Pour faire face à la menace systémique cyber grandissante, l'Union européenne a adopté la directive (UE) 2022/2555 le 14 décembre 2022 (NIS 2). Cette directive marque un véritable changement de paradigme, notamment en raison de son périmètre d'application bien plus large que celui de la directive (UE) 2016/1148 du 6 juillet 2016 (NIS 1) qui se focalisait uniquement sur certains secteurs spécifiques. Désormais, plus de 10 000 organisations appartenant à plus de 18 secteurs différents seront régulées en France, au lieu des 600 à 700 avec la directive NIS 1. Les sociétés du CAC40, mais aussi les PME ou les administrations peuvent maintenant être concernées. On ne le rappellera jamais assez, mais chaque organisation, quelle que soit sa taille, devrait maintenant savoir si elle est ou non concernée par cette directive. Si elle l'ignore, il devient urgent de s'informer à ce sujet.
Une protection quasi universelle au risque cyber
Parmi les principales obligations prévues par la directive NIS 2, chaque entité régulée devra mettre en place des mesures de gestion des risques cyber adaptées. Celles-ci porteront principalement sur des aspects d'hygiène informatique fondamentale, afin que les organisations puissent se protéger contre les menaces les plus courantes. Ces obligations seront précisées dans la loi de transposition française ainsi que dans ses décrets d'application. En outre, chaque entité régulée devra déclarer à l'autorité nationale compétente ses incidents de sécurité importants dans un délai de 24 heures après en avoir pris connaissance.
Les coûts importants nécessaires à la mise en conformité ont été décriés, et il faut reconnaître qu'un effort important est demandé à toutes les nouvelles entités régulées en matière de sécurité informatique. Mais il y a intérêt réel pour ces entités à se mettre en conformité sur le long terme. La directive NIS 2 ambitionne de réduire les pertes financières liées aux attaques cyber qui se sont généralisées. S'ajoutent à cette réduction des pertes financières, la possibilité d'améliorer la cyber réputation de ces entités et ainsi de renforcer la confiance de leurs clients. Seul le temps nous dira si ces ambitions seront pleinement remplies, et si les investissements en valaient la peine.
La directive NIS 2 prévoit la capacité d'imposer, entre autres, des sanctions financières aux entités régulées. Ces sanctions s'inspirent de celles prévues par le RGPD, et doivent être proportionnées aux manquements. Elles pourront aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial des entités qualifiées d'essentielles, et 7 millions d'euros ou 1,4% du chiffre d'affaires mondial des entités qualifiées d'importantes. Ces sanctions théoriques devraient avoir pour effet de permettre à la question de la conformité cyber d'atteindre le coeur du pouvoir exécutif des entreprises, et donc de permettre d'apporter des changements structurants.
La transposition de NIS 2 en France susceptible d'être retardée
En théorie, les États membres ont jusqu'au 17 octobre 2024 pour transposer la directive NIS 2 en droit national. Depuis de nombreux mois, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a engagé un dialogue avec les parties prenantes dans une démarche de co-construction avec les futures entités régulées pour vérifier que les exigences techniques souhaitées soient réalistes.
Un projet de loi de transposition ainsi qu'une vingtaine de décrets d'application qui préciseront les modalités pratiques de mise en oeuvre sont en attente d'adoption. Ce projet a été présenté aux instances législatives en mai 2024. Mais leur adoption tarde dans un contexte politique particulier marqué par la dissolution de l'Assemblée nationale et la constitution d'un nouveau gouvernement. Ce dernier décidera si ce projet sera déposé pour examen par l'Assemblée nationale en l'état, car il pourrait encore, en théorie, modifier ce projet. Le gouvernement déterminera ensuite quand ce projet sera inscrit à l'ordre du jour de l'Assemblée.
En pratique, il est possible que cette date du 17 octobre 2024 ne soit pas respectée, d'autant qu'une fois la loi adoptée, il restera encore les textes règlementaires à valider pour que le cadre soit complet. La mise en oeuvre effective de la Directive NIS2 en France pourrait donc prendre un peu de retard.
Les autres échéances cyber
Le projet de loi de transposition de la directive NIS 2 est également l'occasion de s'intéresser à d'autres règlements de l'Union. Il y a tout d'abord le règlement (UE) 2022/2254 du 14 décembre 2022 (« DORA »), un texte technique relatif uniquement au secteur financier.
En outre, la proposition très avancée de règlement (UE) sur la cyber résilience (CRA, cyber resilience act) a ouvert un nouveau grand chantier cyber. Ce règlement a pour objectif de définir les règles de cybersécurité minimum pour les produits numériques vendus sur le marché de l'UE. Il imposera des obligations aux fournisseurs du numérique, et il est donc complémentaire à la directive NIS 2 qui s'appliquera aux utilisateurs du numérique. Des standards européens devront alors être établis, et mis en oeuvre par les fournisseurs. Ce règlement devrait rééquilibrer la charge de la conformité cyber entre les utilisateurs et fournisseurs. S'agissant de règlements, ils ne nécessitent pas de transposition et seront donc applicables beaucoup plus rapidement. DORA sera par exemple applicable à partir du 17 janvier 2025.
Une mise à niveau progressive jusqu'en 2027
L'ANSSI a conscience du défi que représente la mise en conformité NIS 2, et que certaines entités nouvellement régulées découvriront concrètement les enjeux de la cybersécurité. A cet égard, l'agence souhaite avant tout se positionner en tant qu'accompagnateur des organisations, quand bien même elle dispose de pouvoirs de sanction à la fois significatifs et dissuasifs. Elle a par exemple évoqué un délai de tolérance de trois ans une fois que la directive NIS 2 sera transposée en France, afin que les entités concernées se mettent à niveau. On peut donc raisonnablement s'attendre à ce que l'ANSSI exige une conformité complète pour fin 2027. Ce délai de tolérance semble indispensable pour que les entités concernées montent en compétence et effectuent les modifications techniques et organisationnelles requises.
Attention, l'ANSSI a cependant indiqué que ce délai de tolérance ne concernerait pas nécessairement toutes les obligations et pourrait jouer différemment en fonction des entités concernées, notamment entre celles qui étaient déjà dans le périmètre NIS1 et celles qui seront nouvellement intégrées par NIS2. Ainsi, les obligations qui sont considérées par l'ANSSI comme les plus « simples » pourraient devoir être mises en oeuvre immédiatement ou très rapidement après l'adoption des textes. C'est par exemple le cas des déclarations d'incidents importants qui nécessitent « seulement » la mise en place d'un plan de gestion des incidents sans modification du système d'information. À cet égard, l'ANSSI pourrait tout à fait sanctionner une entreprise défaillante dès l'entrée en vigueur de la loi de transposition.
Attention au faux sentiment de confort
Il faut donc lutter contre un faux sentiment de confort que l'annonce de ce délai de tolérance a pu créer chez certains. Et il est nécessaire d'entamer la mise en conformité NIS 2 dès à présent, sans repousser les échéances. Chaque organisation concernée doit monter en compétence rapidement en fonction de son niveau actuel de protection cyber. La conception de la gouvernance et des politiques de sécurité peut être réalisée de façon accélérée si on y consacre les ressources nécessaires. Néanmoins, cela ne sera pas suffisant pour être conforme au cadre règlementaire. Certaines entreprises devront peut-être recruter, d'autres former, d'autres encore sensibiliser et responsabiliser leurs employés. Des démarches qui prennent du temps.
Lorsque le RGPD a été adopté en avril 2016, par exemple, certaines entreprises ont fait le choix de retarder la mise en conformité en raison de son application deux ans plus tard à compter du 28 mai 2018, et d'autres encore d'attendre la position ou même les décisions des autorités de contrôle avant d'initier leur mise en conformité. Cette stratégie s'est en général révélée défaillante, et certaines organisations en ont fait les frais. Même si le niveau de mise en conformité au RGPD s'est globalement amélioré, elles sont nombreuses à avoir tardé à le faire évoluer. En 2024, on observe encore des mises en demeure et même des amendes administratives qui auraient pu être évitées si la conformité RGPD avait été correctement gérée au bon moment. Qui plus est, d'autres sujets règlementaires comme le CRA et Dora, s'inviteront aussi à la table des discussions d'ici à 2027, et pourraient donc ralentir le processus de mise à niveau NIS 2.
Commentaire