Directive NIS2 : les enjeux de la nouvelle cybersécurité européenne

Temps de lecture estimé : 5 minutes

Laura Petiot, conseillère juridique chez DG Cabinet LP-Consulting.

Une tribune signée Laura Petiot, conseillère juridique chez DG Cabinet LP-Consulting.

TRIBUNE. C’est dans un contexte de tensions géopolitiques grandissantes où cybermenaces et cyberattaques constituent désormais des outils de guerre comme les autres, que le Parlement européen a voté, le jeudi 10 novembre, en faveur de l’adoption de la nouvelle directive « Network and Information Security » ou « NIS2 ».

Adoptée, NIS2 abrogera et remplacera la directive NIS de 2016 en s’inscrivant pleinement dans le programme d’action numérique de l’UE à l’horizon 2030.

Et pour cause, de nombreux événements ont récemment accéléré la nécessité de parachever une stratégie commune en matière de cybersécurité : après les affaires d’écoutes et d’espionnage (les révélations autour des espionnages menés par la NSA, puis du « projet Pegasus » à l’été 2021), le conflit russo-ukrainien bouleverse encore davantage le paysage numérique. Le tout récent rapport annuel de l’Agence de l’Union Européenne pour la cybersécurité (ENISA) indique que le conflit pourrait changer durablement la donne en la matière : des cyberattaques sont menées de concert avec des actions militaires sur le terrain, pour dégrader les infrastructures critiques, et perturber les moyens de défense.

Alors, quelles insuffisances ont motivé, si peu de temps après la transposition de la première directive NIS, son évolution vers NIS2 ? Ces nouvelles mesures permettront-elles réellement aux États de l’UE et à leurs économies de se prémunir efficacement contre les cybermenaces ? Quels changements impliquera-t-elle pour les entreprises françaises concernées ? Ces nouvelles obligations feront-elles peser sur elles un poids non déraisonnable ?

Cybermenace : un domaine où la France s’améliore

En France, la directive NIS1 a été transposée dans notre ordre juridique en 2018.

Créée en 2009, c’est l’Agence nationale de la sécurité des systèmes d’information (« Anssi ») qui a d’ailleurs piloté les travaux de transposition.

Service à « compétence nationale », si l’on s’en tient à la terminologue utilisée par la directive européenne, l’Anssi agit en tant qu’ « autorité nationale compétente en matière de cybersécurité » et loge en son sein le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR, Computer Emergency Response Team).

Depuis 2018, la transposition a entraîné un certain nombre de mesures parmi lesquelles notamment, l’identification de plusieurs vagues d’ « Opérateurs de Services Essentiels » (OSE) et des Fournisseurs de Services Numériques (FSN) tenus d’appliquer et de se soumettre aux règles de cybersécurité élaborées par l’Anssi.

Jusqu’à présent, les OSE sont désignés en fonction d’une liste de services essentiels au fonctionnement de la société ou de l’économie, dès lors qu’ils fournissent au moins un des services mentionnés sur la liste, et qu’un incident qui affecte leurs réseaux aurait des conséquences graves au regard d’un certain nombre de critères.

Sur certains domaines, la France va plus loin que l’UE

OSE et FSN sont notamment régis par l’obligation de déclarer à l’Anssi  « dès qu’ils en ont connaissance », les incidents qui affecte les réseaux et systèmes d’information utilisés pour la fourniture de leurs services essentiels lorsqu’ils ont (ou sont susceptibles d’avoir) un impact significatif sur la continuité de ces mêmes services.

En outre, l’article 9 de la loi de 2018 prévoit déjà un système de sanction avec la possibilité pour l’Anssi de prononcer différentes amendes administratives dont le montant peut s’élever entre 75 000 et 125 000 euros, en fonction du type de règle(s) méconnue(s) par l’opérateur concerné.

Notons par ailleurs que la France est allée plus loin que ce à quoi la directive l’y avait contraint. Aux domaines inclus dans le champ d’application de NIS1, la liste française des services essentiels a ajouté : les assurances, les organismes sociaux, les organismes de gestion de l’emploi et de la formation professionnelle, le traitement des eaux non potables, les opérateurs chargés du parcours éducatif national et de l’organisation d’examens nationaux, la restauration collective destinée aux secteurs de la santé, de l’enfance et de la détention pénitentiaire.

Pourquoi réformer NIS1 ?

À l’échelon national et international, les événements mentionnés plus tôt ont accéléré le constat de certains échecs : des degrés de résilience variable des États Membres et de certains de leurs services essentiels aux cyberattaques et au cyber-espionnage, ainsi que l’absence de réponse conjointe de l’Union européenne à ce type de crises.

Constats auxquels il faut ajouter le faible niveau de cyber-résilience des entreprises établies dans l’Union : elles sont de plus en plus nombreuses à subir les conséquences de telles attaques (Orange, Altice, CMA CGM, etc.).

Que prévoit vraiment NIS2 ?

Ce qu’il faut surtout appréhender, c’est la suppression de l’obligation faite aux États Membres d’identifier les « Opérateurs de Services Essentiels ».

En effet, la nouvelle directive supprime définitivement ce statut, et met en place une nouvelle nomenclature. Seront désormais concernées par la directive, les entités publiques et privées dites « essentielles » et «importantes » actives dans l’un des secteurs énumérés, et désignées comme telles en fonction de leur niveau de criticité, et de l’impact que leur dysfonctionnement pourrait avoir.

Disons-le tout de suite, en principe et sauf exception, les dispositions de la directive ne devraient pas s’appliquer aux microentreprises et aux petites entreprises au sens où les définit la Commission européenne.

Les entités essentielles et importantes devront désormais prendre des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et de leurs systèmes d’information. Elles devront couvrir, au minimum, les aspects liés à l’analyse et à l’évaluation des risques encourus, à la gestion des incidents cyber, à la continuité des activités et à la gestion des crises en cas d’attaque, à l’utilisation de solutions de contrôle des accès. Et, enfin, à la sécurité de la chaîne d’approvisionnement (qui inclue notamment la question des fournisseurs, des sous-traitants et des prestataires de services).

Ce dernier point est intéressant, il n’avait pas été traité par NIS1 alors que les sous-traitants représentent encore aujourd’hui le maillon le plus faible de la chaîne de sécurité mise en place dans les entreprises, et ces dernières sont régulièrement attaquées par ce biais.

Le nouveau rôle de l’Anssi

À l’image de ce que prévoit le RGPD, NIS2 place les organes de direction des entités concernées au centre des décisions en matière de cybersécurité. Ils pourront, à ce titre, être tenus pour responsable en cas de défaut ou d’insuffisance de mesures déployées dans l’entité. Cela inclut, en leur sein, la responsabilité des personnes physiques exercent des responsabilités dirigeantes dans l’entité, ou capable de la représenter.

En outre, la directive renforce les obligations des entités essentielles et importantes en matière de communication. Désormais, tout incident « ayant une incidence significative sur la fourniture de leurs services » ou « toute cybermenace importante qui aurait pu entraîner un incident significatif » devront être communiqués dans un premier délai de vingt-quatre heures auprès de l’autorité compétente (l’Anssi pour la France).

L’aspect « surveillance et exécution » est celui sur lequel le législateur européen a semble-t-il le plus insisté. Ainsi, les autorités nationales compétentes devront par exemple se voir attribuer par l’État le pouvoir de soumettre lesdites entités à des inspections, une surveillance à distance, des audits, des scans de sécurité, des demandes d’accès à des données ou à toutes informations nécessaires à l’évaluation des mesures de cybersécurité mises en place. Sur ce dernier point, se pose alors la question de la frontière entre sûreté et sécurité publiques d’un côté, et respect de la vie privée de la personne morale de l’autre, ce qui inclut l’ensemble des aspects liés aux secrets industriels et commerciaux.

Articuler les contrôles avec la liberté d’entreprendre

Dans l’exercice de ses nouvelles missions, L’Anssi se verrait ainsi octroyer de nouveaux moyens parmi lesquels, la possibilité d’émettre des instructions contraignantes, d’opérer elle-même une déclaration publique qui désigne les responsables (personnes physiques ou morales) de la violation des obligations, d’imposer une amende administrative, voire, de désigner dans l’entité, pour une période déterminée, un responsable du contrôle chargé de superviser le respect des obligations en la matière : se dessine ici la question de l’articulation avec la liberté d’entreprendre et d’exercer librement une activité économique (principe ayant, en France, une valeur constitutionnelle).

Parmi elles, l’Anssi pourrait ainsi imposer une injonction temporaire qui interdit à toute personne exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal de l’entité, ainsi qu’à toute personne physique tenue pour responsable de la violation, d’exercer des responsabilités dirigeantes dans l’entité concernée.

Là encore, le signal est assez fort. Mais s’agit-il bien, dans les faits, d’une mesure susceptible d’entraîner la responsabilité pénale du chef d’entreprise ? Auquel cas, quel serait le rôle de l’Anssi et comment pourrait-elle interagir avec les organismes publics compétents ? (Inspection du Travail et Directions Régionales notamment).

Une ambition pour contrer la menace cyber

En conclusion, certaines des nouvelles mesures imposées par la directive NIS2, directement aux États membres, ou indirectement, à leurs entités essentielles et importantes, sont ambitieuses. Elles traduisent la volonté d’avancer vers un système plus efficace d’anticipation et de gestion du risque et de la menace cyber pour préserver les économies européennes.

Pour certaines entreprises, bien qu’a priori coûteuses et techniques, le déploiement de mesures propres à gérer les risques liés à la sécurité des réseaux et des systèmes d’information sur toute la chaîne d’approvisionnement pourrait manifester un gain d’efficacité et à terme, la réduction des coûts supplémentaires générés par les incidents de cybersécurité.

Néanmoins, plusieurs questions demeurent irrésolues dans la pratique, et certaines frontières devront être clairement délimitées. Dotée de nouveaux pouvoirs et de moyens pour les appliquer à l’échelle nationale, l’Anssi ne devrait pas avoir à agir comme une police répressive à l’encontre des entreprises, de plus en plus guidées et ralenties par des contraintes législatives et réglementaires, plutôt que par leur initiative propre à assurer leur sécurité. Des différends liés à l’articulation entre ces nouvelles prérogatives et la liberté d’entreprendre et d’exercer librement une activité économique pourraient se manifester une fois la directive transposée.

Il est utile à cet égard de se demander quelle(s) voie(s) de recours ces entités seront-elles autorisées à actionner en cas de désaccord, alors que l’on sait que le décret de 2018 pris en application de NIS1 imposait à tout opérateur de services essentiels de former un recours administratif préalable (« Rapo ») auprès du Premier ministre avant de pouvoir former un recours contentieux recevable.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

J’accepte les conditions et la politique de confidentialité

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.