Cybersécurité : vers un renforcement du cadre réglementaire européen

Vers un cadre juridique de cybersécurité renforcé au sein de l'Union européenne : l'accord provisoire du Conseil et du Parlement européen sur la directive NIS2

Le 13 mai 2022 un accord provisoire a été annoncé entre le Conseil européen et le Parlement européen portant sur les mesures contenues dans la directive NIS2 visant à mettre à jour et renforcer les exigences juridiques européennes en termes de cybersécurité.

Une révision attendue de la directive NIS2

La nouvelle directive NIS2 a pour vocation de remplacer la directive 2016/1148 NIS (Network and information systems) du 6 juillet 2016. L’actualisation d’un tel texte n’est pas une surprise, l’article 23 de la directive NIS indiquait clairement la nécessité de réexamens périodiques réguliers du texte par la Commission, une exigence particulièrement importante dans un domaine éminemment stratégique qui ne cesse de se transformer au rythme de l’innovation galopante dans un contexte géopolitique complexe.

C’est pourquoi la nouvelle stratégie de cybersécurité de l’Union européenne annoncée par la Commission européenne le 16 décembre 2020 plaçait parmi ses priorités la révision de la directive NIS. Divers travaux ainsi qu’une consultation effectuée au second semestre 2020 ont en effet convaincu la Commission européenne de réviser cet instrument juridique dans les plus brefs délais. La Commission corrobore les progrès apportés par la directive NIS et prend note de ses zones d'améliorations dans un contexte où les risques de cybersécurité deviennent de plus en plus prégnants et sophistiqués avec, notamment, la digitalisation croissante des usages et l’interconnexion exponentielle des systèmes.

Les principales mesures visées par la directive NIS2

1. Précision et extension du champ d’application de la directive

Une première mesure centrale de la nouvelle directive NIS2 consiste à préciser et étendre le champ d’application des obligations de cybersécurité qu’elle contient.

Ainsi, tout d’abord, le nombre de secteurs concernés augmente. En effet, la directive NIS2 conserve les secteurs déjà visés par le précédent texte (énergie, transport, banques, infrastructures financières de marché, santé, eau potable et infrastructures numériques) mais y ajoute les secteurs de l’administration publique, des eaux usées, et de l’espace.

Le texte précise que l’intégralité des organisations de moyenne et de grande taille appartenant à ces secteurs stratégiques seront soumises aux obligations qui y sont définies en laissant aux États membres la flexibilité d’identifier quelles entités de petite taille devraient être incluses.

Pour rappel, une directive passe par deux étapes avant de produire ses effets : une fois votée par les institutions européennes, elle doit ensuite être transposée par les Etats membres dans leur droit national, à la différence du règlement, qui s'applique directement. Nous aurons, sans nul doute, l’occasion de revenir sur les écarts des futures législations nationales incluant la question du choix des entreprises soumises à ces obligations.

Remarquons également que les organisations concernées seront réparties par la directive NIS2 en deux catégories : les opérateurs essentiels et les opérateurs importants, les premiers étant soumis à des obligations plus complètes que les seconds compte tenu des risques de sécurité importants que leur position entraîne dans leur domaine d’activité. Dans le secteur des infrastructures numériques, par exemple, seront typiquement considérés comme des opérateurs essentiels les opérateurs DNS (Domain Name System) ou les fournisseurs de solutions Cloud. Les moteurs de recherche et les services de réseaux sociaux seront, eux, considérés comme des opérateurs importants.

2. Extension des obligations de cybersécurité

A première lecture, la directive NIS2 complète un certain nombre d’obligations existantes et en introduit de nouvelles.

Les obligations visées par cette directive portent principalement sur :

  •  La gestion des risquesLes obligations relatives à la gestion des risques sont complétées par la directive NIS2, qui défini une liste d’exigences imposant des mesures en matière d’analyses de risques, de politiques de sécurité des systèmes d’information, de procédures de gestion des incidents, de procédures de maintien de l’activité en cas de crise, d’utilisation d’outils cryptographiques de chiffrement. La solidité et l’efficacité de ces différentes procédures seront examinées périodiquement par le biais d’audits. De plus, la nouvelle directive introduit une obligation de gestion des risques associés à l’intégralité des entités tierces qui font partie de la "supply chain" des opérateurs concernés par la nouvelle directive.
  • Les obligations de reporting : La directive NIS2 étend les obligations de déclaration de tout incident susceptible de causer des dommages opérationnels ou financiers importants (ce qui inclut donc les incidents potentiels). Elle introduit également des dispositions précises sur le processus de notification des incidents (y compris le calendrier et le contenu des rapports), ainsi que l'obligation de nommer une équipe dédiée à la gestion de ces derniers.
  • La divulgation de vulnérabilités : La directive NIS2 encourage le processus connu sous le nom de "vulnerability disclosure", qui a pris ces dernières années une place centrale dans la lutte contre la cybercriminalité. Il s’agit, pour résumer, du processus par lequel des professionnels en cybersécurité ou des hackers éthiques signalent des vulnérabilités qu’ils découvrent afin que celles-ci puissent être rapidement et efficacement corrigées par les fournisseurs de service. À cette fin, une base de données des vulnérabilités connues sera tenue par l'Agence de l'Union européenne pour la cybersécurité (ENISA).
  • Les contrôles : La directive élargit également les pouvoirs des autorités de contrôle par les autorités nationales, en autorisant un contrôle ex ante pour les opérateurs essentielles, et ex post pour les opérateurs importants.
  • Les sanctions : La directive NIS2 harmonise et renforce les sanctions en cas de non-respect des obligations qui y sont définies. Ainsi, pourra être prononcée une peine d’amende allant jusqu’à un montant de 10 millions d'euros ou de 2 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entités qui persistent à enfreindre les règles pourront voir mise en jeu la responsabilité des personnes physiques qui occupent des postes de représentation et de direction. Notons également qu'un amendement stipule spécifiquement que la directive NIS2 "impose aux États membres des obligations en matière de surveillance et d'exécution". Une telle précision n’est pas anodine, en ce qu’elle suppose un éloignement d’une approche seulement réactive basée sur la sanction, pour se diriger vers un modèle européen proactif dans le milieu de la cybersécurité.
  • Enfin, la directive instaurerait officiellement le réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), qui soutiendra la gestion coordonnée des incidents de cybersécurité majeurs.

Les prochaines étapes  

L’accord provisoire conclu le 13 mai 2022 doit désormais être soumis à l’approbation du Conseil et du Parlement européen, ce qui ne devrait pas soulever de discordes puisque ce texte est précisément le fruit d’un accord entre ces deux institutions.

Une fois la directive adoptée par le Parlement et le Conseil, les États membres disposeront de 21 mois pour l’implémenter, à savoir l’intégrer à leur législation nationale.

Quoi qu’il en soit, l’effort d’actualisation, de renforcement et d’harmonisation des exigences européennes de cybersécurité ne peut être que salué au vu de la place centrale qu’occupent désormais les risques cyber d’un point de vue géostratégique, économique ou social. La prise en compte des entités tierces, le déplacement vers une approche proactive, et la prise en compte des évolutions des pratiques comme celle de vulnerability disclosure font de ce texte une avancée certaine pour encourager le développement d’une Europe digitale forte et soudée.