Droit des données
le 31/08/2023
Alexandra ADERNOAlexandra ADERNO

Directive NIS 2 : une augmentation, pérennisation du niveau commun de cybersécurité au sein de l’Union Européenne

Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022

Dans la continuité de la directive NIS 1, le Parlement Européen a décidé, par une directive du 14 décembre 2022 (UE) n° 2022/2055 dite « NIS 2 », de mettre en place des mesures de renforcement et d’harmonisation de la cybersécurité du marché européen. Cette directive contribue à faire face à l’évolution rapide et complexe des cybermenaces dont le marché européen est de plus en plus la cible.

Pour rappel, la directive Network and Information Security, adoptée en juillet 2016 et transposée en droit français en 2018, avait pour but la mise en œuvre de mesures de sécurité visant à réduire l’exposition et la vulnérabilité des systèmes face aux cyberattaques mais cette dernière concernait uniquement les secteurs des grands acteurs économiques du marché intérieur de l’UE : tel que les secteurs de la finance, du transport, de la santé, de l’énergie et des réseaux d’eau.

Cette nouvelle directive instaure une extension du périmètre des entités régulées à l’échelle européenne. Ces nouvelles entités comprennent notamment la poste, le spatial, les administrations publiques ou l’industrie pharmaceutique, elle intègre également une typologie de ces dernières (essentielles et importantes) et, enfin, prévoit des obligations plus précises qui s’impose aux entités régulées.

Plus précisément, cette directive contribue à mobiliser le tissu économique du secteur public et encourage la coopération interétatique au sein de l’Union Européenne en matière de gestion de la cybercriminalité. Enfin, l’une des avancées principales de la directive est son application « aux entités publiques et privés qui constituent des entreprises moyennes et qui fournissent leurs services ou exercent leur activité au sein de l’Union ».

La directive prévoit des sanctions administratives, notamment des amendes pouvant atteindre 10 millions d’euros ou se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité.

Concernant l’application au niveau étatique, l’échéance de transposition est fixée au 17 octobre 2024 et cette directive entrera en vigueur en France au deuxième semestre 2024.