Vers un cadre juridique de cybersécurité renforcé au sein de l’Union européenne : l’accord provisoire du Conseil et du Parlement européen sur la directive NIS2
Le 13 mai 2022 un accord provisoire a été annoncé entre le Conseil européen et le Parlement européen portant sur les mesures contenues dans la directive NIS2 visant à mettre à jour et renforcer les exigences juridiques européennes en termes de cybersécurité.
La nouvelle directive NIS2 a pour vocation de remplacer la directive 2016/1148 NIS (Network and information systems) du 6 juillet 2016. L’actualisation d’un tel texte n’est pas une surprise, l’article 23 de la directive NIS indiquait clairement la nécessité de réexamens périodiques réguliers du texte par la Commission, une exigence particulièrement importante dans un domaine éminemment stratégique qui ne cesse de se transformer au rythme de l’innovation galopante dans un contexte géopolitique complexe.
C’est pourquoi la nouvelle stratégie de cybersécurité de l’Union européenne annoncée par la Commission européenne le 16 décembre 2020 plaçait parmi ses priorités la révision de la directive NIS. Divers travaux ainsi qu’une consultation effectuée au second semestre 2020 ont en effet convaincu la Commission européenne de réviser cet instrument juridique dans les plus brefs délais. La Commission corrobore les progrès apportés par la directive NIS et prend note de ses zones d'améliorations dans un contexte où les risques de cybersécurité deviennent de plus en plus prégnants et sophistiqués avec, notamment, la digitalisation croissante des usages et l’interconnexion exponentielle des systèmes.
Une première mesure centrale de la nouvelle directive NIS2 consiste à préciser et étendre le champ d’application des obligations de cybersécurité qu’elle contient.
Ainsi, tout d’abord, le nombre de secteurs concernés augmente. En effet, la directive NIS2 conserve les secteurs déjà visés par le précédent texte (énergie, transport, banques, infrastructures financières de marché, santé, eau potable et infrastructures numériques) mais y ajoute les secteurs de l’administration publique, des eaux usées, et de l’espace.
Le texte précise que l’intégralité des organisations de moyenne et de grande taille appartenant à ces secteurs stratégiques seront soumises aux obligations qui y sont définies en laissant aux États membres la flexibilité d’identifier quelles entités de petite taille devraient être incluses.
Pour rappel, une directive passe par deux étapes avant de produire ses effets : une fois votée par les institutions européennes, elle doit ensuite être transposée par les Etats membres dans leur droit national, à la différence du règlement, qui s'applique directement. Nous aurons, sans nul doute, l’occasion de revenir sur les écarts des futures législations nationales incluant la question du choix des entreprises soumises à ces obligations.
Remarquons également que les organisations concernées seront réparties par la directive NIS2 en deux catégories : les opérateurs essentiels et les opérateurs importants, les premiers étant soumis à des obligations plus complètes que les seconds compte tenu des risques de sécurité importants que leur position entraîne dans leur domaine d’activité. Dans le secteur des infrastructures numériques, par exemple, seront typiquement considérés comme des opérateurs essentiels les opérateurs DNS (Domain Name System) ou les fournisseurs de solutions Cloud. Les moteurs de recherche et les services de réseaux sociaux seront, eux, considérés comme des opérateurs importants.
A première lecture, la directive NIS2 complète un certain nombre d’obligations existantes et en introduit de nouvelles.
Les obligations visées par cette directive portent principalement sur :
L’accord provisoire conclu le 13 mai 2022 doit désormais être soumis à l’approbation du Conseil et du Parlement européen, ce qui ne devrait pas soulever de discordes puisque ce texte est précisément le fruit d’un accord entre ces deux institutions.
Une fois la directive adoptée par le Parlement et le Conseil, les États membres disposeront de 21 mois pour l’implémenter, à savoir l’intégrer à leur législation nationale.
Quoi qu’il en soit, l’effort d’actualisation, de renforcement et d’harmonisation des exigences européennes de cybersécurité ne peut être que salué au vu de la place centrale qu’occupent désormais les risques cyber d’un point de vue géostratégique, économique ou social. La prise en compte des entités tierces, le déplacement vers une approche proactive, et la prise en compte des évolutions des pratiques comme celle de vulnerability disclosure font de ce texte une avancée certaine pour encourager le développement d’une Europe digitale forte et soudée.
Le 13 mai 2022 un accord provisoire a été annoncé entre le Conseil européen et le Parlement européen portant sur les mesures contenues dans la directive NIS2 visant à mettre à jour et renforcer les exigences juridiques européennes en termes de…
Je gère mes abonnements push
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l’envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, par CCM Benchmark Group à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu’avec nos partenaires commerciaux.
Le traitement de votre email à des fins de publicité et de contenus personnalisés est réalisé lors de votre inscription sur ce formulaire. Toutefois, vous pouvez vous y opposer à tout moment
Plus généralement, vous bénéficiez d’un droit d’accès et de rectification de vos données personnelles, ainsi que celui d’en demander l’effacement dans les limites prévues par la loi.
Vous pouvez également à tout moment revoir vos options en matière de prospection commerciale et ciblage. En savoir plus sur notre politique de confidentialité ou notre politique Cookies.