La directive NIS 2 est adoptée par le Conseil de l'Europe
30 nov. 2022
La directive a été adoptée par le Conseil européen, elle s'applique à de nombreuses PME, voire certaines petites entreprises "essentielles" ou "importantes"
La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, abrogeant la directive (UE) 2016/1148 a été adoptée par le Conseil européen le 28 novembre dernier.
Elle sera publiée au Journal officiel de l'Union européenne dans les prochains jours. Les États membres disposeront de 21 mois à compter de l'entrée en vigueur de la directive pour transposer les dispositions dans leur droit national.
Une architecture réglementaire de la cybersécurité complète
La nouvelle directive a été alignée sur la législation sectorielle, notamment le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et la directive sur la résilience des entités critiques (CER), afin d'apporter de la clarté juridique et d'assurer la cohérence entre NIS2 et ces actes qui ont été votés par le Parlement européen.
La nouvelle directive NIS2 introduit une règle de taille maximale comme règle générale pour l'identification des entités réglementées et non plus au choix des pays.
En effet, les Etats membres étaient responsables des critères et de la qualification des entités considérées comme d'importance vitale.
Les secteurs concernés sont désormais plus nombreux. Ce sont les suivant :
Banque et marché financier, Energie, les transports (eau, route...), santé, eau potable, eaux usées, infrastructure numérique, gestion des services gérés, structures publiques hors justice, parlement et banques centrales, espace, poste et messagerie, gestion des déchets, fabrication et distribution de produits chimiques, production alimentaire, fabrication (dispositif médiaux in vitro, informatique, produits optiques, véhicules...), fournisseurs numériques (place de marché, moteurs de recherches, réseaux sociaux...), et recherche .
Les PME sont concernées, ainsi que certaines petites entreprises "essentielles" ou "importantes"
Désormais, toutes les moyennes et grandes entités opérant dans les secteurs ou fournissant des services couverts par la directive relèvent du champ d'application.
Certaines petites entreprises selon des critères spécifiques et leur nature dans l'économie, secteurs ou services aux particuliers, seront soumises. Elles peuvent être considérées comme le prévoit la Directive comme "essentielles" ou "importantes". L'application devra être proportionnée. Les Etats devront établir une liste des entités essentielles ou importantes.
Les Etats devront également mener une stratégie nationale de cybersécurité envers les PME et une politique de promotion de la cyberprotection.
Les collectivités sont également soumises
NIS2 s'applique également aux administrations publiques et collectivités territoriales aux niveaux central et régional. En outre, les États membres peuvent décider qu'elle s'applique également à ces entités au niveau local.
Le texte précise également que la directive ne s'applique pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique ou droit d'exécution de service de confiance. La justice, les instituions parlementaires et les banques centrales sont également exclus du champ d'application.
Le texte comprend des dispositions pour assurer un niveau plus élevé de gestion des risques et définir des critères de criticité clairs pour permettre aux autorités nationales de déterminer d'autres entités couvertes.
En outre, un mécanisme volontaire d'apprentissage entre pairs renforcera la confiance mutuelle et l'apprentissage des bonnes pratiques et des expériences dans l'Union, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité.
La nouvelle législation rationalise également les obligations de déclaration afin d'éviter de provoquer une surdéclaration et de créer une charge excessive pour les entités couvertes.
Patrice Remeur pour Prorisk cyber