Après huit années de bons et loyaux services (2016-2024), la directive « Sécurité des réseaux et de l’information », dite « NIS1 » (Network and Information System Security) va passer la main à la directive NIS2. NIS1 avait été adoptée par le Parlement européen et le Conseil de l’Union européenne en juillet 2016 et transposée au niveau national en 2018. Mais face à des cybercriminels toujours plus inventifs et efficaces, la directive NIS2 entend élargir son périmètre et apporter davantage de protection.
Publiée le 27 décembre 2022 au Journal officiel de l’Union européenne, NIS2 prévoit un délai de 21 mois pour que chaque État membre de l’UE la transpose en droit national. Elle devrait rentrer en vigueur en France, au deuxième semestre 2024.
Parmi les nouveautés, NIS2 intègre un mécanisme de proportionnalité distinguant deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles (EE) et les entités importantes (EI).
NIS2 étend également le nombre de secteurs concernés. Alors que la directive NIS1 régissait 19 secteurs, ce sont désormais 35 secteurs qui sont concernés par NIS2. Parmi les nouveaux secteurs d’activité, on trouve : les services postaux et d’expédition, l’industrie, l’agroalimentaire, la fabrication, la production et la distribution de produits chimiques et la gestion des déchets. Au sein de ces secteurs, les entreprises ciblées sont celles employant plus de 50 salariés et réalisant plus d’un million d’euros de chiffre d’affaires.
NIS2 renforce par ailleurs son régime de sanction, qui s’appliquera à toutes les entités assujetties. Les amendes prévues en cas de non-conformité pourront atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les EE, et 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial pour les EI.
Avant la transposition de la directive NIS2 en droit français, l’Anssi a procédé à un certain nombre de consultations. Cela a notamment été le cas avec le Cesin (Club des experts de la sécurité de l’information et du numérique) et Hexatrust (association professionnelle regroupant des spécialistes français et européens de la cybersécurité et du cloud de confiance et partenaire du Forum InCyber).
Un autre sujet issu des échanges entre les membres du Cesin concerne la compétitivité des entreprises : « Avec NIS1, nous étions sur une sélection d’entreprises concernées. Nous passons avec NIS2 à un modèle où tout le monde doit se sentir concerné. Certaines sociétés – qui n’ont jamais été exposées à une réglementation de cybersécurité – se posent la question de savoir comment elles vont rester compétitives compte tenu des investissements induits par NIS2. Le passage à l’échelle ne sera pas forcément évident pour tout le monde », note Frank Van Caenegem.
Pour Jean-Noël de Galzain, président d’Hexatrust, le maintien de la compétitivité des entreprises est également une préoccupation : « La thématique qu’il faut retenir des discussions qui ont eu lieu au sein de notre groupe de travail (qui réunit 50 de nos membres) et avec l’Anssi est de savoir comment transformer l’adaptation à cette nouvelle directive en outil de compétitivité pour nos entreprises ».
Autre volet du travail effectué par Hexatrust et ses membres : que la transposition colle à certains secteurs d’activité. « Certains secteurs sont plus sensibles, ou mieux préparés que d’autres. Il est donc nécessaire que l’Anssi adapte cette directive à la réalité du terrain. L’avantage, chez Hexatrust, c’est que nous avons 130 membres, qui eux-mêmes ont des centaines, voire des milliers de clients, dans un très grand nombre de secteurs impactés par NIS2. Nous pouvons donc combiner cette connaissance du terrain avec le travail de transposition, de certification et de mise en conformité mené par l’Anssi », note Jean-Noël de Galzain.
