La directive NIS 2 qui renforce le niveau de sécurité informatique au sein de l'UE vient d'être validée par le comité Coreper*. Prochaine étape: le vote en session plénière pour adoption définitive et application en avril 2024.
La directive NIS 2 poursuit le même objectif que le texte d'origine : Renforcer le niveau de sécurité informatique au sein de l'Union européenne en imposant à certains acteurs des obligations strictes. Mais elle étend son champ d'application pour inclure de nouveaux secteurs, tels que l'espace, la recherche et les entreprises de services numériques (ESN), ainsi que les administrations publiques.
L'adoption de la révision de la directive NIS 2 a fait partie des enjeux forts de la présidence française au Conseil de l'Union européenne.
L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) planche actuellement sur la grille d'évaluation de la certification pour les services de Cloud Computing. Le projet inclut également selon la source Euractiv des exigences fortes en matière de souveraineté numérique pour s'assurer que les fournisseurs sont imperméables aux lois étrangères.
C'est la Commission européenne qui aurait demandé à l'ENISA d'intégrer de telles exigences. "L'objectif de ces exigences spécifiques est de prévenir et de limiter de manière adéquate les éventuelles interférences d'Etats extérieurs à l'Union européenne avec le fonctionnement des services de cloud certifiés".
Coopération plus efficace entre les états membres
Dans le document présenté par l'UE, plusieurs leviers d'action ont été prévus : résilience, souveraineté technologique et leadership, renforcement des capacités opérationnelles pour prévenir, dissuader et réagir et faire progresser un cyberespace mondial et ouvert grâce à une coopération accrue.
NIS 1 souhaitait mettre en place une coopération efficace entre les Etats membres pour lutter contre les cyberattaques à travers différentes structures, telles que le groupe de coopération NIS et le réseau des Computer Security Incident Response Team (CISRT).
NIS 2 prévoit ainsi un renforcement de ces réseaux européens de coopération.
Pour l'heure, s'agissant d'une directive, les Etats membres devront transposer les nouvelles obligations de la NIS 2 dans leur réglementation nationale. Un délai de transposition de 21 mois étant prévu, elle ne devrait pas être transcrite avant avril 2024.
L'Anssi rappelle que la transposition de NIS 1 a permis de faire apparaître de nouveaux outils réglementaires dans l'ensemble des Etats membres. En France, elle a permis d'étendre "de manière cohérente le cadre réglementaire existant" afin d'élever "la maturité cyber des acteurs essentiels au fonctionnement de l'économie et de la société".
De 15000 à 150 000 entreprises régulées
La NIS 2 distinguera deux niveaux d’opérateurs, les opérateurs « essentiels » et « importants », les premiers étant soumis à des obligations plus complètes que les seconds compte tenu des risques de sécurité importants que leur position entraîne dans leur domaine d’activité. Les opérateurs « importants » seront majoritairement des PME d’au moins 50 salariés.
Le nombre d'entreprises régulées devrait ainsi passer de 15 000 à 150 000. Elles auront des obligations en termes de gestion des risques, de reporting sur les incidents et divulgation des vulnérabilités.
La directive NIS 2 élargit également les pouvoirs des autorités de contrôle par les autorités nationales et harmonise et renforce les sanctions en cas de non-respect des obligations. L’amende pourra représenter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise et la responsabilité des dirigeants pourra être engagée.
Reste que la mise en conformité avec cette nouvelle directive pourrait impliquer des efforts d'investissements importants, d'au moins 10% du budget IT global d'une entreprise.
L'occasion pour les fournisseurs de sécurité IT de proposer des services et solutions à réelle valeur ajoutée en terme de SOC, et de gestion des vulnérabilités, disposant de certifications ad hoc, Visa de sécurité Anssi ou certifications ISO 27001, ISO 27100.
* Comité des représentants permanents des gouvernements des Etats membres de l’Union européenne
Commentaires