Cybersécurité dans l’UE : ce que va changer la nouvelle directive NIS2

Les eurodéputés doivent donner leur approbation finale le 10 novembre aux nouvelles règles censées harmoniser la cybersécurité de l’Union européenne. L’Usine Digitale fait le point sur les changements apportés par cette nouvelle directive, avec son rapporteur au Parlement européen, Bart Groothuis. 

Partager
Cybersécurité dans l’UE : ce que va changer la nouvelle directive NIS2

L’Union européenne passe à l’étape supérieure dans l’harmonisation de ses règles en matière de cybersécurité avec le feu vert final attendu du Parlement européen, réuni en plénière cette semaine, sur la directive NIS 2. Cette nouvelle législation, qu’il appartiendra aux États membres de transposer, viendra remplacer la précédente directive NIS, datée de 2016 et qui avait donné lieu à un “patchwork de politiques” au sein du marché intérieur, selon le rapporteur au Parlement européen pour sa nouvelle version, l’eurodéputé néerlandais Bart Groothuis (Renew).

Mais avec NIS2, l’UE entre dans une “nouvelle phase” et passe d’une “position passive à une position active et proactive pour arrêter, contrecarrer et empêcher les attaques de se produire”, résume-t-il auprès de l’Usine Digitale.

Le fonctionnement d’une entreprise est de plus en plus guidé par des contraintes législatives et réglementaires, plutôt que par son initiative propre à assurer sa sécurité”, note, quant à lui, François-Pierre Lani, avocat spécialisé dans le numérique au sein du cabinet Derriennic associés, tout en reconnaissant que la “démarche est complètement louable”.

Près de deux ans après sa présentation par la Commission européenne, voici ce que ce nouveau texte va changer.

Un champ d’application plus large

De nouveaux secteurs seront désormais sous le coup des obligations prévues par le texte. Jusqu’à présent, seuls les acteurs de l’énergie, des transports, les banques et institutions financières, la santé, les réseaux d’eau et certaines infrastructures numériques étaient concernés.

NIS2 élargit le périmètre et y ajoute les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation ou encore les fabricants de produits chimiques et pharmaceutiques. “Il y avait tout lieu de revoir ce dispositif de 2016 pour y intégrer de nouveaux secteurs”, note François-Pierre Lani, face aux tensions géopolitiques grandissantes et au retard de certains pays européens dans la sécurisation de leurs administrations publiques notamment.

Mais la nouvelle directive ne fait pas qu’agrandir la liste des secteurs concernés, elle met aussi en place une nouvelle nomenclature. Les entités seront divisées entre celles dites “essentielles” et celles dites “importantes”, en fonction de leur niveau de criticité et de l’impact que leur dysfonctionnement aurait. Le texte introduit également un seuil au-delà duquel ces entreprises et organisations devront se conformer aux nouvelles règles.

Des procédures de gestion des risques

Ces entités essentielles et importantes devront “prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information”. Cela devrait passer, par exemple, par l’analyse des risques encourus, des mesures garantissant la continuité de leurs activités (comme la gestion des sauvegardes), la sécurisation de leurs réseaux, des procédures d’audit des mesures mises en place, de la formation à une bonne hygiène cyber, l’utilisation de techniques de cryptographie, un bon contrôle des accès ou encore l’utilisation de solutions d’authentification à plusieurs facteurs.

Cette stratégie devra également prendre en compte les sous-traitants, alors qu’ils représentent encore le maillon le plus faible dans la chaîne de valeur. “Bien souvent, les grandes entreprises sont attaquées par le biais des sous-traitants”, confirme Bart Groothuis, soulignant que la cybersécurité devrait être un “pré-requis” avant de faire affaire.

Si les autorités nationales compétentes devront veiller à la bonne implémentation de cette stratégie, la nouvelle directive responsabilise également davantage la direction des entités concernées, qui pourra être “tenue responsable” en cas de non-conformité. “C’est quelque chose ! Si vous avez une entreprise, vous êtes désormais personnellement responsable si vous enchaînez les cafouillages”, se félicite l'eurodéputé.

Signalements et amendes

En cas d’incident, les entités auront désormais un délai de 24h pour émettre une première alerte auprès de l’autorité compétente, l’Anssi pour la France, et pour indiquer si cette intrusion “a été causée par une action illicite ou malveillante ou pourrait avoir un impact transfrontalier”. Puis, dans les 72h après l’incident, elles devront détailler ce signalement avec l’évaluation de l’impact.

Je sais les services de l’Anssi complètement débordés”, met néanmoins en garde François-Pierre Lani, qui s’inquiète de voir à terme une “énorme administration contrainte de prononcer des sanctions pour autofinancer son fonctionnement plutôt que d’être un conseil bienveillant et proactif aux côtés des entreprises. Nous vivons désormais un tel cas avec la Cnil aujourd’hui. L’Anssi ne doit pas devenir un gendarme de la sécurité à l’encontre des entreprises” pour mener à bien ses missions.

En cas de non-respect de ces nouvelles règles, les entités essentielles s’exposeront en effet à une amende administrative maximale de 10 millions d'euros ou de 2% du chiffre d’affaires annuel mondial de l’entreprise sur l’exercice précédent, le montant le plus élevé étant retenu. Les entités importantes, quant à elle, risquent jusqu’à 7 millions d'euros ou 1,4% de leur chiffre d'affaires. “Les cybercriminels russes prennent entre 1,4 et 2% du chiffre d’affaires annuel, alors je me suis dit que c’était le bon chiffre à mettre dans la directive”, explique Bart Groothuis, qui officiait auparavant en tant que directeur de la cybersécurité au ministère néerlandais de la Défense.

Des entreprises à la traîne

Mais ces nouvelles obligations pourraient bien être lourdes à mettre en place pour certaines entreprises. Trois catégories se dessinent pour l'avocat que nous avons interrogé : les grandes entreprises d’abord, celles qui ont les moyens de mettre en place ces contraintes, “même si ça leur coûte” ; les “pure players” qui ont déjà intégré ces nouvelles règles dans leur modèle d’affaires dès leur création ; et enfin, “le monde de l’entreprise traditionnelle”, qui aura plus de difficultés financières et techniques à intégrer ces obligations et besoin de plus de temps pour se mettre en conformité.

Les États membres auront, sous réserve de l’approbation finale du Parlement, 21 mois après l’entrée en vigueur de la directive pour adapter leur législation nationale à ces nouvelles dispositions.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS