Janvier 2023
« La directive NIS 2 va étendre considérablement son rayon d’action, et multiplier le nombre d’acteurs classés OSE par 10 ». – Guillaume Poupard alors directeur général de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI).
La directive sur la sécurité des réseaux et des systèmes d’information (appelée « Network and information security » ou NIS 2), publiée en décembre 2022, se substitue à la directive NIS 1 et renforce l’harmonisation des normes de cybersécurité dans les différents Etats membres.
Elle élargit le périmètre des opérateurs privés et publics concernés et accroit leurs obligations en matière de cybersécurité.
Relèveront du champ d’application de NIS 2, toutes les entités (privées ou publiques) employant plus de 50 personnes, ou ayant un chiffre d’affaires dépassant 10 millions d’euros et qui interviennent dans l’un des 11 secteurs d’activités qualifiés de critique ou hautement critique par la directive.
Les catégories Opérateur de service essentiel et Fournisseur de service numérique de NIS 1 disparaissent pour être remplacés par les catégories Entité essentielle et Entité importante soumises à un régime d’obligations similaires mais à des supervisions différentes.
En droit français, la transposition ne devrait bouleverser ni la structure institutionnelle de la cybersécurité pilotée par l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), ni le champ des obligations déjà imposées aux opérateurs vitaux ou essentiels.
Chaque opérateur, privé ou public, doit dès à présent s’interroger pour déterminer s’il entre dans le périmètre de la nouvelle directive. Dans l’affirmative, il lui faudra anticiper les nouvelles obligations qui pèseront sur la gestion de son système d’information (SI).Une partie du régime français de la cybersécurité devrait évoluer dans les mois qui viennent, avec l’adoption de la directive concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite directive Network and Information Security 2 ou NIS 2), publiée en décembre 2022. Cette directive vient se substituer à une première version de la directive (dite directive Network and Information Security 1 ou NIS 1) et renforce l’harmonisation des normes de cybersécurité dans les différents Etats membres.
1) L’évolution du cadre de la cybersécurité depuis 2006 en France
La France a engagé une réflexion sur la notion d’infrastructure critique depuis plus de deux décennies – une prise de conscience liée aux attentats du 11 septembre 2001 – avec une première étape de réflexion générale sur les opérateurs d’importance vitale en 2006, puis une seconde en 2013 qui a intégré la menace cybersécurité.
1.1 La définition de la sécurité des activités d’importance vitale (SAIV)
Le décret du 23 février 2006 définit les activités d’importance vitale comme un « ensemble d’activités, essentielles concourant à produire des biens ou des services indispensables ». Ces activités sont réparties en 12 secteurs d’activité rattachés à un ministère coordonnateur. Ce dispositif a permis d’identifier les opérateurs d’importance vitale (OIV), privés et publics, dont la liste est confidentielle mais dont on estime le nombre actuel à 300.
1.2 L’extension à la cybersécurité du dispositif de protection des OIV (2013)
Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire adoptée en 2013 a créé un régime juridique spécifique pour la sécurité des systèmes d’information des OIV. La France est devenue le premier pays dans l’Union européenne (UE) à avoir mis en place un dispositif obligatoire de cybersécurité de ses infrastructures critiques.
Les OIV ont entre autres l’obligation d’élaborer et de mettre en œuvre une politique de sécurité de leurs systèmes d’information soumis à une homologation, de mettre à disposition de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) une cartographie de leurs systèmes d’information (SI), de cloisonner les différentes parties de leurs SI, et d’informer sans délai l’ANSSI des incidents affectant le fonctionnement ou la sécurité de leurs SI. Le non-respect de ces règles est puni d’une amende de 150 000 €.
Pour leur sécurité numérique, les OIV doivent recourir à des produits et des services répondant à des exigences de sécurité et de confiance labellisés par l’ANSSI.
Le régime des OIV n’est pas concerné par le régime de NIS 2 et ne devrait donc pas être modifié.
1.3 Le renforcement de la cybersécurité des opérateurs essentiels au niveau européen
La directive NIS 1 a créé un cadre législatif européen de référence en matière de cybersécurité reposant sur un dispositif d’harmonisation minimale et soumettant à des obligations particulières deux catégories d’acteurs : Les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).
La directive NIS 1, transposée en droit français par la loi du 26 février 2018, a fixé un cadre général de sécurité des systèmes d’information, avec des obligations largement inspirées de celles opposables aux OIV, encore en vigueur. Cependant, ce cadre sera amené à évoluer avec la transposition de la directive NIS 2. Les règles de sécurité définies dans l’arrêté du 14 septembre 2018 devraient également être amenées à évoluer.La catégorie des Fournisseurs de Services Numériques, créée en 2018 , regroupe principalement les fournisseurs cloud, les moteurs de recherche, ainsi que les market places faisant plus de 10 millions d’euros de chiffre d’affaires, ou employant au moins 50 salariés. Leur qualification va disparaitre pour se fondre dans les nouvelles catégories créées par NIS 2.
2) NIS 2, une nouvelle étape de l’harmonisation européenne de la cybersécurité
Depuis 2016, face au nombre, à l’ampleur, à la sophistication et à l’impact des attaques numériques, l’Union européenne a adopté la directive NIS 2, pour relever le niveau d’exigence minimal en termes de sécurité des systèmes d’information demandé aux Etats membres. Publiée le 27 décembre 2022, elle sera transposée au cours de l’année 2023 par le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) et l’ANSSI, en vue d’une mise en œuvre avant la fin de l’année 2024.
2.1 Le renforcement de la cybersécurité des opérateurs essentiels au niveau européen
Dans un objectif d’harmonisation européenne, la qualification d’Opérateur de Services Essentiels est supprimée par la directive NIS 2, la directive NIS 1 laissant aux Etats la liberté de déterminer les entités concernées. La directive NIS 2 créé deux catégories nouvelles, les Entités Essentielles et les Entités Importantes, et elle fixe des critères obligatoires de qualification pour l’ensemble des Etats membres.
Ainsi, toutes les entités privées ou publiques de plus de 50 personnes, ou avec un chiffre d’affaires dépassant 10 millions d’euros, qui interviennent dans les secteurs d’activités listés par la directive, relèveront de son champ d’application. Les seules exceptions sont les entités relevant de la défense, la sécurité nationale, la sécurité publique, l’application des lois, le pouvoir judiciaire, les parlements ou encore les banques centrales qui dépendent de régimes spécifiques.
Chaque État membre devra lister les entités qui répondent à la qualification d’entité essentielle au plus tard le 17 avril 2025. Les autres entités répondant aux critères des activités ou de chiffre d’affaires seront par défaut considérées comme importantes.
Les secteurs d’activité identifiés par la directive NIS 2 sont :
- Au titre des « secteurs hautement critiques » : l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau (potable et usée), les infrastructures numériques, la gestion des services TIC, les administrations publiques, l’espace ;
- Au titre des « autres secteurs critiques » : les services postaux, les déchets, les produits chimiques, l’alimentation, certaines fabrications de produits (médicaux, informatiques, électroniques, optiques, électrique, etc.), les fournisseurs numériques (place de marché, moteur de recherche, réseaux sociaux), organismes de recherche.
Avec la catégorie « infrastructures numériques », la directive couvre les services cloud (IaaS, PaaS, SaaS et NaaS) ainsi que les structures dédiées à l’hébergement, l’interconnexion et l’exploitation centralisés des données.
Certains secteurs d’activité sont soumis à des régulations spécifiques en matière de cybersécurité, qui peuvent compléter ou se substituer à la directive NIS 2 (par exemple : l’énergie, les transports, les réseaux et services de télécommunication électronique, le secteur financier).
2.2 Des obligations plus larges et plus contraignantes
La directive NIS 2 définit un niveau d’exigence minimal en matière de cybersécurité et elle charge les Etats membres de veiller à son respect par les entités essentielles et importantes. Les obligations pesant sur ces entités ne sont pas très différentes de celles prévues par la directive NIS 1. Les deux directives se différencient plutôt par le degré de supervision prévu. Avec la directive NIS 2, les entités essentielles seront soumises à un régime de supervision ex ante et ex post, tandis que les entités importantes relèveront uniquement d’un régime ex post, plus léger.
Les Etats pourront moduler ces obligations afin de respecter le principe de proportionnalité entre les contraintes imposées et la criticité de l’entité. L’ANSSI a déjà engagé un dialogue avec les associations professionnelles, pour co-construire avec les futures entités régulées, le champ des obligations qui s’imposeront à elles. L’objectif est de s’assurer de leur pertinence et de leur soutenabilité.
La directive NIS 2 prévoit notamment :
- Une obligation de notification à l’autorité de supervision des incidents qui pourraient entraîner des perturbations opérationnelles graves des services, dans un délai de 72h ;
- Une possibilité pour l’Etat de prescrire aux entités concernées, d’utiliser des produits ou services certifiés, par l’ANSSI ou par une autorité européenne reconnue équivalente (SecNumCloud de l’ANSSI en France, C5 du BSI en Allemagne, ou European Cybersecurity Certification Scheme au niveau européen) ;
- La possibilité, pour l’autorité de supervision, de soumettre (directement ou via un prestataire certifié) les entités essentielles à un certain nombre d’obligations additionnelles (inspections sur place, contrôles à distance, audits, demandes de preuve de la mise en œuvre d’une politique de cybersécurité, etc.).
2.3 Un pouvoir de sanction accru
Les États membres devront imposer des amendes effectives, proportionnées et dissuasives pour les violations des obligations de la directive. Les entités essentielles encourront des amendes administratives d’un montant maximal de 10 000 000 € ou de 2 % du chiffre d’affaires annuel mondial. Les entités importantes encourront des amendes administratives allant jusqu’à 7 000 000 € ou 1,4 % du chiffre d’affaires annuel mondial.
Les autorités nationales pourront imposer une interdiction d’exercer aux dirigeants des entités concernées ne respectant pas les obligations de la directive.
Conclusion
Si les fondements de la politique de cyberdéfense et de cybersécurité restent les mêmes, la prise de conscience de l’étendue des portes d’entrées à des attaques cyber, conduit à imposer une obligation de vigilance et des mesures de cybersécurité étendues à un plus grand nombre d’acteurs, au niveau national et européen. D’autres réglementations sont actuellement discutées à Bruxelles et elles viendront compléter la directive NIS 2 dans les prochains mois. C’est donc une période de transition et de montée en compétence qui s’ouvre pour les responsables économiques et institutionnels.
