2. Qu’est-ce que la NIS2 ?
L’Union européenne (UE) a observé que l’ampleur, la fréquence et les conséquences des incidents de sécurité ne cessent de croître, ces incidents représentant une menace majeure pour le bon fonctionnement des réseaux et des systèmes d’information. Ces systèmes peuvent aussi devenir des cibles pour des actions intentionnelles malveillantes qui visent la détérioration ou l’interruption de leur fonctionnement. Cette évolution a conduit à une expansion du paysage des cybermenaces et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres.
Avec le Cyber Resilience Act (CRA) [4], la NIS2 fait partie de la réponse que l’UE a développée et qui constitue le socle réglementaire pour des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’UE.
« NIS2 » [5] est l’acronyme désignant la « Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) ». [6]
La directive NIS2 [7] remplace la « Directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union » (NIS1).
La directive NIS2 ne détermine pas des règles de cybersécurité applicables à toutes les organisations actives dans un domaine particulier. Elle fixe des mesures minimales communes de gestion des risques en matière de cybersécurité et de notification des incidents importants (ou des cybermenaces importantes) à toutes les entités essentielles et importantes.
La directive NIS2 fixe, d’une part, des obligations en ce qui concerne les politiques nationales en matière de cybersécurité et, d’autre part, impose pour certaines entités des exigences en matière de gestion des risques de cybersécurité et de notification des incidents.
En ce qui concerne les politiques nationales, il s’agit notamment de la stratégie nationale en matière de cybersécurité, des cadres nationaux de gestion des crises cyber, des tâches des autorités compétentes et de la coopération nationale.
[4] Voir notre article « Appareils connectés et cybersécurité : l’UE passe à l’Act ! », dans : Fire & Security Alert Magazine n° 31, juin 2023, pp. 29-32.
[5] Nous utiliserons de préférence l’abréviation « NIS2 » au lieu de « SRI 2 », la première étant déjà en usage auprès de nos instances fédérales et reconnue internationalement.
[6] Texte disponible sur Eur-Lex : https:// eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022L2555
[7] Déjà brièvement présentée dans notre article « Des règles européennes plus strictes », dans Fire & Security Alert Magazine n° 30, mars 2023, p. 31.