NIS2 : nouvelle année, nouvelles règles européennes de sécurité

La Directive NIS était le premier texte européen à apporter des exigences en matière de sécurité des actifs numériques. Entrée en vigueur en 2016, elle a été diversement accueillie par les États membres. Selon son propre article 23, la Directive doit être revue et modifiée à intervalle régulier pour refléter les évolutions des risques et menaces. Ainsi, le processus de révision avait débuté en plein premier confinement, en 2020. Le 28 novembre 2022, le texte final de la Directive NIS2 a été adopté.

Pour renforcer la posture de sécurité au sein de l’UE, différentes dynamiques ont été enclenchées :

• Un élargissement du champ d’application davantage de secteurs et d’entités. L’estimation est ainsi étendue à un périmètre comptant 160 000 entités concernées au sein de l’UE.
• Un focus spécifique sur la sécurité des chaînes d’approvisionnement numérique. C’est une première en Europe, et cette dimension est structurante pour la suite du travail réglementaire en matière de sécurité du numérique (Cyber Resilience Act, etc.).
• Une rationalisation des obligations de reporting, notamment en matière d’incidents de sécurité et de vulnérabilités.
• Une responsabilité accrue des organes de direction au sein des entités concernées par NIS2, avec notamment l’introduction de responsabilité pénale pour les patrons qui tenteraient de cacher le pot aux roses que représente un problème critique de sécurité.
• Une harmonisation et un durcissement des sanctions au sein de tous les États membres, de manière à dépasser les variations créatives qui existaient à la suite de la transposition de NIS première version.

Qui est concerné ?

L’un des changements majeurs introduits par NIS2 est l’élargissement de périmètre. Deux types de critères sont à prendre en compte : le secteur d’activité de l’organisation et sa taille. Ce dernier critère a été chaudement débattu pendant les ateliers de révision, beaucoup craignant une charge de conformité disproportionnée pour les TPE/PME.

Ainsi, les conditions d’application sur le critère « taille » ont été précisées pour viser des organisations qui fournissent des services critiques et/ou dont la mauvaise posture de sécurité peut avoir un impact négatif significatif sur la sécurité publique ou la santé publique. Par conséquent, ces fournisseurs sont dans le périmètre d’application NIS2, quelle que soit leur taille.

Concernant la dénomination des organisations concernées par NIS2, on voit un changement qui risque de faire couler beaucoup d’encre. Dans la NIS d’origine, on avait les OSE (opérateurs de services essentiels) et les FSN (fournisseurs de services numériques). Les OSE ressemblaient beaucoup aux OIV français.

Les FSN couvraient les fournisseurs de cloud, les places de marché en ligne et les moteurs de recherche, à qui la tendance était d’appliquer des exigences de forme. Avec NIS2, cette distinction n’existe plus : voilà arrivées les Entités Essentielles (EE) et les Entités Importantes (EI). La catégorisation est faite en fonction du secteur d’activité de l’organisation.

Les EE (Annexe I de la NIS2) concernent les opérateurs publics et privés dans, entre autres, les secteurs de l’énergie, de la santé, du transport, de l’administration publique, des infrastructures numériques, des services numériques B2B et de l’espace. On retrouvera ici les fournisseurs de services cloud, les CDN, les data centers ou encore les fournisseurs de services managés (y compris de sécurité). Il est possible que beaucoup de RSSI découvriront bientôt la classification de son SOC managé comme entité essentielle au sens NIS2…

Les EI (Annexe II de la NIS2) concernent les opérateurs publics et privés dans les secteurs postes et courrier, l’alimentaire (par ex., les cantines), la recherche, la gestion des déchets, les places de marché en ligne, les réseaux sociaux, les moteurs de recherche et les objets connectés de santé.

On peut longuement épiloguer sur la pertinence de telle ou telle définition ou inclusion. Toujours est-il qu’à l’heure actuelle, plus de 160 000 organisations publiques et privées de toutes tailles et établies sur le territoire européen sont concernées par un ensemble d’exigences minimum harmonisées.

Autrement dit, une EI ne bénéficie pas d’exigences réduites. Elle et ses responsables seront sujets aux mêmes régimes de sanctions que les EE. L’approche d’exception est inversée par rapport à la NIS d’origine : aux EE pourront s’appliquer des exigences renforcées (telles que des inspections physiques sur site).

Surveiller et punir : la responsabilité des dirigeants

Lorsqu’elle sera mise en œuvre, la Directive NIS2 augmentera l’effort (minimal) que les organisations doivent consacrer à la sécurité des actifs numériques. Dans cette démarche, NIS2 adopte une approche dissuasive en définissant des barèmes de sanctions comme suit :

• Des amendes administratives.
• Une responsabilité des décideurs et des cadres dirigeants (les C-level) au sein des organisations.

Concernant les amendes administratives, la stratification amorcée par le RGPD est aussi déployée dans NIS2. Ainsi, en cas de manquement aux obligations de reporting et de mise en place de mesures de réduction des risques, des amendes pouvant atteindre 10 millions d’euros ou 2% du CA annuel monde consolidé pourront être infligées (le montant le plus élevé est retenu). Comme avec le RGPD, le pourcentage est calculé sur la base du CA « groupe » en cas d’amende visant une filiale. Bien évidemment, les États membres peuvent assortir ces amendes de leurs propres sanctions nationales.

La vraie nouveauté punitive est la sanction du top management. Autrement dit, le législateur européen connaît la souffrance et la solitude du « manager IT » pour assurer le maintien en condition de sécurité des outils numériques. NIS2 vient donc avec l’objectif de responsabiliser les dirigeants et de permettre une appropriation du risque numérique par la direction et le conseil d’administration.

Concrètement, NIS2 permet aux autorités des États membres de tenir les dirigeants personnellement responsables si une négligence grave est prouvée après un incident de sécurité. Les autorités peuvent ainsi ordonner aux organisations en situation de manquement de rendre publics les aspects de non-conformité avec la directive. Ou encore de faire une déclaration publique qui identifie la ou les personnes physiques et morales responsables de la violation, et la nature de cette violation. L’inspiration de ces mesures vient également du RGPD : il est souvent bien plus difficile d’encaisser l’atteinte à l’image que cause une sanction publique du genre que de débourser quelques centaines de milliers d’euros.

Et si l’organisation est une EE, NIS2 permet aux autorités d’interdire (temporairement) à une personne d’exercer des fonctions de direction en cas de négligence répétée. Il s’agit toutefois d’un scénario catastrophe. NIS2 fournit en effet des lignes directrices pour prévenir de telles négligences. Par exemple, pour s’assurer que la direction est suffisamment sensibilisée au risque numérique, NIS2 impose que les organes de direction reçoivent une formation adéquate en matière de cybersécurité.

La NIS2 conseille que tous les salariés reçoivent une telle formation. En outre, il exige que des activités de gestion et d’évaluation des risques soient réalisées pour s’assurer que la direction est consciente et a pris en compte les risques de cybersécurité au sein de son organisation.