Directive NIS2 : comment sera-t-elle retranscrite dans la loi française ?

La directive européenne sur la sécurité des réseaux et des systèmes d’information (NIS) date de juillet 2016. Sa révision, la directive NIS2, a été adoptée par l’Union européenne le 28 novembre 2022. Elle élargit considérablement le périmètre des organisations soumises à des obligations de sécurité, qui devrait passer, en France, d’environ 300 à plus de 10 000.

La directive définit deux niveaux de criticité : les secteurs « essentiels » et « importants ». Les 11 « essentiels » sont : énergie ; transports ; secteur bancaire ; infrastructures des marchés financiers ; santé ; eau potable ; eaux usées ; infrastructures numériques ; gestion des services TIC ; administration publique ; espace.

Les 7 secteurs « importants » sont : services postaux et d’expédition ; gestion des déchets ; industrie des produits chimiques ; production, transformation et distribution de denrées alimentaires ; industrie médicale, informatique, de machines-outils et de véhicules automobiles ; fournisseurs numériques ; recherche. Chaque législateur national peut aussi ajouter ou supprimer des secteurs ou des entités en fonction de la situation de son pays.

La directive NIS2 impose de nouvelles obligations à ces entreprises, notamment :

• une réduction des délais de signalement des incidents cyber à leur CSIRT national ;
• des normes de cybersécurité renforcées ;
• des obligations de formation des employés au risque cyber ;
• des audits de sécurité réguliers.

Les États membres ont jusqu’au 17 octobre 2024 pour transposer la directive NIS2 dans leurs législations nationales. La France l’a intégrée à une phase de consultation pour le second semestre 2023. Un projet de transposition est attendu début 2024.