Les nouvelles directives européennes NIS 2 et CER visent à atteindre un niveau commun élevé de cybersécurité dans l’UE et à assurer la continuité des services essentiels. Le temps presse : d’ici le 17 octobre 2024, les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la directive NIS 2. Ces mesures doivent être appliquées dès le lendemain, le 18 octobre 2024.
Malgré la valeur du marché du secteur de la cybersécurité estimée à plus de 130 milliards d’euros et un taux de croissance annuel de 17 %, l’Europe reste « cybervulnérable ». Des rapports, dont celui de Waterfall Securities, font état d’une augmentation spectaculaire des cyberattaques, prévoyant que jusqu’à 15 000 entreprises pourraient être touchées au cours des cinq prochaines années.
Le défi ne concerne pas seulement la vulnérabilité, mais aussi l’impact économique. Le coût annuel de la cybercriminalité a été estimé à 5 500 milliards d’euros d’ici à la fin de l’année 2020, 60 % de ces crimes étant motivés uniquement par le profit économique. D’ici à 2025, on estime que 41 milliards d’appareils seront connectés à l’internet des objets, ce qui nécessitera un cyberespace ouvert et sécurisé favorisant une plus grande confiance entre les citoyens du monde.
En outre, les conflits militaires, comme la situation actuelle en Ukraine, ont galvanisé les hacktivistes, les cybercriminels et d’autres groupes de l’ombre ayant des intérêts soutenus par l’État. Avant d’envahir l’Ukraine, la Russie avait lancé des campagnes de désinformation et de mésinformation pour influencer l’opinion publique. En juin 2022, la Russie avait désactivé 15 % de l’infrastructure Internet de l’Ukraine, selon l’évaluation du Conseil européen.
Absence de réponse commune
Malgré la persistance des menaces, le sentiment qui prévaut est que l’UE n’a pas encore mis en œuvre une réponse commune efficace en matière de cybersécurité. La Commission européenne a mis le doigt sur plusieurs problèmes, notamment l’insuffisance de la cyber-résilience des entreprises au sein de l’UE et la perception variable des menaces par les États membres, ce qui conduit à une réponse décousue et non coordonnée.
Les directives NIS 2 et CER sont conçues pour améliorer la sécurité physique et cybernétique dans l’UE, afin de renforcer la résilience des entités critiques. Ces deux directives étroitement liées devraient avoir un impact significatif, en introduisant des mesures de supervision et de conformité plus strictes. Elles mettent l’accent sur une meilleure coordination dans la gestion des incidents et des crises de sécurité, améliorent le protocole de notification des vulnérabilités et établissent un cadre de sanctions plus rigoureux.
NIS 2, un nouvel horizon pour la cybersécurité européenne
La directive NIS 2, qui signifie Network and Information Security 2 (sécurité des réseaux et de l’information), vise à renforcer les exigences en matière de sécurité au sein de diverses entités. Elle impose des mesures visant à sécuriser les chaînes d’approvisionnement et les relations avec les fournisseurs, et normalise les processus de notification et de partage des informations sur les incidents. En outre, elle introduit le réseau européen de soutien en cas de crise (EU-CYCLONe).
La directive met à jour les règlements précédents sur la sécurité des réseaux et des systèmes d’information, en éliminant la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Elle introduit une nouvelle classification des entités « stratégiques » en deux groupes – les entités essentielles et les entités importantes – en fonction de l’importance de leur secteur et de leur type de service, chaque catégorie étant soumise à des régimes de surveillance distincts.
Dans le cadre de la NIS 2, les secteurs stratégiques sont classés en « secteurs hautement critiques » et « autres secteurs critiques » :
Les secteurs à « haute criticité » sont les suivants :
- énergie (électricité, chauffage et refroidissement urbains, pétrole, gaz et hydrogène)
- les transports (aériens, ferroviaires, fluviaux et routiers)
- le secteur bancaire
- les infrastructures des marchés financiers
- la santé, y compris la fabrication de produits pharmaceutiques et de vaccins
- l’eau potable et les eaux usées
- les infrastructures numériques (points d’échange internet ; fournisseurs de services DNS ; enregistrements de noms de domaines de premier niveau…)
- la gestion des services TIC (fournisseurs de services gérés et fournisseurs de services de sécurité gérés)
- l’administration publique
- l’espace
Voici la liste des « autres secteurs critiques » :
- services postaux et de messagerie
- gestion des déchets
- produits chimiques
- l’alimentation
- fabrication d’appareils médicaux
- ordinateurs et électronique
- les machines et équipements
- véhicules à moteur, remorques et semi-remorques et autres équipements de transport
- les fournisseurs numériques (places de marché en ligne, moteurs de recherche en ligne et plateformes de services de médias sociaux)
- les organismes de recherche.
–
Les entités essentielles, telles que définies par les États membres de l’UE, comprennent celles des secteurs « hautement critiques », ainsi que les fournisseurs de services de confiance qualifiés, les registres de noms de domaine, les fournisseurs de services DNS, les fournisseurs de réseaux publics de communications électroniques et les entités de l’administration publique.
En outre, toute entité des « autres secteurs critiques » identifiée comme essentielle par un État membre lors de la transposition de la directive dans la législation nationale est incluse.
Inversement, les « entités importantes » englobent les entités des secteurs « hautement critiques » et « autres secteurs critiques » qui ne sont pas désignées comme essentielles.
La directive CER, protection des services essentiels en Europe
La directive CER remplace la directive européenne de 2008 sur les infrastructures critiques et vise à renforcer et à harmoniser les stratégies et les plans de résilience des États membres et des organisations. Elle impose la mise en œuvre de mesures spécifiques pour garantir la fourniture sans entrave des services essentiels au maintien des fonctions sociales et des activités économiques vitales de chaque territoire.
En conséquence, la directive garantit que les entités critiques sont équipées pour prévenir, résister, absorber et récupérer d’une variété d’incidents perturbateurs, y compris les risques naturels, les accidents, le terrorisme, les menaces d’initiés et les urgences sanitaires.
La directive CER concerne les entités de 11 secteurs hautement stratégiques, dont l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique, l’espace et l’alimentation.
En quoi consisteront les stratégies de résilience ? Elles devraient comprendre:
- des objectifs et des priorités stratégiques
- un cadre de gouvernance pour atteindre ces objectifs
- une description des mesures nécessaires pour améliorer la résilience globale des entités critiques
- une liste des principales autorités et parties prenantes impliquées dans la mise en œuvre de la stratégie choisie.
–
La principale distinction entre la NIS 2 et la directive CER réside dans leur champ d’application : alors que la NIS 2 se concentre spécifiquement sur la cybersécurité, la directive CER reconnaît que les perturbations importantes affectent également les infrastructures physiques telles que les installations, les routes, les chemins de fer et les systèmes de production d’électricité, qui sont essentiels pour fournir des services de base à la population.
L’impact des directives NIS2 et CER sur les entreprises de l’UE
Les directives NIS2 et CER sont sur le point d’établir un cadre critique pour la cybersécurité et la sécurité physique dans l’Union européenne. Ces règles visent à améliorer la gestion des incidents et des crises de sécurité à grande échelle, y compris les catastrophes naturelles, les attaques terroristes, les menaces internes et le sabotage.
Les nouveaux règlements étendent leur champ d’application aux petites et moyennes organisations (PME). Les États membres ont la possibilité d’appliquer ces règles à des entités plus petites qui, malgré leur taille, présentent des vulnérabilités évidentes ou font partie intégrante de chaînes d’approvisionnement critiques.
Bien qu’elles visent principalement les grandes entreprises stratégiques, les directives imposent également de nouvelles exigences en matière de cybersécurité aux PME qui font partie des chaînes d’approvisionnement des secteurs critiques. En outre, les fournisseurs de services numériques, y compris les plateformes en ligne et les sites de commerce électronique, doivent également adhérer aux dispositions spécifiques des directives.
Les évaluations des risques doivent devenir plus rigoureuses et plus efficaces, afin de garantir la continuité des services. Les entités critiques sont tenues de notifier les incidents importants à la fois à une équipe ou autorité d’intervention désignée et à leurs destinataires de services. Elles doivent émettre des alertes rapides dans les 24 heures, un rapport de suivi dans les 72 heures et un rapport final complet dans les 30 jours.
En vertu de la directive RCE, les autorités sont chargées d’évaluer les risques d’origine naturelle et humaine pour les services essentiels. Cela inclut les risques découlant des interdépendances entre les secteurs, ce qui est particulièrement important pour les groupes transfrontaliers ayant des filiales à l’intérieur et à l’extérieur de l’UE, et qui ont une incidence sur la gestion de la chaîne d’approvisionnement.
Les mesures obligatoires consistent à assurer la protection physique des installations et des infrastructures critiques (clôtures, barrières, outils, etc.), à réagir aux incidents et à en atténuer les effets, à gérer la sécurité des employés et à sensibiliser le personnel aux protocoles de sécurité.
Si un incident perturbe de manière significative la fourniture de services essentiels dans au moins six États membres, les autorités doivent en informer la Commission.
En outre, la direction de l’entreprise est responsable de la mise en œuvre de ces mesures et doit suivre régulièrement des formations sur la gestion des risques liés à la cybersécurité et à la sécurité physique.
Prochaines étapes et dates clés pour la transposition des deux directives
En ce qui concerne la directive NIS 2, les États membres sont tenus de notifier à la Commission européenne leurs régimes de sanctions applicables avant janvier 2025. En outre, d’ici avril 2025, ils doivent dresser et soumettre une liste des entités essentielles et importantes, y compris celles qui fournissent des services d’enregistrement de noms de domaine.
Des sanctions importantes ont été prévues en cas de non-respect : les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les grandes entités.
En vertu de la directive RCE, les États membres ont jusqu’au 17 janvier 2026 pour élaborer une stratégie globale de résilience, qui inclut les cadres d’évaluation des risques et tous les plans ou documents existants pertinents. Ils doivent identifier les entités concernées au plus tard le 17 juillet 2026.
Par la suite, et dans un délai d’un an, la Commission soumettra un rapport au Parlement européen et au Conseil, évaluant dans quelle mesure chaque État membre a mis en œuvre les mesures requises.