NIS2 : quelle transposition dans les pays européens ?

La Directive SRI 2 (NIS 2) est la dernière réglementation européenne en matière de cybersécurité, visant à améliorer les mesures globales de sécurité numérique et la résilience contre les cyberattaques dans divers secteurs. Elle exige que les entreprises signalent rapidement les incidents de sécurité aux autorités et se conforment aux nouvelles réglementations. Une non-conformité peut entraîner des sanctions financières importantes et, dans certains cas, engager la responsabilité de la direction.

Les entreprises doivent connaître la Directive SRI 2 et son impact sur leur activité, en visant à :

1. Améliorer leur stratégie de cybersécurité pour se protéger contre des cybermenaces en constante évolution ;
2. Rester informées de l'évolution du cadre réglementaire et s'adapter en conséquence ;
3. Assurer la détection, la réponse et le signalement des incidents en temps opportun, conformément aux exigences de la Directive SRI 2.

Introduction

Votée par les députés européens en novembre 2022, la nouvelle version de la directive appelée SRI 2 est entrée en vigueur le 16 janvier 2023. Les pays membres de l'Union européenne ont désormais 21 mois (jusqu'au 17 octobre 2024) pour transposer ces mesures dans le droit national. Quels sont les éléments clés de la réforme de la directive SRI ? Comment des pays tels que la France, l'Allemagne, la Belgique, ou encore les Pays-Bas envisagent-ils de transposer ces nouvelles mesures et exigences de cybersécurité dans leur législation nationale ? Explications dans cet article.

1. SRI 2, un bouclier législatif pour renforcer la cybersécurité sur le sol européen

En 2016, l'Union européenne a adopté la directive sur la sécurité des réseaux et des systèmes d'information (Directive for Network and Information Security, NIS), une première série de mesures dédiée à la cybersécurité. Elle vise à élever le niveau de sécurité sur le marché européen en réponse aux menaces liées à la transformation numérique au sein des États membres.

Avec l'évolution des menaces, l'augmentation des cyberattaques visant la chaîne d'approvisionnement et la professionnalisation de la cybercriminalité, la directive se devait d'être renforcée. C'est pourquoi la Directive NIS-2 élargit aussi bien ses objectifs que son périmètre d'applications. Cette nouvelle version de la directive tend à harmoniser et renforcer la cybersécurité du marché européen et permettra notamment de :

• Faire en sorte que les entreprises améliorent leur résilience numérique face aux cyberattaques ;
• Harmoniser les obligations en matière de cybersécurité dans l'ensemble des secteurs sensibles et essentiels pour le bon fonctionnement de la société et des nations ;
• Contraindre les entreprises à signaler les incidents de sécurité et leur réponse dans un délai de 24 heures auprès des autorités compétentes ;
• Améliorer le partage d'informations entre les États membres.

Pour une majorité de pays, c'est désormais 35 secteurs d'activité (et non plus 19 comme dans la première version) qui sont concernés par la directive européenne, incluant les secteurs de l'énergie, de l'eau, du transport, mais aussi de la gestion des déchets, des services postaux ou bien encore de l'agroalimentaire. Il est important de noter que toutes les entreprises ne sont pas soumises à la Directive SRI 2. Cette réglementation s'applique spécifiquement aux entreprises comptant plus de 50 employés et dont le chiffre d'affaires annuel est d'au moins 10 millions d'euros, à certaines exceptions près pour les entreprises opérant dans des domaines spécifiques tels que les fournisseurs de services gérés (MSP) et les fournisseurs de services de sécurité gérés (MSSP). Ces réglementations s'appliquent à tous les États membres de l'UE.

De plus, les précédents statuts comme celui d'OSE (Opérateur de Services Essentiels) pour la France, c'est-à-dire les opérateurs dont l'activité est considérée comme clé pour la société et l'économie et dont une défaillance pourrait avoir un impact significatif sur le fonctionnement et la sécurité de l'État, laissent place aux nouveaux acronymes EE (Entités Essentielles) et EI (Entités Importantes). Les fournisseurs de service numérique et les collectivités territoriales sont également nouvellement intégrés dans ce dispositif sécuritaire ainsi que l'ensemble de la chaîne d'approvisionnement, qui figuraient parmi les grands oubliés de la directive SRI 1.

Il revient à la charge de chaque pays de dresser une liste des entités nationales qui devront se soumettre à la nouvelle directive. Toutes les entreprises privées ou publiques concernées devront alors répondre aux exigences de la directive et auront également l'obligation de notifier les incidents de sécurité à leurs autorités compétentes dans les 24 heures pour une alerte précoce et dans les 72 heures pour une déclaration d'incident.

En cas de non-conformité, la directive SRI 2 prévoit d'importantes sanctions financières (en millions d'euros ou selon un pourcentage du chiffre d'affaires global) et pourra même engager la responsabilité des dirigeants dans certains cas. Ces sanctions seront prononcées par les autorités compétentes à l'échelle nationale.

2. Aux Pays-Bas : la multiplication des autorités compétentes

La loi sur la sécurité des réseaux et des systèmes d'information (Wet beveiliging netwerk : en informatiesystemen, Wbni) est la mise en œuvre néerlandaise de la directive SRI 1 et devra être mise à jour avec la révision de la nouvelle directive. Le régulateur néerlandais Rijksinspectie Digitale Infrastructuur (RDI) a mis au point un outil d'auto-évaluation. Les entreprises peuvent l'utiliser pour déterminer elles-mêmes si les dispositions de la loi sur la sécurité s'appliquent à elles. Ce système sera amené à évoluer avec la transposition de la directive SRI 2. De son côté, l'autorité compétente néerlandaise, la Nationaal Cyber Security Centrum (NCSC), annonce sur son site qu'une période de consultation via Internet aura lieu à l'été 2023 auprès des citoyens, des entreprises et des institutions gouvernementales pour « indiquer d'éventuelles améliorations à la législation et à la réglementation en cours d'élaboration ».

À noter qu'aux Pays-Bas, il n'y a pas qu'une seule autorité compétente et que les signalements d'incident se font auprès du CERT de la NCSC, et selon les secteurs d'activité auprès du régulateur concerné :

• Inspection nationale des infrastructures numériques : RDI depuis le 1er janvier 2023, en remplacement du régulateur Autoriteit Persoonsgegevens (AP), qui est l'organisme pour la cybersécurité et la protection des données aux Pays-Bas.
• Banque centrale néerlandaise (DNB) : pour les entreprises du secteur financier.
• Inspection de l'environnement humain et des transports (ILT) : pour les entreprises du secteur des télécommunications.
• Inspection de la santé et de l'aide à la jeunesse (IGJ) : pour les organismes du secteur de la santé et de la jeunesse.

3. En Allemagne : la loi sécurité informatique 3.0

En 2015 , la loi sur l'amélioration de la sécurité des systèmes informatiques (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) impose aux entreprises critiques désignées KRITIS (Kritische Infrastrukturen) de prouver leur conformité aux exigences de sécurité auprès de la BSI (Bundesamt für Sicherheit in der Informationstechnik), l'agence fédérale allemande pour la sécurité des technologies de l'information.

En juin 2017, la directive SRI 1 a été transposée en une loi sur la sécurité informatique appelée IT-Sicherheitsgesetz. Dans ce cadre, la BSI a reçu de nouveaux pouvoirs et fonctions, et représente l'autorité compétente responsable de la supervision de la sécurité des opérateurs KRITIS et des fournisseurs de services numériques. La BSI est également chargée de coordonner la réponse aux incidents de cybersécurité au niveau national.

En 2021, la loi sur la sécurité informatique 2.0 renforce le niveau de sécurité des entités KRITIS qui doivent désormais détecter les attaques, signaler les incidents pertinents et fournir des informations à la BSI concernant la gestion de la crise.

Les exigences de la directive SRI 2 pourraient être traitées dans une version 3.0 de la loi sur la sécurité informatique, qui prévoit d'élargir à la fois la méthodologie, les entreprises réglementées et les obligations. En effet, la directive SRI 2 s'impose aux KRITIS, mais pas seulement. La BSI est chargée d'identifier les entités EE et EI de son pays (un élargissement des opérateurs KRITIS actuels), de les surveiller et d'appliquer les exigences de cybersécurité imposées par la directive SRI 2.

4. En Belgique : la loi NIS-2

Créée en 2015, l'agence nationale d'autorité compétente est le CCB (Centre for Cybersecurity Belgium) qui est une entité rattachée au Service Public Fédéral (SPF) de la Chancellerie du Premier Ministre. Elle a permis la transposition de la directive européenne NIS de 2016 en loi NIS-1 de 2019. Tous les incidents de sécurité des entités concernées doivent être signalés sur la plateforme de déclaration d'incident mise en place par le CCB et le CERT.be (https://nis-incident.be/).

Pour cette seconde version de la directive, le centre belge estime que le nombre d'organisations impactées est multiplié par 20, passant ainsi d'une centaine actuellement à quelque 2 500 entités. 18 secteurs sont ainsi concernés en Belgique. 12 nouveaux secteurs viennent s'ajouter aux 6 secteurs concernés par la loi NIS-1, comme l'industrie agroalimentaire, les services publics, les industries chimiques ou les secteurs de la santé et de l'énergie.

La nouvelle loi NIS-2 est donc en préparation afin de voir le jour avant octobre 2024, couperet imposé par la directive SRI 2. Cette loi s'appliquera aux entités établies en Belgique définies sur le site officiel du CCB comme supposant « l'exercice effectif d'une activité au moyen d'une installation stable. La forme juridique retenue pour un tel établissement, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard. Ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d'information. » Une entreprise étrangère ayant une présence en Belgique et dont le secteur d'activité fait partie des 18 secteurs clés serait alors soumise à la directive SRI 2.

5. En France : des OIV aux EE

En 2013, la LPM (Loi de programmation militaire) avait introduit la notion d'OIV (Organisme d'intérêt vitale) et leur imposait des exigences de sécurité élevées. En 2018, les OIV s'élargissent avec la transposition de la directive SRI dans le droit français sous la forme d'OSE (Opérateurs de services essentiels). Ces grands acteurs essentiels au bon fonctionnement de l'État sont alors obligés de se soumettre à des mesures de cybersécurité et de signaler leurs incidents de sécurité à l'ANSSI (Agence nationale de la sécurité des systèmes d'information), l'autorité nationale en matière de sécurité numérique.

L'agence pilote les travaux de transposition de la directive SRI 2 dans le droit français en concertation avec les ministères, les différentes parties prenantes sur le territoire français et les partenaires européens. C'est également elle qui est chargée de l'élaboration des listes des entités essentielles et importantes du pays, distinguées en fonction du niveau de leur criticité. L'ANSSI « compte s'appuyer sur cette notion pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories », pouvons-nous lire sur son site officiel.

Selon Guillaume Poupard, directeur général de l'ANSSI au moment de l'adoption de la directive SRI 2 au Parlement européen en juin 2022, « le nombre d'acteurs classés OSE va être multiplié par 10 et seront régulés ». Des milliers d'entités sont concernées par la future législation, allant des PME aux entreprises du CAC40, sans oublier des administrations de toutes tailles (administrations centrales et collectivités territoriales).

Conclusion

Chaque État membre accompagné de sa ou ses autorités compétentes travaille désormais sur la transposition de la directive SRI 2, afin qu'une législation nationale soit adoptée d'ici octobre 2024. Si votre entreprise fournit des services numériques dans les secteurs cités sur le sol de l'Union européenne, il est impératif de vous assurer de répondre aux exigences de conformité de chacun de ces pays. Comme nous l'avons vu, la liste des secteurs peut varier selon les pays et les autorités compétentes. Il en est de même pour les méthodes de signalement des incidents de sécurité.

Si vous souhaitez vous faire accompagner par des professionnels de la cybersécurité, n'hésitez pas à contacter les équipes d'Eye Security.

L'offre Eye Security

Pour aider les entreprises à faire face aux exigences complexes de la directive SRI 2, Eye Security offre un service complet de solutions gérées de détection et de réponse aux incidents (MDR) associé à des garanties d'assurance. Cette formule tout-en-un est conçue pour fournir une solution facile à comprendre et économique, avec des prix à partir de 10 € par employé et par mois.

En s'associant à Eye Security, les entreprises peuvent :

1. Améliorer leur stratégie globale en matière de cybersécurité et leur résilience contre les cyberattaques ;
2. Rester à jour et être prêtes à faire face à l'évolution des réglementations en matière de cybersécurité ;
3. Bénéficier d'une assistance d'experts en matière de détection, de réponse et de signalement des incidents afin de se conformer aux exigences de la Directive SRI 2 concernant les signalements ;
4. Minimiser l'impact financier et opérationnel des incidents de cybersécurité grâce à des garanties d'assurance personnalisées.

Grâce à Eye Security, les entreprises peuvent se concentrer en toute confiance sur leur cœur de métier tout en s'assurant que leurs besoins en cybersécurité sont gérés de manière professionnelle et en conformité avec les exigences de la Directive SRI 2.