Dernière ligne droite pour la directive NIS 2 (Network and information security). Le texte, qui vient d’être adopté par le Conseil de l’Union européenne, l’institution qui regroupe les chefs des Etats membres, doit prochainement être publié au Journal officiel de l’Union européenne. Les Etats membres disposent désormais d’un délai de 21 mois pour transposer dans leur législation la directive.
Increased cyberattacks require a stronger EU response.
EU ministers adopted the new #NIS2 rules which will strengthen the EU’s cybersecurity work. These new rules are part of wider actions to build the EU’s resilience against physical & digital risks. https://t.co/ENP7rWu8JP pic.twitter.com/G5NGhbEsJ6
— EU Council (@EUCouncil) November 29, 2022
Des « évolutions nécessaires »
Le travail sur la révision de la directive NIS avait débuté en décembre 2020. Soit à peine deux ans après la transposition de NIS 1 en France, en 2018, après son adoption en juillet 2016. L’Anssi, le cyberpompier français, avait alors pointé des « évolutions nécessaires » pour faire face à une menace cyber « en pleine transformation », en estimant que cette révision était « une opportunité pour renforcer le niveau de cybersécurité au sein de l’Union européenne ».
Comme l’indiquent les institutions européennes, la directive révisée doit permettre l’harmonisation des normes de cybersécurité dans les différents Etats membres, et donc clarifier les choses. « Elle fixe les règles minimales d’un cadre réglementaire et définit les mécanismes d’une coopération efficace », précise le Conseil de l’Union européenne.
10 fois plus d’acteurs régulés
La liste des secteurs et des activités soumis à des obligations a également été revue à la hausse. Ainsi, la cible a été élargie des seuls acteurs de l’énergie, du transport, de la finance et de l’eau aux administrations publiques, aux fournisseurs de services numériques ou encore à l’industrie chimique, pour ne citer qu’eux.
Soit, « à la louche », environ « 10 fois plus d’acteurs régulés en France », estimait Guillaume Poupard, le patron de l’Anssi, au Forum international de la cybersécurité en juin 2022. On ne connaît toutefois pas encore le périmètre exact du champ de la directive révisée. Le législateur européen a en effet renvoyé à chaque Etat membre la possibilité, lors de la transposition, d’élargir ce périmètre aux administrations régionales ou locales.
A peine adoptée, la directive NIS 2 doit être complétée par un nouveau texte relatif à la cybersécurité en préparation. Le Cyber Resilience Act, au stade de la proposition législative, doit renforcer la sécurité informatique des produits numériques en s’attaquant notamment au problème aigu de la vulnérabilité des objets connectés.