Alors que la loi qui transposera la directive NIS 2 a été présentée en Conseil des ministres mardi, trois jours avant la date limite de transposition, retour sur cette législation européenne qui veut faire monter en gamme la cybersécurité dans toute l’Europe.
Comment réduire les innombrables cyberattaques qui ciblent nos entreprises et administrations ? Mardi 15 octobre, un projet de loi visant à renforcer la cybersécurité des secteurs public et privé a été présenté en Conseil des ministres. Le texte, attendu depuis des mois, doit transposer dans le droit français la directive européenne « Network and Information Security 2 » (appelée NIS 2).
Le projet de loi « vise à renforcer nos capacités d’autodéfense face aux menaces cyber », a expliqué mardi Maud Bregeon, la porte-parole du gouvernement, à l’issue du Conseil des ministres. Le texte « relatif à la résilience des activités d’importances vitales, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier » a été proposé par trois ministres (l’Économie, l’Enseignement supérieur et la recherche, et l’IA et le numérique).
Il donnera « de nouveaux outils pour protéger nos infrastructures critiques, énergie, transport, santé, eau potable et notre système financier », a ajouté Maud Bregeon, après avoir évoqué les nombreuses attaques informatiques qui touchent l’Hexagone.
Le projet de loi entame sa toute première étape du processus législatif français… trois jours avant la date butoir du 18 octobre. Car d’ici vendredi, chaque pays de l’Union européenne est censé avoir transposé dans son droit national la directive européenne NIS 2. Pour l’heure, seuls deux États membres sur les 27 ont joué le jeu : la Belgique et la Croatie. La France n’en fait pas partie : la dissolution de l’Assemblée nationale a retardé le processus d’adoption. Présenté en Conseil des ministres, le texte pourra désormais être inscrit à l’ordre du jour du Parlement.
Qui est concerné ?
NIS 2, adoptée en décembre 2022, vient modifier la législation européenne sur la cybersécurité de 2016 (appelée « NIS 1 ») qui concernait 600 entités, réparties dans six secteurs (l’énergie, la finance, l’eau potable, la santé, les transports et les infrastructures numériques). NIS 2 s’appliquera à davantage d’acteurs, avec un « changement de paradigme » à la clé.
Ce sont désormais près de 15 000 entités réparties dans 18 secteurs qui sont concernées. Cette extension s’explique par le contexte actuel. Alors que les cyberattaques se limitaient auparavant à quelques cibles stratégiques, elles visent désormais tous azimuts des pans bien plus vastes de l’économie et de la société. Hôpitaux, ministères, France Travail, CAF, le Slip Français, Zadig et Voltaire, des PME… La liste des victimes ne cesse de s’allonger.
À lire aussi : Pourquoi la France est submergée par les cyberattaques ?
NIS2 s’imposera aux collectivités territoriales, aux administrations, aux moyennes et grandes entreprises dans les secteurs de l’espace, de la recherche, de la gestion des déchets, de l’agroalimentaire, des services postaux et des fournisseurs numériques – les réseaux sociaux, les places de marché, les moteurs de recherche sont concernés, à certaines conditions.
L’Anssi a mis en place un site qui permet de savoir si votre entreprise doit ou non se mettre en conformité. Si les particuliers ne sont donc pas concernés par cette législation, ils en seront indirectement les bénéficiaires. Car plus une administration ou une entreprise sera protégée en la matière, et moins les usagers ou clients verront leurs données personnelles se volatiliser.
Quelles nouvelles obligations sont imposées par la directive ?
Concrètement, à quoi seront tenus les acteurs concernés par NIS 2 ? Si ces derniers devront de manière générale renforcer leur niveau de cybersécurité – sous-traitants compris – tout dépendra de leur classement dans les deux catégories définies par la directive. Si l’entité concernée est « importante » (EI), elle devra respecter des exigences de sécurité de base – surtout destinées à limiter les risques de rançongiciels.
Mais si elle est « essentielle », (EE) elle devra mettre en place des mesures de cybersécurité plus importantes liées à la gouvernance, ou à sa capacité de défense et de résilience. Parmi les EE sont listées les opérateurs télécoms, les fournisseurs de cloud, les places de marché, les centres de données, les moteurs de recherche, les réseaux sociaux, les fournisseurs de DNS (systèmes de noms de domaine), mais aussi certaines administrations.
Les EI et les EE devront dans tous les cas fournir des informations à l’Anssi, adopter des mesures de gestion des risques, et déclarer tout incident de sécurité. À noter que la mise en conformité de ces nouvelles normes devrait représenter un coût non négligeable pour les premières concernées – selon l’Anssi, il faudrait compter en moyenne près de 400 000 €, expliquait-elle en mars dernier, dans une note explicative repérée par L’Informé. En cas de non-conformité, les entités risquent des amendes salées pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial, ou 10 millions d’euros.
Quand les entreprises et les administrations devront-elles appliquer NIS2 ?
Si la France est en retard pour transposer la directive du 14 décembre 2022, le texte européen s’appliquera bien dès vendredi prochain, même en l’absence de loi de transposition. Le projet de transposition sera, dans tous les cas, suivi de près : la loi de transposition peut en effet contenir certaines spécificités dues au droit français ou à la volonté du législateur, selon la marge de manœuvre définie dans la directive.
Mais l’Anssi a d’ores et déjà prévu, dans sa notice explicative de mars dernier, qu’un délai sera « laissé aux acteurs pour se mettre en conformité, la date du 17 octobre 2024 étant une date butoir pour l’entrée en vigueur du texte règlementaire et non pour sa mise en œuvre ». Un point rappelé par la Commission supérieure du Numérique et des Postes, dans son avis du 3 octobre dernier sur les enjeux de la transposition de NIS 2 : « les délais de mise en conformité sont fixés au 31 décembre 2027 ».
En d’autres termes, l’Anssi ne prononcera pas de sanctions dès vendredi. Vincent Strubel, le DG de cette autorité, a rappelé en septembre dernier, lors de l’université d’été Hexatrust (qui a réuni la filière cyber française), qu’il n’y aura aucune sanction prononcée pour non-conformité à NIS 2 avant… 2027.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.