/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Adoptée en novembre 2022, la Directive NIS 2 représente une avancée significative dans le domaine de la cybersécurité au niveau européen. Son objectif est simple mais ambitieux : renforcer les mesures de cybersécurité pour tous les États membres en établissant un ensemble commun de normes de sécurité pour atténuer le risque d'attaques informatiques.
Le désir d'améliorer et de standardiser le niveau global de cybersécurité au sein de l'UE n'est pas nouveau. En effet, depuis 2015, la Commission européenne œuvre à faire évoluer le marché économique unique vers un marché numérique unique. Cela inclut la création d'un environnement propice au développement de réseaux et de services numériques sécurisés.
Derrière cette Directive se trouvent implicitement des organisations publiques et privées préoccupées par les répercussions économiques et organisationnelles résultant des mesures de sécurité renforcées. Pour mieux comprendre les attentes et les enjeux de cette Directive, sans céder à la panique, nous avons mené une analyse juridique de ses points clés afin que vous puissiez anticiper les délais fixés.
1. Directive européenne : de quoi parle-t-on ?
Une Directive et un Règlement sont deux types de législations de l'UE. Ils diffèrent par leur nature, leur application et le degré de flexibilité accordé aux États membres pour les mettre en œuvre.
Un Règlement européen est un acte législatif qui est directement applicable de manière uniforme et obligatoire dans tous les États membres dès son entrée en vigueur. Il ne nécessite pas de législation nationale supplémentaire pour être appliqué. Les Règlements sont souvent utilisés pour harmoniser les lois et les règles, garantissant ainsi un cadre juridique cohérent dans différents domaines. C'est le cas du Règlement Général sur la Protection des Données (RGPD), qui réglemente le traitement des données personnelles au sein de l'UE.
D'autre part, une Directive européenne est un acte législatif qui fixe un objectif ou un résultat à atteindre par les États membres. Contrairement à un Règlement, une Directive n'est pas directement applicable dans l'UE. Cela signifie que les États membres doivent adopter leur propre législation nationale pour mettre en œuvre les objectifs fixés dans la Directive au sein de leur propre système juridique. Ce mécanisme est appelé transposition. Il s'agit d'un élément crucial du processus législatif européen car il vise à assurer l'harmonisation et la cohérence des réglementations au sein de l'UE.
Les États membres ont généralement une certaine marge de manœuvre dans la manière dont ils atteignent ces objectifs, tant qu'ils respectent les exigences de la Directive. Cela peut impliquer l'adoption de nouvelles lois, des actes législatifs nationaux supplémentaires, ou la modification de lois existantes pour se conformer aux dispositions du texte. Il est important de noter que les États membres sont tenus de transposer la législation dans un délai spécifié. Le non-respect de cette obligation peut entraîner des sanctions ou des poursuites judiciaires contre l'État membre concerné.
Ainsi, selon votre emplacement, vous devrez appliquer la loi de transposition du pays dans lequel vous exercez vos activités. Il est possible que certaines mesures diffèrent ou soient renforcées d'un État membre à l'autre.
2. Serais-je affectée par la Directive NIS 2 ?
Vous devez prendre en compte quatre scénarios :
- Votre secteur ou sous-secteur d'activité est explicitement mentionné dans les annexes 1 et 2 de la Directive, et vous respectez les critères de taille. Dans ce cas, vous serez affecté par la Directive NIS 2. Vous pouvez déjà évaluer votre niveau de sécurité interne et effectuer une première analyse des écarts par rapport aux obligations découlant du texte européen.
- Votre secteur ou sous-secteur d'activité apparaît dans les annexes de manière non explicite, ou dans plusieurs catégories, ou dans des catégories sujettes à interprétation. Dans votre cas, il est préférable d'attendre la loi nationale qui dissipera vos doutes, car elle clarifiera le champ d'application grâce à la loi de transposition.
- Votre secteur ou sous-secteur d'activité n'apparaît pas dans les annexes, et vous ne remplissez pas non plus les critères de taille ou de criticité. Vous pourriez toujours faire partie des exceptions. Par conséquent, vous devrez attendre le travail sur la loi de transposition.
- Votre secteur ou sous-secteur d'activité figure dans les annexes 1 et 2 de la Directive, mais vous pouvez encore être exempté de l'application de la Directive si vous exercez des activités liées à la défense et à la sécurité nationale.
3. Obligations légales et de sécurité
La Directive énumère diverses obligations à mettre en œuvre, qui seront ensuite élaborées lors de la transposition. Vous trouverez certaines des obligations liées à la sécurité des systèmes d'information dans l'article suivant : Comment se préparer à la directive NIS 2 ?
À titre d'exemple, une attention particulière est portée sur l'hébergement des systèmes d'information dans le cloud. Bien que l'utilisation de cette technologie ne soit pas interdite par la Directive, les entreprises devront veiller à ce que les informations qui y sont stockées soient protégées et sécurisées. Il sera nécessaire de déterminer s'il sera possible de conserver toutes les données quel que soit leur niveau de sensibilité, en utilisant le chiffrement, ou si cela sera interdit. La question du choix des fournisseurs de services cloud se pose également. Il est probable qu'une analyse des risques et une évaluation de l'impact seront nécessaires pour classer, tracer le flux de données et attribuer des responsabilités en cas d'incident de sécurité et/ou de violation de données personnelles.
En plus des obligations en matière de sécurité, vous devrez vous inscrire et déclarer certaines informations demandées par la Directive NIS 2 à l'autorité compétente, telle que l'ANSSI pour la France.
4. Quelle autorité devrais-je contacter ?
Dans le cadre de la conformité, les centres de coordination nationaux en matière de cybersécurité veilleront à soutenir les organisations dans la mise en œuvre de mesures de sécurité et à fournir des clarifications sur les réglementations. Ces autorités seront chargées de surveiller et de sanctionner les organisations. Pour plus d'informations, veuillez vous référer à votre centre national : Centres Nationaux de Coordination en Cybersécurité.
Vous pouvez également vous tourner vers Alter Solutions pour mettre en œuvre une double action : protéger vos systèmes d'information et protéger les données personnelles traitées par votre organisation.
5. La Directive NIS2 est-elle compatible avec les autres règlementations ?
Un des points sensibles de la transposition est l'articulation des mesures de cybersécurité. L'objectif des centres nationaux de coordination en cybersécurité sera de normaliser les normes afin d'éviter d'ajouter de la complexité, de promouvoir la cohérence du texte et de prévenir l'accumulation des normes. En France, par exemple, l'ANSSI travaille avec la CNIL pour éviter de créer une complexité réglementaire supplémentaire concernant le RGPD et permettre à ces deux législations de coexister.
De plus, la Directive ne mentionne pas explicitement le rôle des délégués à la protection des données (DPD). Cependant, il sera nécessaire de considérer que ces fonctions nécessitent une coopération entre le DPD et le RSSI (Responsable de la Sécurité des Systèmes d'Information) au sein de vos organisations pour optimiser et mutualiser leurs compétences respectives.
6. Quel est le coût financier pour les organisations ?
Les ressources allouées à la mise en œuvre des mesures de sécurité dans le cadre de la Directive NIS 2 peuvent être coûteuses. Cependant, elles dépendront de votre niveau actuel de maturité en matière de cybersécurité. Pour le moment, il n'est pas prévu que les centres nationaux de coordination en cybersécurité fournissent une aide financière à cet égard, mais ils proposeront des outils, des guides et des recommandations pour réduire les coûts financiers impliqués.
Néanmoins, il est important de garder à l'esprit que le texte met en avant une notion fondamentale : la proportionnalité. Ainsi, les exigences varieront en fonction de la taille, de la criticité et du secteur d'activité de votre organisation. En cas d'inspection, vous devrez démontrer que vous avez mis en œuvre des moyens nécessaires et suffisants pour justifier la sécurité de vos systèmes d'information.
