L’objet de cette nouvelle directive est de renforcer la sécurité du marché européen, en harmonisant les obligations de sécurité numérique et les processus de sanctions dans l’ensemble de l’Union Européenne. La directive entrera en vigueur au deuxième semestre 2024 et s’appliquera à l’échelle française à 600 types d’entités différentes allant des PME aux groupes du CAC 40 d’après l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).
En pratique, la directive s'appliquera aux entreprises de plus de 50 salariés ou réalisant un chiffre d’affaires ou un bilan de plus de 10 millions d’euros dans certains secteurs considérés comme stratégiques, vitaux ou essentiels. En tant que directive, elle doit être transposée en droit national par chaque état membre, comme le stipule l’article 288 du Traité sur le Fonctionnement de l’Union Européenne (TFUE).
La directive prévoit plusieurs obligations à la charge des Entités Essentielles (EE) et des Entités Importantes (EI). Les EE correspondent, au choix, aux entreprises qui comptent au moins 250 employés, qui réalisent un chiffre d'affaires au moins équivalent à 50 millions d'euros ou un bilan annuel supérieur ou égal à 43 millions d'euros. Il s'agit par exemple des prestataires de service de confiance, des fournisseurs de réseaux publics de communication ou encore des opérateurs de services essentiels. Quant à elles, les EI correspondent à toutes les autres entités de taille moyenne réalisant des activités relevant de secteurs hautement critiques listés dans les annexes 1 et 2 de la directive. Pour plus d'informations sur le périmètre d'application, rendez-vous sur la page dédiée du site de l'ANSSI.
Désormais, ces deux types d'entités devront en outre déclarer la survenance d'incidents majeurs auprès de l'agence et respecter plusieurs obligations en matière de mesures de sécurité, que l'on retrouve principalement dans certaines normes et standards en matière de cybersécurité, comme l'ISO27001. Parmi ces obligations, les entités devront par exemple utiliser des solutions d'authentification à plusieurs facteurs (MFA) ou encore élaborer des politiques et procédures relatives à l'utilisation de la cryptographie, à la gestion et à l'analyse des risques ou encore relatives à la sécurité des systèmes d'information. Les processus ne seront pas non plus épargnés, au regard notamment des obligations en matière de continuité d'activité impliquant par exemple l'élaboration de plans de continuité et reprise d'activité (PCA/PRA) ou bien des obligations en matière de sécurité des ressources humaines ou de contrôle d'accès
Dès 2023, l’ANSSI conseillait à chaque entité de se préparer sans attendre la transposition du texte dans le droit national, qui fixe l’ensemble des obligations spécifiques à ces deux types d'entités. Si certaines exigences seront soumises à un délai de conformité, d'autres exigences seront en outre directement applicables. Pour les PME qui intègreront le périmètre, le guide publié par l’ANSSI « La Cybersécurité pour les TPE/PME en 13 questions » constitue une base solide de mesures concrètes et pérennes.
Surtout, avec l'entrée en vigueur de la directive NIS2, le rôle de l'agence française de cybersécurité sera considérablement renforcé : désormais, le non-respect des obligations prévues par la directive pourra donner lieu au prononcé d’importantes sanctions financières, sur le modèle de celles encourues pour non-respect du RGPD et prononcées par la CNIL.
Avec NIS2, les EE pourront être sanctionnées d' une amende de 10 millions d’euros ou équivalentes a 2% du CA mondial total et, pour les EI, le non-respect des obligations précitées pourra être sanctionné cette fois d'une amende de 7 millions d’euros ou équivalente a 1,4% du CA mondial total. En complément de cette responsabilité administrative, la directive laisse une marge de manoeuvre aux États membres qui pourront, également, prendre des sanctions d’ordre pénal et, de fait, engager directement la responsabilité des dirigeants des entités concernées.