NIS 2

Il y a presque un an, la Commission Européenne proposait une nouvelle directive destinée à abroger la directive (UE) 2016/1148, plus communément appelée directive NISi (ou SRI).  

Cette directive poursuit l’objectif d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne, et a instauré des notions comme les opérateurs de services essentiels (OSE) comparables aux OIV de la LPM, et sur lesquels pèsent certaines exigences en matière de sécurité.  

La Commission établit le constat suivant : Au vu des menaces croissantes et des retours concernant la qualité : La directive NIS est perfectible.  

Le contexte sanitaire a été l’un des déclencheurs pour établir ce bilan : Les menaces cyber sont toujours plus nombreuses et l’utilisation d’outils numériques se généralise.  

En considération des analyses réalisées et confortée par la possibilité d’un d’effet domino transfrontalier en cas d’incident, la Commission décide de choisir le scénario le plus radical : Proposer une nouvelle directive.  

 Les promesses majeures de la lois NIS 2ii :  

 Un complémentarité dans les outils proposés par la Commission : Cette complémentarité devrait venir soutenir une véritable stratégie européenne. Les outils de la loi NIS 2 devraient contribuer à l’efficience de la protection des données et de la vie privée au niveau européen (conformément au RGPD). Afin d’améliorer la cohérence et la concordance entre la directive sur les ICE et la directive NIS, la Commission propose, le même jour, une seconde directive relative à la résilience des entités critiquesiii. Sans oublier les projets de règlements DSA et DMA, proposés la veille, et qui participent à cette stratégie.  

 

• Assurer la coopération européenne : Les transpositions et applications hétérogènes de la directive NIS par les états membres ont donné lieu à une cyber-résilience fragile et non-harmonisée au niveau européen. En plus du réseau des CSIRT préexistant, L’article 14 de la directive prévoit donc la création du réseau européen Cyber Crisis Liaison Organisation Network (UE-CyCLONe), qui devrait permettre une gestion coordonnée des incidents et assurer un dialogue continu entre les pays de l’UE.

 

• S’adapter aux besoins : Il s’agit non seulement de répondre à un contexte particulièrement sensible, mais également de formuler une réponse adaptée à des états dont les ressources et le niveau de cyber-résilience sont très différents. Pour cela, le champ d’application de la directive a été élargi afin d’englober l’ensemble des secteurs concernés au sein de l’union. L’ancien article 10, complété par une annexe pour la première directive a donc été remplacés par deux annexes plus détaillées, afin de guider les états pour leur désignation des OSE. En rééquilibrant les charges pesant sur les différentes entités, la directive SRI 2 devrait également entrainer une réduction des coûts. A noter : La directive ne s’applique pas aux entités qui peuvent être qualifiées de microentreprises et de petites entreprises au sens de la recommandation 2003/361/CE de la Commission.

 

Si les efforts de la Commission sont rejoints par les états membres lors de la transposition, alors la coopération européenne pourrait bien être un outil précieux de défense. Par ailleurs, d’après la proposition, La Commission sera tenue à un réexamen de la directive dans les cinq ans après la date d’entrée en vigueur, et de rendre compte de ses principales conclusions au Parlement européen et au Conseil. Il sera alors intéressant de voir si le déploiement de cette stratégie européenne a prouvé son effectivité.  

PROBE IT Prestataire terrain France relance

 

#NIS2 #NIS #directiveNIS #directiveNIS2 #OSE #OIV #europe #data #securité #resilience #cyberresilience #rgpd #commissioneuropeenne #SRI #SRI2 #CSIRT #UECyCLONe #numerique #donnees #strategieeuropenne