• Perspective
Publié le 23 juin 2022

La directive NIS2 (Network and Information Security) : Un niveau commun élevé de cybersécurité dans l’UE

Face aux menaces croissantes de la sécurité numérique, la Commission de l’industrie, de la recherche et de l’énergie du Parlement européen, a présenté une nouvelle directive visant à élargir le champ d’application couvert par NIS et le remplacer par NIS2. La directive NIS2 vise notamment à intégrer d’autres secteurs d’activité parmi ses champs d‘applications tels que la recherche, l’espace et les entreprises de services du numérique.

La proposition sur la révision de la NIS a été approuvé par le COREPER le 22 juin.

Rappelons que le NIS (Network and information security) est le premier texte législatif européen sur la cybersécurité, visant à atteindre un niveau maximal de cybersécurité dans tous les Etats membres.

Contexte

À mesure que le nombre de technologies de l’information augmente depuis deux décennies, les secteurs d’activités essentiels, tels que l’énergie, la finance, les transports, les télécommunications, les activités gouvernementales sont devenus de plus en plus dépendants des technologies numériques. La sophistication des moyens que les criminels engagent pour mener les cyberattaques augmente de manière sans précédent, tout comme l’ampleur des impacts économiques et sociaux que celles-ci causent aux entreprises et aux gouvernements. De manière assez imprévue, la pandémie de coronavirus a contribué, à son tour, à l’accélération de la transformation numérique mondiale, ainsi qu’à l’augmentation des incidents de cybersécurité à l'échelle mondiale.

En conséquence du nombre croissant des cyberattaques qui ciblent non seulement les entreprises et les citoyens, mais aussi les infrastructures critiques des Etats, telles que des systèmes d’alimentation électrique, des hôpitaux, les structures énergétiques et gazières, les gouvernements et les entreprises augmentent les dépenses consacrées à la sécurité de l’information. Face aux nombreuses cyberattaques, telles que l’attaque massive en Estonie en avril 2007, affectant les services des banques et des organismes gouvernementaux ou la tentative de « spear-phishing » aux Etats Unis en 2019, les dépenses du marché mondial de la sécurité ont atteint environ 150 milliards US$. Selon les prévisions, les dépenses de sécurité numérique atteindront 208 milliards de dollars américains en 2023 et 400 milliards de dollars américains en 2016.

C’est dans l’optique de faire face aux défis numériques que l’Union Européenne a mis en place un ensemble de projets dans l’optique de renforcer la protection de ses citoyens et de ses entreprises contre les cybermenaces.

La directive

La directive sur la sécurité des réseaux et des systèmes de l’Information dans l’Union Européenne (Directive NIS) représente le premier élément de la législation européenne sur la cybersécurité qui a été adopté par les institutions européennes en juillet 2016. Cette directive devait être transposée par les États membres avant le 9 mai 2018 et prévoyait des mesures juridiques pour renforcer le niveau global de cybersécurité dans l’UE, en mettant l’accent sur la protection des infrastructures critiques.

Cependant, le paysage des menaces numériques a considérablement changé depuis l’adoption de la directive NIS en 2016. À ce titre, le champ d’application de la directive NIS a dû être mis à jour et élargi afin de pouvoir couvrir l’ensemble des risques actuels et les défis futurs, l’un de ces défis étant de garantir la sécurité de la technologie 5G. À cela s’ajoute la pandémie de coronavirus qui n’a fait que contribuer à la dépendance de l’économie de l’UE des réseaux et des systèmes de l’information du fait que les secteurs d’activité et les services sont de plus en plus interconnectés.

En conséquence, l’Union Européenne a envisagé une augmentation considérable de financement dédié à l’amélioration de la cyber-résilience pour les secteurs essentiels tels que l’énergie et les soins. Ainsi, le financement des initiatives de l’UE en matière de cybersécurité a augmenté pour une période de 2021-2027 avec pour objectif d’atteindre jusqu’à 4,5 milliards d’investissements.

Quel changement avec la nouvelle proposition ?

La nouvelle directive NIS2, proposée par la Commission le 16 décembre 2020, vise à remédier aux limites existant dans la directive NIS1 actuelle. En d’autres termes, NIS2 envisage l’établissement et le fonctionnement du marché intérieur en renforçant les mesures de rapprochement des règles nationales. Cette nouvelle directive obligerait davantage d’entités, notamment des secteurs d’activité critiques, à prendre des mesures de sécurité pour accroitre le niveau de cybersécurité en Europe.

Voici les principaux objectifs de NIS2 :

  • Accroitre la cyber-résilience de l’ensemble des entreprises opérant dans l’Union Européenne et s’assurer que tous les secteurs publics et privés du marché intérieur, remplissant des fonctions importantes pour l’économie et pour la société, ont pris les mesures nécessaires pour faire face aux cybermenaces actuelles.
  • Intégrer de nouveaux secteurs stratégiques dans son champ d’application tels que l’espace, la recherche, les entreprises de services du numérique.
  • Dans son champ d’application, la directive NIS2 vise particulièrement l’intégration des secteurs tels que les télécommunications, les plateformes de médias et l’administration publique.
  • Réduire les incohérences en matière de résilience au sein du marché intérieur dans les secteurs déjà couverts par la directive. L’objectif est d’obliger les entités à mettre les mesures de sécurité en conformité avec les exigences du NIS sous peine d’amendes administratives allant jusqu’à 10 millions d’euros.
  • Catégoriser de manière précise des entités « essentielles » ou « importantes » selon leur niveau de criticité. Cela obligerait ces entités à avertir les autorités nationales chargées de la gestion des menaces cyber de tout incident majeur.
  • Améliorer la capacité collective à réagir en prenant des mesures pour contribuer à accroitre la confiance mutuelle entre les Etats membres et les autorités compétentes, le partage d’informations, la mise en place des règles et des procédures en cas d’incident de sécurité. Cette nouvelle directive NIS2 renforcerait également le rôle du groupe NIS dans la prise de décision et l’accroissement de la coopération entre les Etats membres.

Références : The NIS2 Directive (europa.eu)

Auteur

Heghine GHAHRAMANYAN, Consultante

Article rédigé par
Tristan Loret