Alors que les cybermenaces continuent de croître et que les systèmes d’information demeurent vulnérables, la directive NIS 2 (Network and Information Security) a été publiée au Journal officiel de l’Union Européenne le 14 décembre 2022. Elle doit être transposée en France d’ici octobre 2024. Toutefois, à date, et avec la dissolution de l’Assemblée Nationale, le projet de loi de transposition « Résilience » n’a pas encore été débattu.

Après l’adoption de NIS 1, ayant permis un premier changement de paradigme en matière de cybersécurité européenne (I), la NIS 2 marque une nouvelle avancée cruciale pour renforcer la résistance de toute sorte d’entité publique (hôpitaux, grandes et petites communes, …) face aux cyberattaques de plus en plus nombreuses. En réponse à ces risques, la directive étend largement le périmètre des acteurs concernés (II) et renforce les obligations auxquelles ces-derniers doivent répondre (III).

I – Le changement de paradigme introduit par NIS 1

Adoptée par le Parlement européen en juillet 2016, et transposée au niveau national en septembre 2018, la directive NIS 1 a pour objectif d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Pour cela, la directive prévoit le renforcement des capacités nationales de cybersécurité des États-membres ainsi que la mise en place d’une coopération européenne. Analysons les acteurs qui sont concernés par la directive NIS 1 (A) et les obligations qui leur incombent (B).

A. Les acteurs concernés

Cette règlementation s’adresse, d’une part, à tout opérateur désigné comme Opérateur de service essentiel (OSE). De façon générale, les OSE renvoient aux « opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services »[1] (loi de transposition du 26 février 2018, article 5, alinéa 1[2]). Sont dès lors visés les secteurs de l’énergie, du transport, de la santé, des infrastructures numériques, des banques et infrastructures des marchés financiers, mais également les infrastructures numériques et les fournisseurs et distributeurs d’eau potable.

D’autre part, la directive NIS 1 s’applique à certains Fournisseurs de Service Numérique (FSN), à savoir les places de marché en ligne, les moteurs de recherche en ligne, et les services d’informatique en nuage, permettant l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées[3]. Dès lors qu’un FSN remplit l’une des conditions qui suit, il est concerné par la directive :

• Chiffre d’employés supérieur ou égal à 50 personnes ;
• Chiffre d’affaires annuel supérieur à 10 millions d’euros.

Seuls ces deux types d’acteurs sont dès lors concernés :  les OSE et les FSN.

B. Les principales obligations instaurées par NIS 1

Dès lors qu’un OSE a été désigné, il a l’obligation d’identifier un représentant auprès de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), et d’identifier précisément son ou ses système(s) d’information essentiel(s). S’agissant de la sécurité des systèmes, plus globalement, les OSE et les FSN ont l’obligation de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour :

• Gérer les risques qui menaçaient la sécurité des réseaux et des systèmes d’information qu’ils utilisaient ;
• Prévenir les incidents qui compromettaient la sécurité des réseaux et des systèmes d’information employés.

Les OSE et les FSN doivent également notifier à l’autorité compétente ou au CSIRT (Computer Security Incident Response Team)[4] les incidents qui avaient un impact significatif sur les services qu’ils fournissaient ou assuraient.

II – L’élargissement du champ d’application des entités soumises à la réglementation

La directive NIS 2 vise de nouveaux secteurs d’activités, et, partant, de nouveaux acteurs (A), dont notamment les collectivités territoriales (B).

A. Le champ d’application élargi de NIS 2

1. De nouveaux secteurs d’activités concernés

Face à la diversité croissante et à l’évolution constante des risques dans l’écosystème numérique, la directive NIS 2 a considérablement élargi son champ d’application. Ce sont désormais dix-huit secteurs qui sont concernés. Parmi les nouveaux secteurs inclus se trouvent les services postaux et de livraison, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire, l’espace, ainsi que l’administration[5].

2. De nouvelles catégories d’acteurs visées

Avec la directive NIS 1, tel que cela a été vu précédemment, les États membres sont tenus de désigner des Opérateurs de Services Essentiels (OSE) qui doivent déclarer leurs systèmes d’information auprès des agences gouvernementales compétentes dans les 3 mois à compter de la date de désignation.

La directive NIS 2 simplifie cette approche en supprimant la nécessité de telles déclarations spécifiques. Désormais, les OSE et les FSN sont remplacés par deux nouvelles catégories d’acteurs : les entités essentielles (EE) et les entités importantes (EI). Selon l’article 3 de la directive, sont considérées comme des entités essentielles :

• Les entités dont le secteur d’activité est considéré comme étant hautement critique (énergie, secteur bancaire, infrastructures des marchés financiers,[6] …), dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros et qui comprennent moins de 250 salariés ;
• Les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les fournisseurs de services Domain Name System (DNS) ;
• Les fournisseurs de réseaux publics de communications électroniques publics ;
• Les administrations publiques des pouvoirs publics centraux et, au niveau régional, les administrations publiques fournissant des services dont la perturbation pourrait avoir un impact important sur des activités sociales ou économiques critiques ;
• Et toute autre entité identifiée par un Etat membre comme entité essentielle.

Notons que les entités appartenant à l’un des secteurs visés par NIS 2 et ne constituant pas des entités essentielles sont alors considérées comme des entités importantes. Partant, il suffit qu’une entité appartienne à l’un des secteurs visés par NIS 2 pour être soumise à cette nouvelle directive, sans qu’il soit forcément nécessaire qu’elle réponde à des critères de taille ou de chiffre d’affaires, contrairement à ce que prévoyait la directive NIS 1. Plus spécifiquement, en ce qui concerne les collectivités territoriales, il semblerait que la qualification d’entité essentielle ou importante dépendra de critères spécifiques tels que, par exemple, le nombre d’habitants, les compétences et les services publics effectivement mis en place par ladite collectivité[7].

B. Focus sur les collectivités territoriales, nouveaux acteurs concernés par NIS 2

1. Les collectivités territoriales dans le viseur des cyberattaquantes

Depuis plusieurs années, toutes les collectivités territoriales, même les plus petites communes, sont touchées par les cyberattaques. De janvier 2022 à juin 2023, l’ANSSI a traité 187 incidents cyber affectant les collectivités territoriales, soit une moyenne de dix incidents par mois[8]. A noter que ces incidents représentent 17 % de l’ensemble des incidents traités par l’ANSSI sur cette période. Notons que les collectivités territoriales, souvent peu ou mal sécurisées, gérant des systèmes d’information nombreux et disparates, constituent des cibles privilégiées pour les cyberattaquants. Or, les conséquences d’une cyberattaque pour les collectivités territoriales peuvent être dramatiques : arrêt des services publics, atteinte à la réputation, blocage de fonctionnement, effets collatéraux sur les autres collectivités dont les systèmes d’informations sont interconnectés, …

Dès lors, il est essentiel que les collectivités territoriales bénéficient d’une protection renforcée. Des mesures spécifiques doivent être mises en œuvre pour améliorer la sécurité de leurs systèmes d’information et protéger les données sensibles qu’elles détiennent.

2. La régulation des collectivités territoriales laissée à la charge des États membres

L’article 5.2 de la directive NIS 2 prévoit que « les États membres peuvent prévoir que la présente directive s’applique aux entités de l’administration publique au niveau local ». Dès lors, dans un communiqué daté du 11 mars 2024, France Urgence, Intercommunalités de France et Les Interconnectés ont appelé à une transposition intelligente de la directive NIS 2.

Ces trois associations souhaitent que les principes d’adaptabilité, de progressivité et de soutien financier guident la mise en œuvre de la directive. Selon elles « il est impératif d’adopter une approche réaliste, en organisant la mise en conformité étape par étape, de manière claire et progressive dans le temps, ainsi qu’en mettant en place un accompagnement technique et financier spécifique, en particulier pour les communautés de communes et d’agglomérations. »

Stéphane Bouillon, Secrétaire général de la Défense et de la Sécurité nationale, affirme lors d’une intervention à l’Assemblée Nationale le 6 mars 2024 : « nous ne saurions imposer aux petites communes ou aux communautés de communes de moins de 30 000 habitants des exigences inadaptées ; elles seront classées comme entités importantes et devront simplement veiller à des actions «  d’hygiène ″ de base » en matière de cybersécurité. A titre d’exemple, il ajoute qu’il sera possible de leur demander de modifier régulièrement leurs mots de passe lors de l’achat de nouveaux logiciels, de s’assurer qu’ils ont été certifiés et vérifiés, de disposer de sauvegardes débranchées du réseau informatique, …

À ce jour, il est trop tôt pour détailler davantage ce qui pourrait éventuellement être exigé de chaque collectivité territoriale. Ce d’autant plus que, depuis la dissolution de l’Assemblée nationale, la transposition de la directive est actuellement en suspens. En effet, son examen prévu en juin a été reporté à une date ultérieure.

III – Le renforcement des obligations imposées aux multiples acteurs

Des obligations renforcées (A) sont mises à la charge des entités concernées par NIS 2, et ce, conformément au nouveau mécanisme de proportionnalité (B).

A. Les principales obligations

Les EI et les EE doivent répondre, d’une part, à une obligation de gestion des risques, et d’autre part, à une obligation d’information.

En premier lieu, les entités concernées doivent prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information. Les mesures à prendre sont fondées sur une approche « tous risques », et comprennent a minima la définition de politiques de sécurité des systèmes d’information, la mise en place de procédures de gestion des incidents, l’utilisation de mécanismes de chiffrement des données, l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, etc.

En second lieu, les entités subissant un incident important doivent répondre à une obligation d’information et de notification. En cas d’incident important[9], l’entité concernée doit le notifier, tout comme l’imposait la Directive NIS 1, au CSIRT territorialement compétent. Par ailleurs, elle est tenue d’informer, sans retard, injustifié les destinataires de ses services si l’incident est susceptible de nuire à la fourniture desdits services[10].

Enfin, notons que l’article 20 de NIS 2 prévoit que les organes de direction des EE et des EI doivent approuver les mesures de gestion des risques adoptées en matière de cybersécurité et superviser leur mise en œuvre. Les membres de ces organes de direction doivent, en outre, suivre une formation sur la gestion des risques en matière de cybersécurité et encourager les EE et les EI à offrir régulièrement une formation similaire aux membres de leur personnel.

B. L’introduction du principe de proportionnalité

La directive NIS 2 introduit une avancée significative avec l’intégration d’un mécanisme de proportionnalité, qui distingue les entités régulées en deux catégories en fonction de leur niveau de criticité, à savoir les EE et les EI. Ce principe de proportionnalité a vocation à établir des exigences adaptées et proportionnées aux enjeux spécifiques de chaque catégorie d’entités. Cette notion de proportionnalité se manifeste dans plusieurs aspects clés :

• Les mesures de sécurité: les exigences peuvent varier entre les EE et les EI, tenant compte des ressources disponibles et des enjeux propres à chaque entité, en fonction de sa taille et de ses moyens[11] ;
• Régulation: la régulation des EE est exercée de manière ex ante, permettant un contrôle préalable à la discrétion de l’ANSSI[12]. En revanche, pour les EI, la régulation est ex post, se manifestant principalement en cas de détection d’une non-conformité ;[13]
• Les sanctions: les sanctions infligées sont ajustées en fonction de la taille et des moyens de l’entité, afin de garantir que les mesures punitives sont proportionnelles à l’envergure de l’infraction et aux capacités de l’entité concernée[14].

Ce principe de proportionnalité vise ainsi à assurer une régulation et une supervision adaptées, équilibrant rigueur et réalisme en fonction des spécificités de chaque entité.

En conclusion, en élargissant son champ d’application et en imposant des exigences renforcées, la directive NIS 2 vise à offrir une protection accrue contre les cybermenaces croissantes. Cette évolution assure, d’une part, une meilleure résistance des entités vulnérables, et notamment des collectivités territoriales, face aux cyberattaques, et, d’autre part, une défense harmonisée et cohérente à l’échelle nationale comme européenne.

Alexandra Aderno, David Conerardy et Inès Marcenat

 

[1] LOI n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1)

[2] Ibidem

[3] Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

[4] Les CSIRT sont des centres d’alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations.

[5] L’article 2. 5. a) de la directive utilise le terme d’administration publique.

[6] Annexe I NIS 2

[7] Compte rendu de réunion n° 46 – Commission de la défense nationale et des forces armées, mars 2024

[8] Synthèse de la menace ciblant les collectivités territoriales, 23 octobre 2023, ANSSI

[9] L’article 23 de la directive NIS 2 définit un incident important est caractérisé par le fait que l’incident litigieux a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée et a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

[10] Article 23 NIS 2

[11] Article 21 NIS 2

[12] Article 32 NIS

[13] Article 33 NIS 2

[14] Article 36 NIS 2 et points130 et suivant du préambule de NIS 2