NIS-2: état des lieux
blogpost de Pieter Byttebier (International Relations Officer – CCB) – le 30 avril 2022.
En décembre 2020, la Commission européenne a publié une proposition visant à abroger l'actuelle directive NIS (« Network and Information Systems », directive européenne relative à la sécurité des réseaux et des systèmes d’information) et à la remplacer par une nouvelle directive: la directive dite NIS-2. Lors de la présentation de la stratégie européenne de cybersécurité, les commissaires ont décrit la proposition NIS-2 comme une initiative phare.
Depuis lors, le texte est entré dans les méandres sinueux de l'élaboration de la législation européenne et d’aucuns estiment qu’il est devenu difficile de savoir si la directive NIS-2 verra le jour, à qui elle s'appliquera et ce qu'elle contiendra exactement.
Dans cet article, nous vous donnerons un aperçu de l'état d'avancement des négociations de la NIS-2, et parcourrons les aspects que nous connaissons déjà et ceux que nous ignorons quant à la forme finale de la future directive.
NIS-1, NIS-2: de quoi s’agit-il exactement?
L'actuelle directive NIS(-1) est entrée en vigueur en 2016. Il s’agissait alors du premier texte législatif en matière de cybersécurité à l'échelle de l'UE, qui a ensuite été transposé dans la législation nationale, en Belgique via la loi NIS du 7 avril 2019.
La NIS-1 astreint les États membres à élaborer des stratégies nationales de cybersécurité et à collaborer de manière transfrontalière, via le NIS-Cooperation Group et le réseau CSIRT. La directive oblige en outre les États membres à identifier les opérateurs de services essentiels (OSE) dans au moins sept secteurs clés: l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable et les infrastructures numériques. Ces opérateurs doivent prendre des mesures de sécurité minimales et signaler les incidents majeurs. Les fournisseurs (à partir d'une certaine taille) de services numériques essentiels, tels que les services dans le cloud, les moteurs de recherche et les marchés en ligne, doivent également se conformer à ces exigences de sécurité et de notification.
Depuis 2016, la Commission européenne a étudié l'efficacité de cette directive. Il ressort de cette analyse que, bien que la NIS-1 ait apporté beaucoup de positif, elle a une portée trop limitée. Au cours des six dernières années, les cybermenaces ont considérablement augmenté, tout comme l'interconnexion et la dépendance de notre société et de notre économie au monde numérique. La Commission a également épinglé un manque de clarté quant au champ d'application et aux compétences, une application inefficace, une trop grande divergence entre les approches nationales et la maturité, et un manque généralisé de partage des informations.
Pour pallier ces manquements, la Commission a proposé d'étendre lechamp d'application de la NIS-1 afin d'y inclure davantage de secteurs et d'entités, d'harmoniser les règles d'identification de ces entités (en utilisant une limite de taille comme critère automatique et uniforme), d'étendre les exigences en matière de sécurité, d'impliquer et de responsabiliser davantage les dirigeants et les conseils d'administration, d'harmoniser et de renforcer les sanctions et le pouvoir de surveillance des autorités compétentes, de clarifier les obligations en matière de notification des incidents (par exemple les délais, les informations à inclure) et de renforcer la sécurité de la chaîne d'approvisionnement au sein de chaque entité et au niveau européen. La Commission a également proposé d’intensifier la coopération européenne, en renforçant les mandats du NIS Cooperation Group et du réseau CSIRT, et en reconnaissant officiellement une nouvelle plateforme pour la gestion des crises de cybersécurité transfrontalières de grande échelle. Il est également proposé de créer un cadre européen pour la divulgation coordonnée des vulnérabilités.
Quid de la proposition et quel est le calendrier?
Peu après le lancement de la proposition NIS-2, le Parlement européen (représenté par le rapporteur NIS et député européen Bart Groothuis - Renew) et le Conseil européen (représenté par les présidences du Conseil: Portugal (janvier-juin 2021), Slovénie (juillet-décembre 2021) et actuellement France (janvier-juin 2022)) ont commencé à travailler sur des amendements au texte, afin que chaque acteur élabore une version du NIS-2 qu'il jugerait acceptable.
Après de nombreuses négociations internes, ces discussions ont abouti à deux versions amendées de la proposition NIS-2:
- La Position du Parlement, adoptée le 4 novembre 2021
- L'approche générale du Conseil, adoptée le 3 décembre 2021
En comptant la proposition initiale de la Commission, ce sont ainsi désormais trois versions de la NIS-2 qui circulent. Toutefois, il est important de souligner qu'aucune d'entre elles ne constitue la forme finale de la directive.
En janvier 2022, le Conseil et le Parlement, assistés par la Commission, ont entamé les « trilogues », des négociations techniques et politiques par lesquelles les colégislateurs tentent de rédiger une version unique unifiée acceptable de ces trois versions du texte – un compromis, qui pourra ensuite être soumis au Conseil et au Parlement pour approbation finale.
Tous les négociateurs nourrissent l'ambition d'adopter un texte le plus rapidement possible. La présidence française a déclaré qu'elle souhaitait arriver à un accord politique d'ici début juin 2022. En tenant compte des traductions officielles, du vote et de la publication, la directive devrait donc être publiée officiellement à l'automne.
Les États membres disposeront alors de 18 à 24 mois (le délai exact fait encore l'objet de débats) pour transposer la directive dans leur législation nationale. On peut donc s'attendre à une nouvelle loi NIS belge dans le courant de 2024. Les obligations qui incombent aux organisations en Belgique devraient dès lors prendre effet, restons réalistes, début 2025 – en fonction de la teneur de la loi belge.
Nous pouvons tirer deux conclusions de ce calendrier :
- Tant qu'il n'y a pas de nouvelle loi belge NIS-2, toutes les obligations découlant de la directive NIS-1 restent en vigueur.
- Vous ne devez pas attendre 2025 pour investir dans la cybersécurisation de votre organisation. La cybersécurité n'est pas une obligation de conformité, mais un aspect vital de la protection de votre entreprise. Les lois NIS sont simplement destinées à nous donner, en tant que société, un moyen de garantir que les entités qui offrent des services essentiels à notre économie et à notre mode de vie prennent un minimum de mesures pour protéger leurs services (et donc nous protéger) contre des perturbations importantes.
Qu’ont pensé le Conseil et le Parlement de la NIS-2?
Dans l'ensemble, le Parlement et le Conseil ont accueilli favorablement la proposition NIS-2 et leurs avis divergent principalement sur quelques points majeurs.
Le plus important est le champ d'application: le Parlement veut être ambitieux grâce à un champ d'application large et uniforme, tandis que le Conseil se concentre sur une approche proportionnée et différenciée basée sur les risques à la fois pour les entités et leurs autorités de surveillance, craignant qu’une augmentation significative des entités dans le champ d'application n’entraîne une charge excessive pour les entreprises et les autorités. (Le CCB estime en effet que le nombre d'entités concernées pourrait être multiplié par vingt à quarante entre NIS-1 et NIS-2). Néanmoins, les deux colégislateurs ont introduit de nouveaux secteurs dans leurs versions. Le Parlement a également suivi la Commission en souhaitant inclure les autorités publiques. Le Conseil a accepté en introduisant toutefois des règles spécifiques de mise en œuvre, compte tenu des questions de sécurité nationale et des différentes structures nationales des États.
Le Conseil souhaite que les incidents soient notifiés au maximum dans les 24 heures, mais le Parlement parle lui de 72 heures, sauf lorsque la disponibilité est affectée: dans ce cas, le délai serait également de 24 heures. Le Parlement désire également que les pays mettent en place des plateformes de notification uniques qui couvrent également les notifications découlant d'autres lois (comme le RGPD), tandis que le Conseil souhaite simplement laisser ce point à l’appréciation des États membres.
Afin que la NIS-2 soit parée pour l’avenir, la Commission recevrait également des pouvoirs lui permettant de fixer ultérieurement des règles spécifiques ou harmonisées sur des sujets tels que les mesures de sécurité détaillées ou la notification des incidents. Le Conseil et le Parlement ont exprimé des points de vue différents sur l'étendue des pouvoirs de la Commission et sur la question de savoir s'il devrait s'agir d'actes délégués ou d'actes d'exécution (une différence procédurale notable, suivre le lien pour plus de détails).
Le Conseil n'a pas non plus apprécié le système d'examens par les pairs proposé et préfère que les pays apprennent les uns des autres plutôt que de s'inspecter mutuellement, comme le souhaitent la Commission et le Parlement.
Ce dernier aspect touche à un point politique clé qui sous-tend de nombreuses autres différences: la cybersécurité, comme toute sécurité, demeure essentiellement une compétence nationale. Pourtant, l'Europe est compétente pour le marché unique, qui dépend de la cybersécurité. Quel équilibre les colégislateurs établiront-ils?
Que savons-nous déjà?
Pour terminer, plongeons dans les détails techniques des trois textes et identifions quelques points clés sur lesquels le Parlement et le Conseil sont déjà d'accord ou pas encore.
Clause de non-responsabilité avant de commencer: rien n'est définitif tant que le texte final n'est pas voté et publié. Les explications ci-dessous ne sont en aucun cas contraignantes et présentent uniquement un aperçu personnel d’hypothèses qui seront probablement mises en œuvre. Seul le texte final énoncera les obligations réelles.
1. La NIS-2 vous concernera-t-elle?
Le Parlement et le Conseil sont tous deux plus ou moins d'accord sur les secteurs à inclure dans la NIS-2. Outre les discussions sur les secteurs supplémentaires proposés, tels que les instituts de recherche, les bornes de recharge rapide et les fournisseurs de services (de sécurité) gérés, ou les débats sur le secteur spécifique des pouvoirs publics, il est clair que tous les secteurs suivants seront inclus: énergie (électricité, pétrole, gaz, chauffage urbain et hydrogène), transports (aérien, ferroviaire, par voie navigable et routier), banques, infrastructures des marchés financiers, santé (y compris les laboratoires et la recherche concernant les produits pharmaceutiques et les dispositifs médicaux), eau potable, eaux usées (mais seulement s'il s'agit d'une activité principale), infrastructures numériques (télécoms, DNS, TLD, centres de données, services de confiance, services cloud), services numériques (moteurs de recherche, marchés en ligne, réseaux sociaux), espace, services postaux et de distribution de courrier, gestion des déchets, Produits chimiques (production et distribution), alimentation (production, transformation et distribution) et fabrication (en particulier, mais sans s'y limiter, les équipements médicaux, informatiques et de transport). Pour une liste détaillée de ces secteurs et du type d'opérateurs prévus, veuillez consulter les annexes de chacune des trois propositions, auxquelles vous pouvez accéder en cliquant sur les liens ci-dessus.
Une entité active dans l'un de ces secteurs et qui compte (au cours de ses deux derniers exercices comptables) plus de 50 employés ou plus de 10 millions d'euros de chiffre d'affaires annuel (c’est-à-dire les grandes ou moyennes entreprises) devra se conformer aux règles de la directive.
Plus précisément, les entités devront se conformer aux règles des États membres dans lesquels elles possèdent un établissement. Un régime de guichet unique est toutefois introduit pour certains secteurs numériques: les entités ne seront soumises qu'aux règles d'un seul pays, où elles ont leur « établissement principal » (mais ce pays peut demander à d'autres États membres de l'aider à assurer la surveillance sur son propre territoire). L'Agence européenne pour la cybersécurité (ENISA) tiendra également un registre de ces guichets uniques, afin d'éviter tout manquement.
Ce sont là les grandes lignes, mais certains détails et exceptions rendront la situation plus complexe. Par exemple, dans certains (sous-)secteurs spécifiques, notamment les infrastructures numériques, la taille n'aura pas d'importance et toutes les entités du secteur seront concernées. Les États membres pourront également identifier des entités indépendamment de leur taille, si celles-ci sont jugées critiques pour les fonctions sociétales ou économiques.
Compte tenu de toute cette complexité et du très grand nombre de nouvelles entités attendues, les colégislateurs européens ont proposé que les États membres établissent une vue d'ensemble des entités, par exemple via une plateforme nationale d'auto-enregistrement dans laquelle des informations de base devront être fournies.
Le débat reste cependant ouvert pour ce qui est des catégories dans lesquelles les entités seront placées: les entités essentielles ou les entités importantes. La différence résiderait principalement dans le fait que les entités essentielles pourraient être plus strictement inspectées et faire l'objet de sanctions plus lourdes. La Commission et le Parlement veulent diviser ces catégories par secteur: toutes les entités actives dans les secteurs énumérés à l'annexe I seraient essentielles; les entités actives dans les secteurs épinglés dans l'annexe II seraient importantes. Le Conseil, quant à lui, veut également instaurer des différences proportionnelles au sein des secteurs. Pour lui, seules les grandes entités (donc plus de 250 employés ou 50 millions d'euros de chiffre d'affaires annuel) des secteurs de l'annexe I seraient essentielles. Les entités moyennes de l'annexe I et toutes celles de l'annexe II seraient importantes. Certains secteurs numériques seraient tous essentiels, quelle que soit leur taille, et les États membres auront toujours la possibilité de classer des entités dans une catégorie supérieure.
2. Que faire si d’autres législations s’appliquent aussi à mon secteur?
Toutes les parties souhaitent que la NIS-2 soit une législation de base. Si une législation plus stricte que la loi NIS-2 sur les questions de cybersécurité était adoptée, par exemple dans un secteur spécifique, alors cette législation sectorielle aurait la priorité, mais uniquement sur les questions pour lesquelles elle est effectivement plus stricte et uniquement pour son propre champ d'application. Ce sera le cas, par exemple, pour le règlement DORA concernant le secteur financier. La Commission donnera des indications sur les cas où une législation est plus stricte et les autorités devront coopérer. En l’absence de lois sectorielles spécifiques en matière de cybersécurité, les vastes règles découlant de la NIS-2 serviront de base.
Par ailleurs, certaines dispositions en matière de cybersécurité concernant le secteur des télécommunications et les services de confiance, actuellement couvertes par le code des télécommunications et le règlement eIDAS, seront intégrée dans le cadre NIS.
Si une entité est également identifiée comme une entité critique, conformément à la nouvelle directive sur les infrastructures critiques (CER, qui se concentre sur la sécurité non cyber), elle relèvera automatiquement du champ d'application de la NIS-2 pour la cybersécurité.
3. Quelles mesures les entités devront-elles prendre?
Toutes les entités devront effectuer des analyses de risques sur le potentiel et l'impact des incidents, puis mettre en place des mesures organisationnelles et techniques proportionnelles à ce risque.
La directive NIS-2 stipulera simplement (voir article 18) que les entités doivent disposer de plans de gestion des incidents, de plans de continuité des activités et de gestion des crises, de politiques et de procédures permettant d'évaluer l'efficacité de ces mesures, ainsi que de politiques relatives à l'utilisation de la cryptographie, à la sécurité des ressources humaines, à l'utilisation de systèmes d'authentification appropriés et à la gestion de la chaîne d'approvisionnement.
Autre élément crucial: la direction des entités devra explicitement approuver toutes ces mesures et suivre une formation de base en matière de cybersécurité.
Une fois le texte final rédigé, il appartiendra aux États membres de publier des lignes directrices ou des règles spécifiques concernant les normes plus détaillées à suivre. En effet, le débat se poursuit entre le Parlement et le Conseil sur ce que la proportionnalité des mesures impliquerait en pratique.
La Commission européenne pourrait également être habilitée à édicter des règles plus spécifiques sur ces mesures, au moins pour certains secteurs numériques, bien que, comme mentionné précédemment, l'étendue de ces pouvoirs fasse encore l'objet de discussions.
La Commission et les États membres pourront également procéder à des évaluations coordonnées des risques que présentent certains produits ou services.
En reprenant les possibilités existantes de la loi sur la cybersécurité, les États membres et l'UE pourront par ailleurs imposer l’utilisation d’une certification spécifique dans certains secteurs pour certains produits, services ou processus, afin de prouver ou d'assurer la conformité avec la norme NIS-2. À ce stade, toutefois, aucun système de certification de l'UE n'a été entièrement mis en place, rendant impossible toute contrainte. Trois systèmes sont en cours de développement: sur les critères communs (produits), le Cloud Computing et la 5G. Avant que ces systèmes volontaires ne soient rendus obligatoires, les parties prenantes et les États membres seront largement consultés sur les conséquences, les délais et les coûts possibles et sur les alternatives disponibles à ces certifications obligatoires.
En outre, les entités devront notifier les incidents de cybersécurité majeurs (mais pas les menaces, comme la Commission l'avait initialement proposé). Les seuils de ce que l'on entend par « incident majeur » n'ont pas (encore) été définis. Il est toutefois clair que les entités devront notifier les incidents le plus vite possible, puis rédiger un rapport plus conséquent, suivi d'un rapport final, soit un mois après l'incident, soit lorsque celui-ci aura été clos.
4. Quelles seront les sanctions?
Les États membres devront désigner des autorités compétentes et leur donner le pouvoir de mener des inspections, d'exiger des audits (ciblés) ou des analyses de sécurité et de demander des informations, afin de s'assurer que les entités respectent toutes ces obligations. Les entités essentielles seront soumises à une surveillance plus stricte (ce qui inclus la possibilité d'effectuer des audits réguliers ou de demander des preuves de la mise en œuvre des obligations).
Les autorités devraient également être habilitées à émettre des avertissements et des instructions contraignantes. Si les entités ne s'y conforment pas, les autorités devraient pouvoir imposer des délais, révoquer les certifications et imposer des amendes ou des pénalités administratives. Ces amendes devraient toutefois toujours être dissuasives, efficaces et proportionnées. Les États membres devraient fixer le montant maximal des amendes, mais le Parlement et le Conseil ne sont toujours pas d'accord sur le montant exact. Il s'agira, en tout état de cause, d'un maximum de 2 millions d'euros ou de 1% du chiffre d'affaires mondial. Les colégislateurs ont toutefois convenus que les autorités ne devraient pas avoir l’autorisation de faire des déclarations publiques identifiant les personnes responsables de non-conformités.
Pour tous les détails de ces dispositions, voir les articles 28 à 34.
En conclusion, la directive NIS-2 est en bonne voie et de nombreuses décisions seront prises quant à la structure de base européenne au cours des deux prochaines semaines. Il appartiendra ensuite aux États membres de concrétiser les obligations, et, s'ils le souhaitent, d'aller au-delà. L’objectif est de s'appuyer sur la directive NIS-1 et d'étendre l’assise préparée au cours des trois dernières années. D'ici là, n’hésitez pas à déjà commencer à améliorer les mesures de cybersécurité de base ou étendues de votre organisation. Aucun de ces efforts ne sera un investissement vain.