Transposition de NIS2 : les grands travaux législatifs commencent

Publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne, la directive NIS2 est une révision de la directive sur la sécurité des réseaux et des systèmes d’information (NIS) de juillet 2016. Tous les États membres doivent avoir transposé NIS2 dans leur droit avant le 17 octobre 2024.

La directive révisée étend largement le champ d’application de sa devancière. NIS2 touche en effet onze secteurs jugés « essentiels » et sept secteurs « importants », regroupant 600 types d’organisations différents. La directive va notamment leur imposer des obligations minimales de cybersécurité et de déclaration d’incidents. La majorité des organisations concernées par NIS2 n’étant pas soumises à NIS, de très nombreux acteurs, publics et privés, vont devoir mettre à jour leurs protocoles cyber.

En novembre 2023, Vincent Strubel, directeur général de l’ANSSI, estimait ainsi que cette révision allait engendrer « une multiplication par 10, 20 ou 30 des acteurs régulés » en France. Il voit d’ailleurs dans cette mise à niveau de l’écosystème français « peut-être le chantier le plus structurant à l’ANSSI ».

Le pouvoir législatif travaille actuellement à cette transposition cruciale : il reste un peu plus de six mois au législateur pour finaliser et adopter un projet de loi ad hoc. NIS 2 entrera donc en vigueur en France au plus tard le 17 octobre 2024. Toutefois, précise l’ANSSI, « la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité ».

Outre ces obligations réglementaires, NIS2 acte également la création d’une structure européenne de gestion de crise cyber. Baptisée CyCLONe, (Cyber Crisis Liaison Organisation Network), cette nouvelle entité réunira les autorités nationales de cybersécurité des États membres. L’ANSSI y représentera la France.