À l’heure du développement exponentiel des technologies de l’information, les cybermenaces frappent de manière progressive et sans distinction, compromettant la sécurité des utilisateurs. Les systèmes d’information sont devenus une cible pour les pirates informatiques en raison de la dépendance des sociétés à leur égard. Pour y faire face, le Parlement européen a voté en 2022 la directive NIS 2. Voici ces apports théoriques majeurs et les changements concrets qu’entraîne sa mise en œuvre.

En 2022, 45 % des entreprises françaises ont déclaré avoir été victimes de cyberattaques, soit près d’une entreprise sur deux. Face à ce constat, la France crée un arsenal législatif pour tenter d’atténuer ces risques, tant sur le terrain de la prévention que de leur remédiation (Cyber-Assurances, CyberScore, etc.).

En parallèle, une stratégie de lutte contre les cybermenaces est mise en place, notamment via l’Agence nationale de la Sécurité des Systèmes d’Information (Anssi) et les brigades spécialisées de la police et de la gendarmerie.

Au niveau de l’Union européenne, a été adoptée en 2016 la directive sur la sécurité des réseaux et des systèmes d’information (SRI), mieux connue sous son acronyme anglais NIS (Network and Information Security), avec pour objectif de créer des obligations pour les entreprises, ainsi qu’une coopération européenne en matière de cybersécurité.

Son réexamen, prévu dans la directive NIS 1 et effectué à la lumière de l’évolution des cybermenaces, a abouti à deux constats : d’une part, son champ d’application est trop restreint, puisqu’elle s’applique à seulement 15 000 opérateurs européens, et, d’autre part, des lacunes, inhérentes à ses divergences d’application dans les différents États membres, subsistent tant sur la mise en œuvre des obligations que sur leur supervision et leur exécution.

C’est dans ce cadre qu’a été votée le 10 novembre 2022 par le Parlement européen la directive NIS 2, publiée au Journal officiel de l’Union européenne le 27 décembre 2022.

Les apports théoriques majeurs de NIS 2

Extension du champ d’application

NIS 1 laissait les États responsables de la désignation des entités dites « opérateurs essentiels » soumises à ses obligations renforçant la sécurité des systèmes d’information. Désormais, les entités assujetties à NIS 2 seront multipliées par dix, puisque onze nouveaux secteurs (publics et privés) entrent directement dans son périmètre.

Ils s’étendent aux administrations publiques, aux services postaux, à la gestion des déchets, aux services des eaux usées, aux transports, aux secteurs bancaire et de la santé ou encore aux infrastructures des marchés financiers et numériques.Dans certains cas (entité ayant un impact sur la sécurité/santé publique p….