La directive NIS 2 est sortie de terre. Enfin presque. La Commission européenne et le haut représentant de l'Union pour les affaires étrangères et la politique de sécurité sont ainsi parvenus à un accord. Selon les termes convenus, cette législation imposera des normes communes en matière de cybersécurité pour les organisations critiques européennes. Cela inclus en particulier en France notamment les opérateurs de services essentiels (OSE). La liste devrait s'allonger en s’appliquant par exemple aux entités de l'administration publique aux niveaux central et régional. A l'occasion du FIC 2021, Guillaume Poupard, directeur général de l'ANSSI, avait expliqué que la deuxième version de la directive allait élargir le périmètre, fixer de nouveaux seuils, désigner des administrations publiques. Même si certains pays membres étaient réticents à intégrer les pouvoirs publics dans le scope du cadre réglementaire, la France a obtenu gain de cause. L'Europe compte faire grimper les investissements consacrés à la cybersécurité avec l'objectif d'atteindre jusqu'à 4,5 milliards d'euros grâce aux efforts conjoints entre l'UE, les Etats membres et les acteurs concernés.
« Les cybermenaces évoluent rapidement, elles sont de plus en plus complexes et adaptables. Pour garantir la protection de nos citoyens et de nos infrastructures, nous devons anticiper plusieurs étapes. Le bouclier de cybersécurité résilient et autonome de l'Europe signifiera que nous pouvons utiliser notre expertise et nos connaissances pour détecter et réagir plus rapidement, limiter les dommages potentiels et accroître notre résilience. Investir dans la cybersécurité, c'est investir dans l'avenir sain de nos environnements en ligne et dans notre autonomie stratégique », a expliqué Thierry Breton, Commissaire chargé du marché intérieur, à l'occasion de la naissance de l'accord NIS 2.
L'adoption de NIS 2 pas avant avril 2024 en France
La v2 de NIS prévoit des exigences plus strictes en matière de sécurité informatique des organismes critiques, et aussi des sanctions associées incluant des amendes, en cas de non conformité. Dans le document présenté par l'UE, plusieurs leviers d'action sont prévus : résilience, souveraineté technologique et leadership, renforcement des capacités opérationnelles pour prévenir, dissuader et réagir et faire progresser un cyberespace mondial et ouvert grâce à une coopération accrue. Parmi les domaines abordés par NIS 2 : l'hygiène informatique de base, la formation à la cybersécurité, l'utilisation de la cryptographie, la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs. Ou encore la réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, et les politiques et procédures pour évaluer la l'efficacité des mesures de gestion des risques de cybersécurité.
L'adoption définitive du texte par les États membres et le Parlement européen est calée en juin prochain pour une entrée en vigueur censée intervenir dès le mois suivant. Pour autant, il faudra encore patienter un peu avant de voir cette directive transcrite dans le droit de chaque Etat membre. En effet, un délai de transposition d'un peu moins de deux ans (21 mois) est prévu ce qui fera donc patienter jusqu'en avril 2024 avec une prise en compte définitive de NIS 2 au niveau local. La Commission européenne et le haut représentant se sont engagés à mettre en œuvre cette stratégie cybersécurité dans les mois à venir et devront rendre régulièrement compte des progrès accomplis devant le Parlement européen, le Conseil de l'Union européenne et les parties prenantes.
Les Etats-Unis et la Grande-Bretagne avancent aussi leurs pions
L'adoption de ce projet intervient quelques mois après l'annonce de la création d'une unité cybersécurité conjointe européenne pour améliorer la capacité de réponse aux cyberattaques croissantes contre les États membres, baptisée EU-CyCLONe. L'Europe n'est pas seule sur ce terrain, puisque les Etats-Unis se sont également emparés du sujet en imposant par exemple des exigences zero trust aux agences fédérales. De la même façon, en Grande-Bretagne, un projet de loi est aussi sur les rails pour accroitre la sécurité des solutions et infrastructures télécoms et des normes cybersécurité imposées aux importateurs et distributeurs de tout terminal capable de se connecter à Internet. Sur le sujet, l'Europe est donc loin d'être seule et n'est pas forcément non plus très en avance.