Par Anne-Charlotte Andrieux et Antoine Kraska-Delsol
La révision de la directive “Network and Information Security” (NIS) a fait l’objet d’un accord de principe au sein des institutions européennes le 13 mai dernier. Ce texte, qui se focalise sur la cybersécurité de divers acteurs économiques, intervient dans un contexte d’augmentation inédite des attaques dirigées vers des entreprises de services numériques.
Ce nouveau texte porte révision de la directive 2016/1148 du 6 juillet 2016, relative aux mesures destinées à assurer un niveau élevé de sécurité des réseaux et des systèmes d’information dans l’Union (« SRI » ou « NIS », pour faire court). Celle-ci avait été transposée en France par la loi sécurité n°2018-133 du 26 février 2018.
Le champ d’application de la directive NIS élargiCette révision dite « NIS 2 » vient étendre les obligations de cybersécurité à l’ensemble des acteurs de l’économie, à l’exception des entreprises de moins de 50 salariés.
Dans sa première version, la directive visait uniquement les secteurs sensibles du secteur de l’énergie, des transports, de la finance, de la santé, ou encore des télécoms.
Cette révision vient désormais couvrir le secteur des déchets, la distribution alimentaire, les services postaux et les fournisseurs de services numériques. Le secteur des soins et de la santé est aussi concerné et la directive vient notamment englober les fabricants de dispositifs médicaux.
La nouvelle directive vise également les administrations publiques centrales. Les Etats membres restant libres de la rendre applicable aux administrations régionales ou locales.
Les mesures visant à renforcer la cybersécurité à l’échelle européenne
La directive impacte un plus grand nombre d’entités et de secteurs, lesquels sont désormais chargés de prendre des mesures de gestion des risques en matière de cybersécurité.
La Commission a recensé plusieurs lacunes au sein de l’ancienne version de la directive, et notamment un niveau insuffisant de cyber résilience des entreprises, des niveaux hétérogènes selon les Etats membres et les secteurs, mais aussi une compréhension insuffisante des menaces et principaux défis selon les Etats, ou encore une absence de réaction commune.
La plupart des mesures sont donc complétées en réponse à ces enjeux.
Les mesures évoquées comprennent :
- Un renforcement de la cybersécurité des entreprises, avec notamment des exigences d’analyse des risques, des politiques de sécurité, des procédures de gestion des incidents, l’utilisation d’outils cryptographiques, des garanties de résilience… ;
- La sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs;
- La responsabilisation des dirigeants en cas de non-respect des obligations de cybersécurité ;
- Des obligations de signalement, notamment sous 72 heures en cas d’incident sérieux pour éviter la contagion d’une attaque, mais aussi de divulgation des vulnérabilités avec la tenue par l’Agence de l’Union européenne pour la cybersécurité (ENISA) d’une base des vulnérabilités connues ;
- Un dispositif de surveillance et de contrôle plus rigoureux pour les autorités nationales ;
- Une harmonisation des régimes de sanction au niveau européen : jusqu’à 2 % du chiffre d’affaires mondial ;
- L’accroissement du partage d’informations et de la coopération européenne en matière de gestion des cyber crises via le réseau CyCLONe (Crisis Liaison Organisation Network).
Les entreprises de services numériques désormais visées par la directive NIS
Le texte n’opère désormais plus de distinction entre les « opérateurs de services essentiels » (OSE) et les fournisseurs de services numériques.
Par conséquent, toutes les entreprises de services numériques (ESN), qui proposent leur expertise dans le domaine des nouvelles technologies, vont désormais devoir s’adapter à la nouvelle directive NIS 2.
Ces nouvelles obligations viennent s’ajouter à celles qui ont été récemment abordées par le Digital Services Act (DSA) et le Digital Markets Act (DMA), auxquelles les ESN peuvent également être assujettis.
La directive NIS 2 ayant désormais fait l’objet d’un accord par les institutions européennes, il ne reste plus qu’à ce qu’elle soit formellement approuvée par le Parlement et le Conseil. Une fois promulguée, les Etats membres disposeront d’un délai de 21 mois pour la transposer en droit national.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.
