Le chantier législatif n’a pas encore débuté au Parlement, mais le temps presse. Au 17 octobre 2024, la France devra avoir transposé dans son droit national la directive européenne NIS 2 (Network and Information Security), conçue pour renforcer et combler les lacunes de la première version de la directive, votée en 2016 et transposée en droit français en 2018.
L’objectif demeure inchangé : renforcer la résilience de l’Union européenne face aux cyberattaques en encourageant les organisations publiques ou privées stratégiques à renforcer leur protection. Sur son site, l’ANSSI, chargée pour la France de la bonne application du texte, précise que NIS 2 entend néanmoins « marquer un réel changement de paradigme ». Malgré les acquis de la directive NIS 1, la Commission européenne a en effet constaté des lacunes persistantes attribuées à un manque de coordination entre les États membres et à la sophistication croissante des acteurs malveillants.
Un champ d’application étendu
NIS 2 concerne désormais 18 secteurs contre 10 pour la précédente mouture (notamment énergie, santé, bancaire, alimentaire, chimie, espace, recherche et enseignement supérieur, technologies de l’information et communication, gestion des eaux, administrations locales…). Sont concernées les grandes entreprises (plus de 250 employés ou un chiffre d’affaires supérieur à 50 millions d’euros), les moyennes entreprises (entre 50 et 250 employés et un chiffre d’affaires entre 10 et 50 millions d’euros) et les petites entreprises (moins de 50 employés et un chiffre d’affaires inférieur à 10 millions d’euros). Selon les estimations, de quelques centaines, le nombre de structures concernées passerait ainsi entre 10 000 et 15 000.
Responsabilité et sanctions
De fait, les PME ont été prises en compte. Beaucoup de cyberattaques touchant les grands groupes, notamment celles d’origine criminelle, sont liées au faible niveau de sécurité des fournisseurs de services numériques et de leur chaine d’approvisionnement. La directive englobe donc également la sécurité physique, tels le contrôle d’accès aux bâtiments, l’enregistrement des visiteurs et la gestion des catastrophes naturelles. Elle prévoit également que la direction des entreprises soit formée à la gestion des incidents cyber ou l’obligation pour les organisations de mettre en place une démarche de gestion des risques à 360°, impliquant un ensemble de procédures de cybersécurité.
Les dirigeants des entreprises n’ayant pas pris les mesures exigées s’exposent à des poursuites. Quant aux entités elles-mêmes, le législateur européen a prévu des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les organisations dites « essentielles » et jusqu’à 7 millions d’euros et 1,4 % du chiffre d’affaires pour les entités dites « importantes ».
Les organisations victimes de cyberattaques auront par ailleurs l’obligation de le signaler à l’autorité nationale compétente, ce que beaucoup ne faisaient pas jusqu’à présent pour protéger leur réputation.
Enfin, les détails concernant les organisations publiques restent à éclaircir, NIS 2 laissant l’opportunité aux États membres de transposer le texte dans leur droit national avec une certaine marge de manœuvre. Sur son site, l’ANSSI explique par exemple que l’application de la directive aux collectivités territoriales est pour l’instant « optionnelle » et qu’il est « trop tôt pour détailler la manière dont les collectivités seront intégrées » dans le dispositif.