La Directive Network and Information Security 2 (NIS 2) sur la cybersécurité, adoptée par le Conseil de l'Union européenne (UE) et publiée au Journal officiel le 27 décembre 2022, vise à harmoniser les règles nationales en matière de cybersécurité et à établir un cadre réglementaire commun pour lutter contre les cyberattaques.
Elle vient remplacer la Directive NIS 1 actuelle sur la sécurité des réseaux et des systèmes d'information.
Une évolution conséquente du droit communautaire
La Directive NIS 1 a été publiée en 2016 et a été l'une des premières législations européennes visant à garantir la sécurité des systèmes et des réseaux. Cependant, à mesure que les technologies et les méthodes de cyber-attaque se sont développées, il devenait évident que la directive NIS 1 ne pouvait plus répondre aux exigences de sécurité.
Son réexamen a montré que certaines insuffisances l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité.
Également, elle laissait un large pouvoir d’appréciation aux États membres en ce qui concerne la mise en œuvre des obligations qu’elle prévoyait en matière de sécurité et de notification des incidents. De ce fait, ces obligations ont été mises en œuvre de manières considérablement différentes au niveau national.
La Directive NIS 2 a alors été conçue pour remplacer la Directive NIS 1 et pour mieux garantir la sécurité des systèmes et des réseaux à l'échelle de l'UE.
L'apport de la Directive NIS2
La Directive NIS 2 apporte de nombreuses innovations et améliorations à la Directive NIS 1.
① Tout d'abord, elle élargit le champ d'application des exigences de sécurité à de nouvelles organisations. De ce fait, elle s'applique à toute entreprise moyenne ou dépassant un certain plafond, mais également à certaines entités, dont :
- les fournisseurs de services numériques (tels que les fournisseurs de cloud computing, les fournisseurs de services d'hébergement web et les fournisseurs de services financiers en ligne) ;
- les fournisseurs d'infrastructures essentielles (tels que les opérateurs d'utilités et les fournisseurs de services de transport) ; et
- les organisations qui exploitent des systèmes et des réseaux critiques pour leurs activités.
② Elle prévoit également des exigences plus strictes en matière de notification des incidents de sécurité et de coopération entre les autorités nationales et l'ENISA.
③ De plus, la Directive NIS 2 offre un cadre plus précis et plus détaillé pour la mise en œuvre de mesures de sécurité des systèmes et des réseaux dans l'UE. En effet, elle exige que les États membres de l'UE mettent en place des mesures pour améliorer leur résilience et leur sécurité contre les cyberattaques. Celles-ci comprennent des exigences en matière de sécurité des réseaux et des systèmes d'information, des plans de sécurité et des procédures de réponse à des incidents.
Elle doit être transposée pour le 17 octobre 2024 au plus tard dans chaque État membre.