Adoptée en juillet 2016, la directive «network and information security» (Nis) fait l’objet d’une révision pour renforcer et harmoniser le niveau de cybersécurité au sein de l’Union Européenne. Le 12 mai dernier, un accord provisoire sur le texte de la NIS 2 a été trouvé entre le Conseil européen et la Commission européenne. Son nouveau champ d’application est plus ambitieux puisque les obligations de cybersécurité s’appliqueront à bien plus de nouveaux secteurs mais aussi aux administrations.
Aux domaines sensibles déjà concernés (banques, marchés financiers, énergie, transport, santé, eau potable et réseaux télécoms) s’ajouteront par exemple la gestion des déchets, les services postaux, les grands distributeurs alimentaires ou encore les fournisseurs d’accès à internet et les datacenters. Par ailleurs, alors que dans la première version de la Nis, la liste des « opérateurs de services essentiels » (OSE) était laissée à la discrétion des États membres, c’est désormais la directive qui en fixera les critères.
Interrogé par La Tribune, Yves Verhoeven, sous-directeur stratégie de l’Anssi, estime que le nombre d’organisations et entreprises régulées devrait décupler passant d’environ 15 000 à près de 150 000. La NIS 2 distinguera deux niveaux d’opérateurs, les opérateurs « essentiels » et « importants », les premiers étant soumis à des obligations plus complètes que les seconds compte tenu des risques de sécurité importants que leur position entraîne dans leur domaine d’activité. Les opérateurs « importants » seront majritairement des PME d’au moins 50 salariés.
Les entreprises concernées auront des obligations en termes de gestion des risques, de reporting sur les incidents et divulgation des vulnérabilités. La directive NIS 2 élargit également les pouvoirs des autorités de contrôle par les autorités nationales et harmonise et renforce les sanctions en cas de non-respect des obligations. L’amende pourra représenter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise et la responsabilité des dirigeants pourra être engagée.
Se mettre en conformité avec les nouvelles obligations devrait demander un effort d’investissement conséquent pour les opérateurs. La NIS ne précise les moyens matériels et humains à mettre en œuvre mais Guillaume Pourpard, le directeur de l’Anssi a indiqué qu’il était souhaitable que le budget cybersécurité représente au moins 10% du budget IT.
Les entreprises et organisations auront néanmoins du temps pour se préparer puisqu’après l’adoption de la directive par les instances européennes en juin 2022, les états membres disposeront de 21 mois pour l’intégrer à leur législation nationale. La Nis 2 n’entrera donc pas en application au niveau national avant avril 2024. Les fournisseurs de services et de solutions profiteront aussi de ce délai pour se préparer à répondre à une vague de demande, avec une manne d’investissement qui devrait encore accélérer la croissance du marché de la cybersécurité.