De NIS1 à NIS2 : ce qui a changé et pourquoi c'est important
Qui devrait lire ceci : Toute personne qui se conforme actuellement à la NIS1, toute personne passant du NIS1 au NIS2 et toute personne souhaitant comprendre le contexte réglementaire du NIS2.
La directive originale sur les réseaux et les systèmes d'information (NIS1 ou directive 2016/1148) était elle-même révolutionnaire. Pour la première fois, l'Union européenne a établi un cadre cohérent et harmonisé pour la cybersécurité dans les secteurs critiques. Elle a créé l'obligation pour les États membres de mettre en œuvre des stratégies nationales de cybersécurité. Il a introduit le concept d' « opérateurs de services essentiels » et imposé le signalement obligatoire des incidents.
Pourtant, quelques années après l'entrée en vigueur de la NIS1, ses limites sont apparues. Le champ d'application de la directive était trop restreint. Les États membres l'ont mis en œuvre différemment, parfois de façon spectaculaire. L'écart entre la portée réglementaire de NIS1 et le paysage croissant des menaces s'est creusé d'année en année. En 2020, la Commission européenne a reconnu que le NIS1 présentait des « lacunes inhérentes » et ne pouvait pas relever efficacement les défis émergents en matière de cybersécurité.
NIS2 est la réponse. Ce guide explique ce qui a changé, pourquoi ces changements sont importants et ce à quoi les organisations qui passent du NIS1 au NIS2 doivent s'attendre.
La vision originale : ce que NIS1 a réalisé
Le NIS1, qui est entré en vigueur le 9 mai 2018, était la première tentative européenne de réglementation de la cybersécurité à l'échelle du continent. Ses contributions ont été réelles :
Elle a établi des stratégies nationales obligatoires en matière de cybersécurité. Les États membres ont été tenus d'évaluer leur environnement en matière de cybersécurité et d'élaborer des stratégies visant à accroître leur résilience.
Elle a créé le Groupe de coopération. Ce mécanisme institutionnel a permis aux autorités nationales compétentes de coordonner, de partager des informations et de développer des approches communes à travers l'UE. Le groupe de coopération reste au cœur de la gouvernance du NIS2.
Il a mis en place un réseau d'équipes nationales de réponse aux incidents de sécurité informatique (CSIRT). Ces équipes sont devenues l'épine dorsale opérationnelle de la réponse aux incidents et de la coordination.
Elle a défini les « opérateurs de services essentiels », c'est-à-dire des entités des secteurs de l'énergie, des transports, de l'eau, de la santé et des services numériques, et leur a imposé des obligations obligatoires en matière de cybersécurité et de signalement des incidents.
Elle a établi un point de contact unique dans chaque État membre afin de faciliter la coordination des incidents transfrontaliers et le partage d'informations.
Dans le contexte de 2016 (lorsque le NIS1 a été légiféré), ces réalisations étaient considérables. Le NIS1 a créé les conditions réglementaires permettant à la cybersécurité européenne de dépasser la fragmentation et les approches nationales ad hoc.
Pourquoi NIS1 n'était pas suffisant : les lacunes
Pourtant, au début des années 2020, il était clair que NIS1 présentait des limites structurelles. L'examen de la Commission européenne, qui a sous-tendu le développement du NIS2, a identifié plusieurs lacunes inhérentes.
Champ d'application trop étroit
Le NIS1 s'appliquait principalement aux « opérateurs de services essentiels » dans cinq secteurs : l'énergie, les transports, l'eau, la santé et les services numériques. Cette liste a été adaptée de manière précise et a laissé de côté les domaines de plus en plus critiques. La définition des services numériques était dépassée : elle était antérieure à la croissance fulgurante du cloud computing, à l'essor des réseaux de diffusion de contenu, à la domination des plateformes de réseaux sociaux et à l'expansion des services de sécurité gérés.
Plus important encore, le NIS1 a laissé de vastes pans de l'économie non réglementés. Les fabricants, les producteurs de produits chimiques, l'approvisionnement alimentaire, la gestion des déchets, les services postaux et les opérations spatiales, tous essentiels à la résilience de l'Europe, étaient largement hors de portée. Une seule cyberattaque contre un fabricant de produits pharmaceutiques ou un fournisseur de produits chimiques pour le traitement de l'eau pourrait se répercuter sur l'économie, mais NIS1 n'a pas atteint ces secteurs.
Il ne s'agissait pas d'un oubli. Le champ d'application était un compromis délibéré reflétant le consensus politique en 2016. Mais à mesure que le paysage des menaces évoluait et que l'interconnexion numérique s'intensifiait, le compromis est devenu obsolète.
Mise en œuvre fragmentée entre les États membres
L'article 4 du considérant 4 résume le problème fondamental : « Les exigences en matière de cybersécurité imposées aux entités fournissant des services ou exerçant des activités économiquement importantes varient considérablement d'un État membre à l'autre en termes de type d'exigences, de niveau de détail et de méthode de supervision. Ces disparités entraînent des coûts supplémentaires et créent des difficultés pour les entités qui proposent des biens ou des services au-delà des frontières. »
Le NIS1 a accordé une grande marge de manœuvre aux États membres. Qui peut être considéré comme un « opérateur de services essentiels » ? Les États membres ont décidé individuellement. Quelles mesures doivent-ils prendre ? La directive définissait des principes mais laissait une grande part au jugement national. Comment les incidents doivent-ils être signalés ? Chaque État membre a créé son propre processus, son propre calendrier et ses propres définitions d'importance.
Il en a résulté une fragmentation. Un fournisseur de cloud opérant dans dix États membres était confronté à dix régimes de conformité différents. Le même incident peut être signalé dans un pays et ne pas être signalé dans un autre. Un État membre peut exiger des audits annuels ; un autre peut effectuer des contrôles ponctuels. Cela a entraîné des coûts, de la confusion et des lacunes en matière de conformité.
Le considérant 5 le souligne : « Toutes ces divergences entraînent une fragmentation du marché intérieur et peuvent avoir un effet néfaste sur son fonctionnement, affectant en particulier la fourniture transfrontalière de services et le niveau de cyberrésilience dû à l'application de diverses mesures. »
Gouvernance et responsabilisation inadéquates
Le NIS1 n'exigeait pas explicitement l'implication de l'organe de direction ou du conseil d'administration dans la gouvernance de la cybersécurité. Elle a traité la cybersécurité comme une question technique à déléguer aux équipes informatiques et de sécurité. Cela s'est révélé insuffisant. Les conseils d'administration, souvent déconnectés des risques liés à la cybersécurité, n'exerçaient pas une supervision adéquate. Les décisions relatives aux cyberrisques ont été prises sans que la haute direction ou le conseil d'administration n'en soient informés.
L'attaque SolarWinds et les principaux incidents liés aux rançongiciels survenus entre 2019 et 2021 ont mis en évidence cette lacune. Les conseils d'administration devraient avoir compris et approuvé la stratégie de cybersécurité. Mais NIS1 ne l'a pas mandaté.
Faible application
Le NIS1 prévoyait des sanctions, mais celles-ci n'étaient pas appliquées de manière uniforme d'un État membre à l'autre. Certains pays ont poursuivi les violations avec vigueur ; d'autres les ont rarement appliquées. L'amende maximale (100 000 euros ou équivalent) était modeste par rapport à l'importance économique des secteurs concernés. Il n'y a pas eu d'harmonisation effective de l'exécution.
La réponse du NIS2 : ce qui a changé
La NIS2 (Directive 2022/2555) a été promulguée en décembre 2022 et est entrée en vigueur le 12 novembre 2023. Il répond à chacune des lacunes ci-dessus.
Champ d'application étendu avec règle de limitation de la taille
Le NIS2 s'étend à onze secteurs (énergie, transports, eau, santé, infrastructures numériques, administration publique, espace, chimie, alimentation, industrie, poste). Cela couvre une bien plus grande partie de l'économie que le NIS1.
Mais l'innovation la plus importante est la règle de la taille maximale. Plutôt que de s'en remettre à la discrétion des États membres pour identifier les opérateurs essentiels, NIS2 utilise un critère objectif : les entités de taille moyenne ou plus (plus de 250 employés ou plus de 50 millions d'euros de chiffre d'affaires) dans n'importe quel secteur de l'annexe I ou de l'annexe II sont couvertes par le champ d'application. Cela remplace la désignation subjective des États membres par une règle automatique basée sur une formule.
Le considérant 7 explique : « Il convient d'établir un critère uniforme pour déterminer les entités relevant du champ d'application de la présente directive. Ce critère devrait consister en l'application d'une règle de plafonnement de la taille, selon laquelle toutes les entités considérées comme des entreprises de taille moyenne... et qui opèrent dans les secteurs... entrent dans son champ d'application. »
Il s'agit d'un changement fondamental. Elle supprime le pouvoir discrétionnaire, crée une sécurité juridique et étend automatiquement les obligations de conformité à un bien plus grand nombre d'organisations.
Obligations harmonisées avec les actes d'exécution
Principes spécifiés par NIS1. Le NIS2 spécifie dix mesures minimales à l'article 21 (2) : politiques relatives à l'analyse des risques, à la gestion des incidents, à la continuité des activités, à la sécurité de la chaîne d'approvisionnement, au développement sécurisé, à l'évaluation de l'efficacité, à la cyberhygiène, à la cryptographie, au contrôle d'accès et à l'authentification multifactorielle. Elles sont obligatoires et non facultatives.
En outre, l'article 21, paragraphe 5, impose à la Commission d'adopter des actes d'exécution établissant des exigences techniques et méthodologiques pour des types d'entités spécifiques. Cela n'était pas possible avec NIS1. Désormais, si vous êtes un fournisseur de cloud, un opérateur DNS ou un fournisseur de centre de données, vous serez confronté à des lois de mise en œuvre qui précisent ce que signifie « sécurité du cloud » ou « sécurité DNS » dans le NIS2.
Cela réduit la fragmentation. Tous les États membres doivent mettre en œuvre les mêmes exigences techniques, et non les interpréter individuellement.
Responsabilité obligatoire au niveau du conseil
L'article 20 du NIS2 exige explicitement que les organes de direction des entités essentielles et importantes approuvent les mesures de cybersécurité, supervisent la mise en œuvre et puissent être tenus personnellement responsables des violations. Ce n'était pas dans NIS1.
Il s'agit d'un changement radical. Elle fait passer la cybersécurité d'un problème technique à une obligation de gouvernance stratégique. Les conseils d'administration ne peuvent pas déléguer la responsabilité ; ils doivent approuver les mesures et garantir la compétence au sein de la structure de gouvernance.
Cadre de signalement des incidents renforcé
Le NIS1 a exigé la notification des incidents « dans les meilleurs délais ». C'était vague. Certains États membres l'ont interprété comme 72 heures, d'autres comme des semaines.
L'article 23 du NIS2 harmonise les délais : pour les prestataires de services de confiance, 24 heures ; pour tous les autres, 72 heures. Il n'y a aucune ambiguïté. La directive définit également un processus en deux étapes : une notification rapide dans des délais serrés, suivie de rapports intermédiaires et finaux. Cela permet aux régulateurs de réagir rapidement aux incidents tout en donnant aux entités le temps d'enquêter.
Pouvoirs d'exécution accrus
Les pénalités de 1 NIS allaient jusqu'à 100 000 euros. Le NIS2 (articles 34 à 35) impose des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. En cas de violation systématique des obligations prévues à l'article 21 ou à l'article 23, l'amende s'élève à 20 millions d'euros, soit 4 % du chiffre d'affaires mondial.
Il ne s'agit pas d'un simple entretien ménager. Une amende de 20 millions d'euros a un réel pouvoir dissuasif. Cela garantit que la haute direction prend la conformité au sérieux.
Chronologie et transition
Le NIS1 a continué de s'appliquer jusqu'au 18 octobre 2024. Les organisations sont ensuite passées aux obligations NIS2. Cependant, la date limite de conformité totale pour le NIS2 est le 12 mai 2025.
Ce calendrier échelonné est important :
Le 17 octobre 2024, les obligations au titre de l'article 20 (gouvernance) sont devenues obligatoires en vertu de la NIS2, même avant la date limite générale de conformité.
D'ici au 12 mai 2025, toutes les obligations prévues aux articles 21 (mesures) et 23 (signalement des incidents) devront être pleinement conformes.
Les États membres avaient jusqu'au 18 octobre 2024 (dix-huit mois après l'entrée en vigueur) pour transposer la NIS2 dans leur droit national.
Les organisations devraient déjà avoir entamé des travaux de conformité. La période de transition est conçue pour donner du temps aux organisations, mais elle n'est pas illimitée.
Ce que cela signifie pour votre organisation
Si vous vous conformiez au NIS1, vous êtes presque certainement concerné par le NIS2. Le champ d'application de la NIS2 est plus large et la règle de plafonnement signifie que de nombreuses organisations conformes à la NIS1 resteront dans le champ d'application.
Vos mesures NIS1 existantes peuvent répondre aux exigences NIS2, mais vous ne pouvez pas le supposer. Les dix mesures prévues à l'article 21, paragraphe 2, sont plus détaillées et plus exigeantes que les principes du NIS1. Vous devez effectuer une analyse des lacunes par rapport à l'article 21, paragraphe 2, et remédier à toute lacune.
Le NIS2 introduit de nouvelles exigences qui n'existaient pas dans le NIS1 : la sécurité de la chaîne d'approvisionnement est désormais obligatoire et non recommandée. L'authentification multifactorielle est obligatoire. La gouvernance au niveau du conseil d'administration est obligatoire avec responsabilité personnelle.
Si votre conseil d'administration n'a pas participé à la gouvernance de la cybersécurité dans le cadre du NIS1, il doit l'être dans le cadre du NIS2. Cela nécessite des changements organisationnels, et pas seulement des correctifs techniques.
Le calendrier de signalement des incidents est plus serré. Vous devez détecter les incidents significatifs et les notifier dans les 72 heures (ou 24 heures si vous êtes un prestataire de confiance). Cela nécessite une capacité de réponse aux incidents mature.
Principaux points à retenir
- Le NIS1 était novateur mais de portée limitée, ne s'appliquait qu'aux opérateurs de services essentiels dans cinq secteurs et accordait une grande marge d'appréciation aux États membres, ce qui a entraîné une fragmentation des problèmes de mise en œuvre et de conformité pour les opérations transfrontalières.
- Les lacunes du NIS1 comprenaient des lacunes en matière de champ d'application (secteurs critiques manquants), une mise en œuvre fragmentée par les États membres, des exigences de gouvernance faibles et une application inadéquate, qui, ensemble, ont créé des lacunes réglementaires qui ne reflétaient pas le paysage moderne des menaces.
- Le NIS2 comble ces lacunes en élargissant son champ d'application à onze secteurs plus les services numériques, en adoptant une règle de plafonnement remplaçant le pouvoir discrétionnaire des États membres, en harmonisant les exigences techniques par le biais d'actes d'exécution, en imposant une responsabilisation au niveau du conseil d'administration assortie de la responsabilité personnelle, en durcissant les délais de signalement des incidents et en alourdissant les sanctions (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires).
- La transition est progressive : les obligations de gouvernance de l'article 20 s'appliquent à compter du 17 octobre 2024 ; la conformité totale avec les articles 21 et 23 est obligatoire d'ici le 12 mai 2025 ; les organisations qui quittent le NIS1 doivent effectuer une analyse des lacunes et mettre en œuvre de nouvelles mesures, notamment la sécurité de la chaîne d'approvisionnement et l'authentification multifactorielle.
- Le NIS2 est une réinitialisation de la réglementation, et non une mise à jour progressive ; il reflète les enseignements tirés des cyberattaques majeures, l'incapacité du NIS1 à gérer les risques liés à la chaîne d'approvisionnement et la nécessité d'une gouvernance européenne harmonisée en matière de cybersécurité.
