État des lieux de la directive NIS 2 et de sa transposition en France
La directive NIS 2, adoptée par l’Union européenne en décembre 2022, vise à renforcer la cybersécurité des infrastructures critiques et des entités essentielles. En France, la transposition devait être achevée avant le 17 octobre 2024, ce qui n’est pas encore le cas. Un projet de loi a toutefois été présenté en Conseil des ministres le 16 octobre 2024. Ce texte pose les bases de la transposition.
NIS 2 impose des mesures strictes de gestion des risques et de notification des incidents. Son périmètre est bien plus large que celui de la première directive NIS.
Calendrier et tolérance
L’ANSSI a annoncé une période de tolérance de trois ans pour la mise en conformité complète des entités concernées. Cela signifie que, durant cette période, l’ANSSI n’appliquera pas de sanctions immédiates pour non-conformité, à moins qu’un incident majeur ne survienne.
Attention : Si une entité subit un incident de cybersécurité pendant cette période et qu’elle ne peut démontrer qu’elle a mis en place une démarche proactive de sécurité, elle s’expose à des sanctions immédiates. Il ne s’agit donc pas d’un « blanc-seing » pour retarder la mise en conformité, mais plutôt d’une phase de transition pour renforcer progressivement les dispositifs de sécurité.
Périmètre et obligations des entités concernées par NIS 2
Le champ d’application de la directive NIS 2 est nettement plus vaste que celui de la première directive. Désormais, environ 15 000 entités en France sont concernées, contre 600 auparavant, incluant plusieurs secteurs essentiels :
- Énergie
- Transport
- Santé
- Administration publique
- Infrastructures numériques
- Fournisseurs de services TIC
La directive impose des mesures strictes à tous les systèmes d’information des entités concernées. Toutefois, des exemptions peuvent s’appliquer aux systèmes qui ne présentent pas d’impact direct sur la continuité des services critiques.
Les collectivités territoriales et les opérateurs d’importance vitale (OIV) sont également concernés par la directive NIS 2 :
- Collectivités territoriales : Cela inclut les communes de plus de 30 000 habitants, ainsi que les régions, départements et intercommunalités. Environ 1 489 collectivités et 661 groupements sont concernés par la directive. Il est important de noter que certaines collectivités peuvent également être visées si elles disposent d’entités entrant dans le cadre des domaines critiques de NIS 2.
- Opérateurs d’Importance Vitale (OIV) : Environ 300 opérateurs doivent se conformer à des obligations renforcées. Ils doivent notamment produire :
- Une analyse des risques dans un délai de 9 mois ;
- Un plan de résilience dans un délai de 10 mois, pour garantir la continuité des services critiques.
Sanctions et conséquences en cas de non-conformité
Même avec une période de tolérance de trois ans, les sanctions pour non-conformité restent sévères. Si une entité ne se conforme pas aux exigences de la directive à l’issue de cette période, ou en cas d’incident majeur, elle risque des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel.
Dans les cas les plus graves, la directive permet également de suspendre temporairement les activités des entités concernées jusqu’à leur mise en conformité. Cette mesure, bien que drastique, vise à protéger non seulement l’intégrité des infrastructures critiques, mais aussi les données sensibles face aux cybermenaces.
Ce qui est confirmé
La directive impose plusieurs exigences clés qui ont déjà été confirmées et sur lesquelles les entités concernées doivent se concentrer. Parmi ces exigences figurent :
- Analyse des risques : Les entités doivent effectuer une analyse approfondie des risques pesant sur leurs systèmes d’information critiques.
- Plan de résilience : Elles sont tenues de mettre en place un plan de continuité pour assurer la résilience de leurs infrastructures en cas d’incident.
- Notification des incidents : Toute entité concernée doit notifier les incidents de cybersécurité dans un délai précis, permettant ainsi une réaction rapide des autorités compétentes.
- Gestion des fournisseurs : Les entités doivent également veiller à ce que leurs fournisseurs respectent des normes de cybersécurité similaires, en intégrant des clauses de sécurité dans leurs contrats et en réalisant des audits réguliers.
Ces éléments, déjà confirmés, constituent le socle sur lequel les entreprises doivent s’appuyer pour débuter leur mise en conformité avec la directive NIS 2.
La Directive REC et DORA
En complément de la directive NIS 2, le projet de loi couvre également deux autres textes clés : la directive REC (résilience des entités critiques) et le règlement DORA (digital operational resilience act).
- La directive REC concerne spécifiquement les opérateurs d’importance vitale (OIV) et remplace certaines dispositions de la loi de programmation militaire (LPM). Elle renforce les obligations en matière de continuité des activités pour ces opérateurs face à des menaces variées, incluant les cyberattaques.
- Le règlement DORA, quant à lui, s’applique au secteur financier. Il vise à renforcer la résilience des systèmes d’information dans les institutions financières, en leur imposant des normes strictes pour faire face aux cybermenaces.
Ces textes, complémentaires à NIS 2, soulignent l’approche globale de l’union européenne pour renforcer la résilience des infrastructures critiques et des secteurs financiers face aux cyber risques.
Conclusion : un suivi permanent et une anticipation nécessaire
Chez LPB Conseil, nous avons suivi de très près l’évolution de la directive NIS 2 et ses implications pour les infrastructures critiques. Jusqu’à présent, nous avons préféré attendre des clarifications avant de prendre position, afin de fournir des conseils fondés sur des faits concrets. À mesure de l’avancement de la transposition, nous resterons attentifs aux décrets d’application qui préciseront les obligations à venir et vous informerons de cet avancement.
Nous ne croyons pas en une approche alarmiste. Au contraire, nous encourageons les entités concernées à anticiper sereinement ces nouvelles exigences. Les portes de LPB Conseil sont ouvertes à toute structure souhaitant échanger sur le sujet et explorer les premières démarches pour sécuriser leurs systèmes d’information. Nous sommes prêts à vous accompagner dans cette transition réglementaire, en vous aidant à définir une feuille de route cybersécurité adaptée à votre situation.