[2022-12-27] (Accès libre) Le Parlement et le Conseil de l’Union européenne (UE) ont adopté le 10 novembre 2022 la « Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) », plus connue sous le nom de « Directive NIS 2 ». Elle a été publiée au journal officiel de l’UE le 27 décembre 2022.
Ce nouveau texte est entré en vigueur le 16 janvier 2023 et doit être transposé pour le 17 octobre 2024 au plus tard dans chaque État membre.
Par rapport à la version de 2016 (Directive NIS pour « Network and Information Security »), les exigences sont montées d’un cran :
- beaucoup plus d’entreprises concernées :
La Directive NIS s’appliquait aux entités de 7 secteurs prioritaires tels que l’énergie, les transports, les infrastructures bancaires, les infrastructures des marchés financiers, l’eau potable, les soins de santé et les infrastructures numériques. Désormais, les secteurs concernés se divisent en 2 catégories, couvrant chacune beaucoup plus de domaines qu’auparavant :
– les secteurs « hautement critiques » où l’on retrouve les 7 secteurs listés dans la Directive NIS, mais aussi la gestion des services de technologies (service « IT ») ou les administrations publiques.
– les « autres secteurs critiques« , avec entre autres les services postaux, la gestion des déchets, la fabrication, production et distribution de produits chimiques ou de denrées alimentaires, mais aussi la fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro, les fournisseurs numériques et la recherche
Les domaines dit critiques sont donc listés, pour éviter que chaque État membre définisse lui-même ce qu’il considère comme critique ou essentiel. La taille des entreprises ainsi que leur chiffre d’affaire seront également des paramètres à prendre en compte pour distinguer les entreprises « essentielles » des entreprises « importantes ».
- un mécanisme de signalement des incidents en 2 temps :
Tous les événements significatifs devront être signalés dans les 24 heures, en rajoutant des détails dans les 72 heures. Un rapport encore plus détaillé devra également être fourni en tant que mesure de suivi un mois après le signalement initial. L’idée étant de pouvoir récupérer le plus rapidement possible toutes les informations pouvant permettre d’enrayer la diffusion d’attaques du même type et enrichir les plans de résilience futurs.
- des exigences de stratégie de cybersécurité nationale :
L’article 7 contient des exigences pour les États membres sur la mise en place d’une stratégie de cybersécurité nationale, prenant en compte notamment les objectifs et priorités de l’État membre, les responsabilités associées ou les mécanismes pour identifier les actifs pertinents (« relevant assets ») et l’évaluation des risques ou encore concernant plusieurs objectifs stratégiques. Les États membres devront également prendre des mesures pour former et éduquer la population sur le sujet de la cybersécurité.
- les centres de réponse aux incidents de sécurité informatique (CSIRT) et le Groupe de Coopération NIS :
Chaque État membre devra désigner un ou plusieurs CSIRT, chargés de répondre aux incidents de sécurité.
Le Groupe de Coopération NIS est quant à lui chargé de rédiger les lignes directrices à l’attention des autorités nationales et de coordonner leurs actions.
À noter également l’institution de EU-CyCLONe pour coordonner au niveau opérationnel des incidents de cybersécurité majeurs et des crises, et pour garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et organismes de l’Union.
- des mesures de gestion des risques supplémentaires :
L’article 21 enjoint les États membres à veiller à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques, en couvrant un certain nombre de points a minima, tels que la sécurité de la chaîne d’approvisionnement, la sécurité des ressources humaines et des contrôle d’accès, l’utilisation de solutions d’authentification à plusieurs facteurs ou les plans de gestion de crises et la reprise des activités. La proportionnalité des mesures sera dépendante du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité.
- une responsabilité accrue pour les dirigeants d’entreprises :
Le texte prévoit, dans l’article 20, que les membres des organes de direction des entités essentielles et importantes suivent des formations, approuvent les mesures de gestion des risques entreprises, et supervisent leur mise en œuvre. En cas de violation de leurs obligations, leur responsabilité serait directement engagée.
En conclusion, cette nouvelle version renforce considérablement les exigences pour les entreprises jugées critiques. Ces dernières devront rapidement mettre en place un plan d’action, en particulier sur la gestion des risques, la date d’application étant assez proche.
Article rédigé par Karim Chelly, membre du réseau DM Experts.