de la transposition nationale de NIS 2 (elle prévoit une marge d’interprétation nationale pour les Etats membres).

Il faut comprendre par cela, qu’en l’état, le périmètre défini, déjà bien plus large que celui de NIS, est encore susceptible de fortement s’étendre (en tout particulier dans un pays comme la France, très sensibilisée au sujet du numérique).

Avec NIS 2, le cadre de la cybersécurité en Europe change substantiellement d’échelle. Fin 2020, quand la Commission européenne prit la décision d’étendre le périmètre et les ambitions de NIS à l’occasion de cette révision, à peu près 1500 opérateurs étaient régulés au niveau européen. Avec NIS 2 ce chiffre est susceptible d’évoluer vers plus de 100 000. A l’échelle française, des milliers d’entités se retrouveront dorénavant concernées.

Par ailleurs, la directive NIS 2 englobe un plus grand nombre de secteurs critiques pour l'économie et la société. Ainsi, 10 secteurs d’activité étaient couverts sous NIS[14] ; dorénavant NIS 2 capte a minima 18 secteurs d’activité.

Ces secteurs sont détaillés dans deux annexes :

-          L’annexe 1, qui présente les secteurs de haute criticité ; et

-          L’annexe 2 les autres secteurs critiques (voir le tableau comparatif des secteurs régulés sous NIS et NIS 2).

Dans certains cas ces secteurs présentent une granularité qu’on appelle des sous-secteurs. Le choix des secteurs et sous-secteurs s’est opéré sur le fondement de trois sources : (a) la classification européenne des activités NACE (NAF en France), (b) des définitions issues de réglementations existantes, et (c) des définitions ad hoc[15].

Ce changement d’échelle se matérialise aussi dans un changement de sémantique au niveau national : alors que l’on parlait sous NIS « d’opérateurs », on parle dorénavant d’« entités ».

(1) Il faut l’entendre comme la gestion des services numériques TIC.
(2) Il s’agit de services liés aux citoyens, tels que des plateformes de marchés en ligne par exemple.

Cet important travail de classification permet d’ores et déjà d’appréhender le nouveau périmètre de NIS 2 et d’en tirer des conclusions opérationnelles significatives :

L’inclusion du secteur de l’administration publique ainsi que d’une grande partie des acteurs de la chaine d’approvisionnement apportent un changement d’échelle majeur. 

  • L’administration publique fait son entrée dans le périmètre :

C’est une clientèle qui fait notamment du respect du cadre légal et de la compliance une de ses priorités ; elle sera donc plus portée vers des acteurs soucieux du cadre européen réglementaire et de conformité, ce qui représente une aubaine pour les acteurs locaux de la cybersécurité (et du numérique de manière générale).Les entreprises de la cybersécurité, afin d’anticiper la demande de cette nouvelle clientèle, et ses besoins très spécifiques, vont certainement devoir adapter leur offre et approche pour pénétrer ce marché et répondre aux besoins et codes de cette clientèle très spécifique.

  • Les autres secteurs critiques[18] :

L’annexe II de la Directive NIS 2 ouvre la directive à six nouveaux secteurs (services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution de denrées alimentaires, fabrication, et recherche). Ces secteurs vont eux aussi avoir besoin d’être accompagnés vers la conformité à NIS 2. 

Les équipes Growth et Marketing des acteurs de la cybersécurité auront d’autant plus intérêt à cibler ces marchés en 2024.

  • Les aléas de la transposition de la directive :

La transposition nationale va amener à préciser certains éléments, mais aussi très certainement à accroitre ce périmètre « par défaut ». Les fournisseurs de services répondant aux enjeux de NIS 2 auront tout intérêt à suivre ces évolutions dans les mois et années à venir afin d’anticiper les opportunités de marché qu’elles ne manqueront pas de générer.

(b)    Autre critère de sélection des entités : leur taille

L’autre critère de sélection est la taille : de manière générale, les entités de taille moyenne, intermédiaire ou grande, identifiées dans les annexes 1 et/ou 2 de la directive NIS 2 seront concernées. Les critères et seuils correspondant aux entités de taille moyenne, intermédiaire ou grande[19] sont :

  • Un nombre d’employés supérieur ou égal à 50 ; ou
  • Un chiffre d’affaires ou bilan annuel supérieur ou égal à 10 millions d’euros.

(c)     Les entités essentielles et importantes

Par ailleurs, la Directive NIS 2 détermine deux typologies d’entités différentes : les entités essentielles (EE) et les entités importantes (EI)[20]. Ces nouvelles catégories remplacent les opérateurs de services essentiels (OSE) et les opérateurs d’importance vitale (OIV) prévus par NIS. Pour permettre la transition, la Directive précise que « les Etats membres devraient pouvoir décider que les entités identifiées, avant l’entrée en vigueur de la directive, comme OSE conformément à la directive NIS I, doivent être considérées comme des entités essentielles [21]».

Cette classification a des effets très concrets sur les deux types d’entités :

  • En termes de sécurité

NIS 2 introduit la possibilité de niveaux d’exigence différents entre les deux typologies, notamment aux fins de prendre en compte la taille des entités.

  • En termes de modalités de contrôle

Pour les EE, ledit contrôle est « ex-ante » ; autrement dit il s’opèrera à la discrétion de l’ANSSI. Pour les EI il se fera « ex-post », soit dans le cas où l’ANSSI prendrait connaissance d’une non-conformité.

Schématisation simplifiée des règles de bases relatives aux EE et EI :

(d)    Les exceptions et cas particuliers

Chaque Etat-membre, et donc la France, aura la possibilité d’intégrer unitairement et à la marge des entités ne respectant pas les critères de base sur la base d’une analyse de risque nationale. Les Etats-membres auront aussi la possibilité d’exclure unitairement des entités au regard de la clause de défense et de sécurité nationale prévue par la directive.

La Directive s’appliquera pour les entités des types suivants quelle que soit leur taille :

  • Fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ;
  • Prestataires de services de confiance ;
  • Fournisseurs de registre des noms de domaine de premier niveau ; et
  • Fournisseurs de services de système de noms de domaine.

B – L’adoption de cadres européens coordonnés en matière de cybersécurité[22]

Chaque Etat-membre est dorénavant tenu d’adopter des stratégies nationales en matière de cybersécurité qui « détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir[23] ». Il est par ailleurs tenu de désigner ou de mettre en place :

  •   Des autorités compétentes chargées de la cybersécurité[24],
  •   Des autorités chargées de la gestion des crises et incidents de cybersécurité[25],
  •   Des points de contact uniques en matière de cybersécurité[26] , et
  •   Des centres de réponse aux incidents de sécurité informatique (CSIRT)[27].

C - Un renforcement des obligations imposées aux entités assujetties à NIS 2

NIS 2 est une directive plus prescriptive que NIS ; elle a de plus grandes ambitions. En effet, la Commission européenne a ressenti le besoin de mieux préciser et de renforcer les exigences de sécurité imposées aux entreprises dans le cadre de NIS 2.

(a)    Obligation de gouvernance 

La Directive NIS 2 introduit des obligations de gouvernance et de responsabilité pour les organes de direction des entreprises en matière de cybersécurité. Les entités essentielles et importantes devront dorénavant :

  •   Évaluer et prendre en compte la qualité et la résilience globale des produits et des services, les mesures de gestion des risques en matière de cybersécurité et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services[28] ;
  •   Répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec des tiers, notamment pour « contrer l’espionnage industriel et protéger les secrets d’affaires »[29] ;
  •   Adopter une vaste gamme de pratiques de « cyberhygiène de base », comme par exemple, le « principe de confiance zéro », la cryptographie, le chiffrement, ou encore l’organisation de formations pour leur personnel et la sensibilisation aux cybermenaces[30].

Cette dernière obligation constitue un point d’attention majeur pour les entités assujetties à la Directive NIS 2, ainsi que pour leurs sous-traitants et partenaires qui devront s’adapter à cette obligation par effet de ricochet. 

Elle instaure des mesures de sécurité nombreuses qui s’avèrent couteuses et complexes à instaurer : audits de sécurité, analyses des risques, sécurité de la chaîne d’approvisionnement, chiffrement, évaluation des mesures de gestion des risques cyber, politiques de contrôles d’accès ou encore utilisation de solutions d’authentification à plusieurs facteurs sont autant d’exemples de mesures de sécurité prévues par l’article 21 de la directive NIS2.

L‘un des enjeux pratiques de la mise en conformité à NIS 2 dans les mois et années à venir va être de savoir mitiger entre standards de protection efficients et contrôle des coûts induits.

(b)    – Partage d’information en matière de cybersécurité

Les États membres doivent veiller à ce que les entités relevant du champ d’application de la directive NIS 2 échangent volontairement entre elles et avec des entités non concernées par cette directive, des informations pertinentes en matière de cybersécurité (par exemple :  vulnérabilités, nature des acteurs de la menace et tactiques adverses…) dès lors que ce partage d’informations vise à prévenir et détecter les incidents et rétablir leur impact[31] . Cet échange doit être encadré et mis en œuvre au moyen d’accords de partage d’informations, compte tenu de la nature potentiellement sensible des informations partagées[32].

(c)     - Gestion, déclaration et notification des incidents majeurs

La gestion des incidents de sécurité est dorénavant plus encadrée. Pour ce qui est du cadre français, la France envisage de mettre en place un mécanisme permettant aux entités de se notifier auprès de l’ANSSI. Les critères a minima relatifs au contenu[33] et aux étapes[34] de cette déclaration sont déjà établis.

De plus, les entités essentielles ou importantes devront être réactives dès lors qu’elles prennent connaissance d’un incident important. Elles devront soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures, à leur CSIRT qui devra être suivie d’une notification d’incident dans les 72 heures suivant la connaissance de l’incident important[35].

Cette obligation de déclaration existait déjà dans NIS ; l’apport de NIS 2 est la mise en place des diverses étapes de déclaration.

D – L’instauration de sanctions fortes

Les sanctions potentielles en cas de non-conformité sont une information prisée par les directions d’entreprise et sont souvent le moteur du changement en interne. Elles sont aussi l’indicateur de la volonté politique derrière le texte de loi[36]. NIS 2 fait ici la démonstration d’une volonté forte, similaire à celle qui a porté le RGPD, norme disruptive s’il en est. Ainsi, les sanctions seront d’une ampleur comparable à celles instaurées dans le cadre du RGPD.

En résumé :

-          Les EI seront soumises à des amendes administratives qui pourront aller jusqu’à un montant maximal d’au moins 7 000 000 Euros ou à au moins 1,4% du chiffre d’affaires annuel mondial de l’exercice précédent de l’entreprise à laquelle l’EI appartient, le montant le plus élevé étant retenu ;

-          Pour les EE, les amendes administratives seront d’un montant maximal s’élevant à au moins 10 000 000 Euros ou à au moins 2% du chiffre d’affaires annuel mondial de l’exercice précédent de l’entreprise à laquelle l’EE appartient, le montant le plus élevé étant retenu[37].

Par ailleurs, Les États membres sont tenus de veiller à ce que les organes de direction des entités essentielles et importantes, qui approuvent et supervisent la mise en œuvre des mesures de gestion des risques de cybersécurité prises par ces entités à l'article 21 de la Directive NIS 2[38], puissent être tenus responsables des infractions commises par les entités visées à cet article. Cette logique est conforme à la tendance mondiale à tenir les dirigeants personnes physiques responsables en matière de cybersécurité.

III – Le calendrier de NIS 2 et ses implications pratiques pour les entités qui y sont assujetties

Statut de la transposition et prochaines étapes

La Directive a été publiée au Journal Officiel de l’Union européenne le 27 décembre 2022.

Les Etats membres devront la transposer dans leur droit national au plus tard le 17 octobre 2024 et l’appliquer à partir du 18 octobre 2024.

En France, l’ANSSI vient de finaliser fin 2023 ses consultations externes, qui portaient sur le périmètre, les interactions et les mesures de sécurité relatives à NIS 2.

Le détail du cadre français de NIS 2 va bientôt être précisé par l’ANSSI et, passé cette étape, la mise en conformité par les entités assujetties va pouvoir s’accélérer. Ces dernières vont devoir adapter leurs pratiques pour y inclure les exigences de cybersécurité préconisées par l’ANSSI.

Ces entités vont par ailleurs devoir, à l’instar de ce qui a dû se faire pour la protection des données personnelles, s’organiser sur le long terme pour monitorer les exigences légales en matière de cybersécurité. En effet, l’article 40 de la Directive NIS 2 prévoit un nouveau réexamen par la Commission au plus tard le 17 octobre 2027 et tous les 36 mois par la suite. Nous entrons donc dans une ère où la cybersécurité devient un paradigme majeur et où l’état de l’art évoluera de manière régulière pour s’adapter aux nouvelles menaces pesant sur la société.

De façon plus pratique, du côté des entités assujetties : les dirigeants et les cadres supérieurs des entreprises concernées par NIS 2, s’ils ne l’ont déjà fait, doivent commencer dès à présent à se préparer à répondre à ces nouvelles obligations. Dès fin 2024, soit « demain », ces derniers vont devoir avoir implémenté un cadre complet de mesures de sécurité et de contrôle afin de protéger leurs opérations et leurs clients. Ils vont aussi devoir être porteurs de ces nouveaux paradigmes et s’assurer que leurs structures disposent de plans complets de réponse aux crises, mais surtout qu’elles les assimilent et les maîtrisent.

Du côté des fournisseurs de services de cybersécurité, si l’aubaine représentée par ce nouveau cadre réglementaire est une évidence, encore faudra-t-il savoir la saisir d’un point de vue marketing et commercial. Par ailleurs, ces mêmes fournisseurs ont deux enjeux majeurs de transformation et d’adaptation que l’on peut facilement sous-estimer ; le premier est de passer d’une offre souvent axée sur la « technique » pure et non nécessairement alignée au cadre légal et réglementaire. Le politique et le juridique viennent de prendre une place prépondérante dans la cybersécurité européenne, et les fournisseurs de service vont devoir prendre la mesure de ce changement. Ils vont devoir s’assurer que leur produit répond à ces nouvelles exigences et obligations légales « par nature », mais aussi se faire chantres du cadre légal de la cybersécurité, ne serait-ce que pour répondre à leurs obligations en matière de conseil, mais surtout pour répondre aux préoccupations nouvelles des clients. Le second enjeu majeur est en lien avec la typologie des acteurs européens de la cybersécurité. Ces derniers sont souvent des petites et moyennes structures, des « start-up ». Si ces dernières, au regard de leur taille, ne sont pas directement impactées par NIS 2, elles vont forcément devoir s’y conformer en raison de leur rôle de fournisseur d’entités concernées par NIS 2.

L’on ne peut que saluer cette réforme et sa volonté de clarification de la norme à l’échelle européenne. Cependant cette réforme a des implications financières fortes, d’autant plus prégnantes qu’elle se fait dans un contexte économique difficile. Les entreprises et groupes concernés par NIS 2 vont (et pourront probablement) concentrer une forte part de leurs investissements de 2024 dans des produits et services de cybersécurité, mais les services de l’Etat et les collectivités territoriales pourront-ils suivre en la matière ? La mise en conformité sera un réel défi pour ces dernières, qui devront souvent s’adapter avec des budgets plus restreints que ceux du privé.