Adoptée par les institutions européennes en juillet 2016, la directive NIS a pour objectif d’assurer un certain niveau de sécurité pour les réseaux et systèmes d’information des infrastructures critiques et sensibles des pays membres de l’Union européenne. Six ans plus tard, la révision de cette directive s’accélère, avec de premiers accords entre la Commission, le Parlement et le Conseil européen en mai et juin 2022. Pas encore adoptée, cette nouvelle directive NIS2 donne déjà lieu à de nombreuses questions quant à ses implications et son périmètre d’application. Explications.
Un élargissement des acteurs concernés
L’accroissement des cyberattaques de ces dernières années oblige les États membres de l’UE à augmenter leur niveau de sécurité dans le but de protéger les citoyens, les collectivités territoriales et les entreprises. Pour faire face à ce défi, la directive NIS se réforme, s’harmonise et se renforce en une version 2.0. Selon Thierry Breton, Commissaire européen au commerce intérieur, cette réforme doit « sécuriser davantage les services critiques pour la société et l’économie ». Et permettre « de moderniser les règles ».
Le premier degré d’harmonisation se traduira par un élargissement des secteurs concernés. En intégrant les secteurs des services postaux, de la gestion des déchets, de la production et distribution de produits chimiques ou encore de l’agroalimentaire, les secteurs concernés par la directive NIS2 passeront ainsi de 19 à 35. Pour le territoire français, Guillaume Poupard, Directeur Général de l’ANSSI, déclarait en juin 2022, que la directive NIS2 allait étendre considérablement son rayon d’action, ce qui représenterait « un nombre d’acteurs classés OSE multiplié par 10 ». À ce jour, il n’existe aucun chiffre officiel du nombre d’entreprises concernées, mais de premières estimations non officielles comptabilisent jusqu’à plusieurs milliers d’organisations françaises impactées.
Les collectivités territoriales sont également intégrées à cette réforme. D'après une interview d’Yves Verhoeven, le sous-directeur stratégie de l'ANSSI, pour le journal La Tribune, « le NIS révisé donne la possibilité d'aller réguler les collectivités territoriales, et de leur imposer des règles de cybersécurité ». À noter qu’il ne s’agit que d’une possibilité, chaque État membre ayant la main pour élargir, ou non, le périmètre de la nouvelle directive à ses administrations locales.
Oubliés de la première version, les sous-traitants et prestataires de services ayant un accès à une infrastructure critique seront également soumis à la directive NIS2. Car les failles dans l’infrastructure d’un prestataire pouvaient mettre à mal la sécurité des OSE pour lesquels il travaille. La cyberattaque ayant touché la société Kaseya en juillet 2021 en est un triste et célèbre exemple de ces supply chain attacks. Dès l’application de NIS 2, la réalité sur le terrain sera bien différente. Par exemple dans le secteur de l’énergie, les producteurs, transporteurs et distributeurs d’électricité ne seront plus seuls à se voir imposer des mesures de sécurité. Et l’ensemble des sous-traitants des infrastructures critiques le seront également. Les sociétés de prestations de services et autres ESN auront notamment l’obligation de prévenir en moins de 72 heures tout incident de sécurité, afin d’endiguer la propagation de l’attaque. Il faut ainsi s’attendre à ce que les petites et moyennes entreprises recrutent rapidement un profil RSSI pour répondre aux exigences de sécurité et continuer à travailler auprès des grands comptes. De quoi ajouter une tension supplémentaire à un marché de l’emploi qui semble déjà à son point de rupture…
NIS2, vers la fin des OSE
Point définition avant de parler de leur fin, c’est quoi un OSE ? Pensé comme une extension du statut d’OIV établi en France par la Loi de programmation militaire de 2013, un OSE est un opérateur de services essentiels dont l’arrêt du système informatique ou de son infrastructure aurait un impact significatif sur le fonctionnement de l’économie ou de la société française.
Mais avec l’intégration des sous-traitants et prestataires de services en charge d’une infrastructure critique, la directive NIS2 signe la fin des OSE. Désormais, le périmètre de ces opérateurs régulés sera divisé en deux typologies d’acteurs : les entités essentielles (EE) et les entités importantes (EI), dont la différenciation se fera par la criticité des secteurs associés. Ainsi, les entités essentielles auront logiquement un impact plus important en cas de coupure de service que les entités importantes. La fin des opérateurs de service essentiel (et des fournisseurs de services numériques) ainsi que l’adoption des typologies d’entreprises essentielles et importantes ont pour ambition d’harmoniser l’ensemble des obligations auprès de ces acteurs. Au niveau français, cette logique d’harmonisation ne devrait pas aller jusqu’à remettre en doute l’existence des OIV, tant ils sont encore aujourd’hui l’objet d’une réglementation et d’une surveillance poussée.
Cette volonté d’harmonisation soulève aussi des questions car ce sont bien les entreprises et les opérateurs qui devront… s’autodésigner comme EE ou EI. Pour cela, ils se baseront sur l’un des 35 secteurs d’activité préalablement ciblés et la taille de leur entité (ETI et grande entreprise, moyenne entreprise et petite et micro entreprise). En complément, chaque pays membre pourra désigner, à sa discrétion, certains opérateurs comme essentiels ou importants selon des critères non-évoqués à ce jour. Des critères de sélection qui ne sont d’ailleurs pas encore pleinement arrêtés. Un seuil de salariés ou un certain montant de chiffre d’affaires seraient à l’étude à l’heure où nous rédigeons cet article.
Une nouvelle dimension contraignante de la directive
Toujours selon Thierry Breton, cette réforme de la directive permet de sécuriser davantage les entités « en mettant en place un régime d’obligations et de sanctions ». Véritable « avancée majeure » selon le commissaire européen, la directive NIS2 étend donc son pouvoir coercitif. Tout d’abord, l’obligation de déclaration de sinistre dans les 72h permet de réagir au plus vite et d’endiguer la cyber-menace. En parallèle, les entreprises, sous-traitants et collectivités devront se soumettre à des audits de sécurité dans le but de recevoir des recommandations et ainsi répondre à des normes de sécurité drastiques.
Pour les entreprises non coopérantes ou en faute, la directive NIS2 a également fait évoluer ses sanctions. En cas d’incident de sécurité et de refus de collaboration avec les autorités, NIS 2 dote les États d’un droit d’injonction. Les entreprises devront donc se soumettre à la demande de l’État et peuvent être soumises à des amendes comprises entre 1,4% à 2% du chiffre d’affaires. Comme pour le feu statut d’OSE, la responsabilité du dirigeant peut être engagée.
Mais si cette réforme a pour but de renforcer la sécurité, elle soulève également des questions budgétaires. Pour les milliers d’entreprises concernées, les comités exécutifs devront se concentrer sur leurs budgets d’investissement dans les produits de cybersécurité. Et leur accorder plus de souplesse. Et qu’en est-il pour les communes, départements et régions ? Moins souples que leurs homologues privés, ces entités devront faire avec les possibilités qui s’offrent à elles (comme le plan France Relance) avec des budgets restreints et des ressources humaines manquantes. Un retard en termes d’outils et de compétences déjà difficile à combler notamment pour les petites et moyennes collectivités aujourd’hui, et qui risque même de s’aggraver suite à l’application de la direction NIS2.
NIS 2, c’est pour quand ? La réponse n’est pas si simple. À l’heure de la rédaction de la première version de cet article, la directive NIS2 était toujours en phase d’élaboration. Il restait encore quelques phases de validation avant de la voir s’appliquer. Depuis, le Parlement européen a officiellement adopté la nouvelle directive NIS2 le jeudi 10 novembre 2022. La transposition à l’échelle nationale ne devrait donc pas se faire avant la fin 2023, début 2024. De quoi laisser le temps à toutes les entités concernées de se préparer à un gros changement face à la menace cyber ?