Une directive NIS2 a été adoptée à l’échelle européenne, faisant suite à une première version datant de 2016. Pourquoi était-il nécessaire de compléter la réglementation initiale ?

La directive NIS 2 succède en effet à la directive NIS 1 qui date de 2016 et qui est souvent désignée comme la toute première législation au monde en matière de cybersécurité. Un texte dans lequel la France a un joué un rôle prépondérant. Dès 2020, la Commission européenne a souhaité mettre sur la table une version actualisée de cette directive après avoir constaté son efficacité mais aussi sa portée trop limitée face à l’augmentation considérable des cyberattaques.

Afin de pallier les manquements de NIS 1, il a été proposé d’étendre le champ d’application de la directive afin d’y inclure davantage de secteurs et d’entités, mais aussi d’harmoniser les règles d’identification de ces entités, d’étendre les exigences en matière de sécurité, de clarifier les obligations en matière de notification d’incidents ou encore de renforcer la sécurité de la chaine d’approvisionnement au sein de chaque entité.

NIS 2 c’est la volonté d’aller plus loin, d’être plus fort et mieux protégé face aux risques cyber. Elle permettra une montée en compétence et une résilience de quelques 15.000 entités contre les 300 actuellement concernées.

Nos TPE-PME ont besoin de simplifier l’ensemble de leurs démarches administratives et sont accablées par le poids des normes, notamment celles en provenance de l’Europe. Le texte français va-t-il ajouter des obligations supplémentaires à la réglementation européenne ?

Les parlementaires sont bien conscients de la lourdeur administrative qui pèsent sur nos entreprises et qui peuvent être un véritable handicap pour les TPE-PME. La directive NIS 2 imposera un certain nombre d’obligations aux entités concernées qui ne seront pas toujours simples à mettre en œuvre. Dans cette optique, et bien que la directive en elle-même ne fasse pas référence aux délais, l’ANSSI comme les entités qui ont été auditionnées estiment qu’il faudra un délai de 3 ans pour la mise en œuvre complète des nouvelles obligations. Pour se faire, un accompagnement notamment des TPE-PME et collectivités est attendu et sera nécessaire.

S’agissant d’ajouter des obligations supplémentaires à la règlementation européenne, pour ma part, il n’en est pas question. Dans l’avis de la Commission supérieure du numérique et des postes (CSNP) sur les enjeux de la transposition de la directive NIS 2, j’insiste tout particulièrement sur le fait qu’il nous faut respecter le principe de subsidiarité et donc en aucun cas surtransposer ce texte. Nous ne devons ni être « mieux disant » ni créer une spécificité française au risque de pénaliser nos entités en les soumettant à des obligations supplémentaires et donc à des risques de distorsion de concurrence au niveau européen par exemple.

La dissolution de l’Assemblée nationale en juin dernier a perturbé le calendrier d’adoption du projet de loi de transposition de la directive NIS2. Où en sommes-nous, et ce calendrier n’est-il pas trop serré pour une mise en œuvre dans nos TPE-PME ?

Le projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, transposant notamment la directive NIS 2, élaboré par l’ANSSI, devait être présenté en conseil des ministres le 12 juin dernier, en vue d’être inscrit à l’ordre du jour du Parlement. 

Toutefois, la dissolution de l’Assemblée nationale annoncée par le Président de la République le 9 juin au soir a mis un coup d’arrêt au parcours de ce texte de loi avant même son commencement. A l’heure qu’il est, ledit texte de loi n’a toujours pas été présenté en conseil des ministres, et la date du 17 octobre 2024 approchant, il est plus que probable que la France ne transposera pas la directive dans le temps imparti.  

Toutefois, il faut relativiser : la majorité des États-membres sont en retard dans cette transposition. Seuls trois pays ont fini leur transposition : la Belgique, la Croatie et la Hongrie ; d’autres bien sûr sont en cours de transposition. L’Allemagne ne respectera probablement pas le délai, tandis que d’autres comme le Danemark ont reporté la transposition à 2025.

C’est un texte très complexe juridiquement et administrativement qui n’est pas forcément simple à transposer rapidement, il y a de nombreux enjeux à prendre en compte et des consultations sont nécessaires.

Ces dernières années, dans le cadre du Cybermoi/s, nous avons régulièrement conseillé aux TPE-PME de maintenir une hygiène informatique rigoureuse. Qu’apporte cette directive de plus par rapport aux recommandations habituelles ?

Avoir une hygiène informatique rigoureuse est une bonne chose, une chose que tout citoyen qui utilise des outils numériques devrait avoir. Depuis quelques années on se réjouit de constater une prise de conscience sur les risques cyber auxquels nous sommes tous exposés, et il faut que cela se poursuive en passant par de la sensibilisation au collège comme en entreprise ou par de campagnes tel que le Cybermoi/s.

NIS 2, c’est tout autre chose. Tout d’abord, je souhaite rappeler que toutes les TPE-PME ne seront pas soumises à ce texte, mais pour celles qui le seront, il y aura des obligations strictes à respecter sous peine de sanctions. Par exemple, les entreprises concernées devront mettre en place une démarche de gestion des risques, comprenant l’analyse et un plan de traitement des risques. Cela implique de créer et de maintenir un ensemble de politiques et de procédures de cybersécurité, couvrant des domaines tels que la gestion des comptes, le maintien à jour du périmètre de sécurité et la sensibilisation à la cybersécurité. Autre exemple, elles devront également signaler tout incident de cybersécurité majeur à l’autorité nationale compétente, telle que l’ANSSI en France, sous 72 heures. Pour cela, elles devront disposer de processus clairs pour évaluer, répondre et se remettre de tels événements. Cela implique d’avoir des moyens techniques et organisationnels afin de détecter, qualifier et réagir aux incidents de sécurité.

Quelles actions concrètes nos TPE-PME, quelle que soit leur taille, peuvent-elles mettre en place pour se conformer aux exigences de la directive NIS2 ?

Tout l’enjeu de la directive sera sa bonne mise en œuvre. Toutes les entités qui seront concernées n’ont pas le même degré de maturité cyber ni les mêmes moyens financiers, techniques ou les ressources humaines. Certaines entités déjà soumises à NIS 1 ou des grandes entreprises partent avec une longueur d’avance c’est certain. Mais, comme je le disais précédemment, l’ANSSI, qui est le maître d’œuvre de cette transposition, est tout à fait consciente de la réalité opérationnelle. Une plateforme dédiée aux entités est en train d’être mise en place et améliorée afin d’aider les entités à savoir si elles sont concernées ou non par le texte et, le cas échéant, de les accompagner dans leur mise en conformité. Il est important que les TPE-PME puissent compter sur cet accompagnement et ce, dans l’ensemble de nos territoires. Je souhaite que nous soyons particulièrement vigilants lors de l’examen du texte à la présence dans les territoires d’acteurs habilités et certifiés pour accompagner les entités qui en auront besoin. Je souhaite également attirer l’attention des TPE-PME sur les effets d’aubaine qu’un tel texte peut susciter : par exemple, actuellement certaines sociétés vendent des « pack NIS 2 », une hérésie quand on sait que le texte n’a pas été transposé. Un tel service ne garantira pas forcément une conformité à NIS 2. Aussi, il est urgent d’attendre que nous ayons un texte transposé et s’appuyer par la suite sur l’ANSSI et ses relais. 

Retrouvez notre guide complet sur la cybersécurité ⬇️