La directive NIS2, qui doit élever le niveau général de cybersécurité en Europe, entrera en application le 17 octobre. Elle élargit considérablement le périmètre d’action de la première directive NIS. La Commission supérieure du numérique et des postes (CSNP) l’accueille très favorablement. Dans un rapport, elle souligne toutefois ses zones d’ombre et les nombreux défis qui attendent les structures concernées.

La cybersécurité en Europe est devenue un enjeu pressant. Les attaques s’intensifient et plus un mois ne passe sans que l’on apprenne un vol de données plus ou moins important. Pour la seule France, les dernières ont été massives, avec notamment les attaques contre les deux plus gros prestataires de tiers payant et France Travail.

En juillet 2016, la directive NIS1 (Network and Information Systems 1) venait déjà dresser une liste d’obligations pour les secteurs jugés « essentiels » : énergie, transport, banques, infrastructures de marché financier, santé, eau potable et infrastructures numériques. Transposée dans le droit français, la loi concernait 600 entités environ.

Rapidement, la nécessité d’une version 2 s’est fait sentir, poussée par un besoin d’harmonisation des normes communes de cybersécurité en Europe et l’intensification des cyberattaques. « Malgré leurs accomplissements notables et leur incidence positive, ces règles ont dû être mises à jour en raison du degré croissant de numérisation et d'interconnexion de notre société et de l'augmentation des actes de cybermalveillance à l'échelle mondiale », avait indiqué Thierry Breton (alors commissaire au commerce intérieur), en mai 2022, quelques mois avant la publication de la directive NIS2 au journal officiel (27 décembre).

La directive NIS2 doit avoir été transposée dans le droit national français au plus tard le 17 octobre 2024, pour une application dès le lendemain. Elle sera ensuite réexaminée au plus tard le 17 octobre 2027 par la Commission européenne, puis tous les trois ans. En France, la dissolution de l’Assemblée nationale par Emmanuel Macron le 9 juin a cependant bousculé le calendrier.

Avant de plonger dans les constats et recommandations de la CSNP pour l’application de la directive en France, rappelons-en les grandes lignes.

Le cœur de la directive NIS2

L’un des grands objectifs de NIS2 est d’élargir le périmètre d’action de la première directive. De sept secteurs essentiels, on passe à onze (hautement critiques) et sept importants (critiques).

Les premiers sont l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, l’infrastructure numérique, la gestion des services TIC, l’administration publique et l’espace. Les secteurs importants comprennent les services postaux et d’expédition, la gestion des déchets, la chaine des produits chimiques, la chaine des denrées alimentaires, la fabrication, les fournisseurs numériques et la recherche. Dans les deux cas, la liste des entités sera fixée par décret.

De plus, NIS2 s’applique automatiquement aux collectivités territoriales de plus de 30 000 habitants et aux entreprises privées répondant aux critères de seuil (secteur, nombre d’employés, chiffre d’affaires…). Conséquence, d’environ 600 entités pour NIS1, on passe à près de 15 000 pour NIS2.

La directive doit ainsi constituer un socle minimal de mesures de sécurité en deçà duquel les entités risquent des sanctions si elles ne s’y conforment pas. Rien ne les empêche en revanche d’aller plus loin, la directive les y encourage d’ailleurs.

NIS2 instaure également le CyCLONe (Cyber Crises Link Organisation Network), pour mieux organiser la réponse européenne en cas de crise de cybersécurité. Les autorités réunies dans cette organisation (dont l'ANSSI) ont un rôle renforcé. La coopération transfrontalière est appelée à jouer un grand rôle, via la coordination des actions et les échanges réguliers entre États membres.

• Cybersécurité : la directive européenne NIS 2 est là, ce qu’elle change pour les États membres

Rappelons l’existence du site MonEspaceNIS2 sur Cyber.gouv.fr (en bêta), qui tente de répondre de manière directe aux questions pratiques sur NIS2.

La CSNP accueille « très favorablement » la directive, mais…

Pour la Commission supérieure du numérique et des postes (commission parlementaire mixte entre l’Assemblée et le Sénat), la directive NIS2 est « un levier essentiel » pour relever le niveau de sécurité numérique au sein de l’Union. Elle l’accueille donc « très favorablement ». Toutefois, missionnée pour étudier sa transposition dans le droit national, elle note de nombreux défis et zones d’ombre. Le rapport, qui vient tout juste de paraître, contient ainsi une longue liste de recommandations.