Directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI2) — FAQs

La directive SRI — la première législation de l’UE en matière de cybersécurité — est le premier instrument horizontal du marché intérieur visant à améliorer la résilience des réseaux et des systèmes d’information dans l’Union face aux risques en matière de cybersécurité. En dépit de ses réalisations notables, la directive SRI a montré certaines limites. La transformation numérique de la société, intensifiée par la crise de la COVID-19, a élargi le paysage des menaces. De nouveaux défis sont apparus, qui nécessitent des réponses adaptées et innovantes.

Afin d’analyser l’impact et d’identifier les lacunes de la directive SRI, la Commission a mené une vaste consultation des parties prenantes. La Commission a identifié les principales questions suivantes:

• niveau insuffisant de cyber-résilience des entreprises opérant dans l’UE
• résilience incohérente entre les États membres et les secteurs
• mauvaise compréhension commune des principales menaces et défis entre les États membres
• absence de réponse conjointe à la crise.

En conséquence, et afin de répondre aux menaces croissantes dues à la numérisation et à l’interconnexion, la Commission a proposé en décembre 2020 un ensemble révisé de règles à l’épreuve du temps visant à renforcer le niveau de cyberrésilience dans l’Union, sur lequel les colégislateurs sont parvenus à un accord politique le 13 mai 2022 et ont formellement adopté la nouvelle directive à la fin du mois de novembre 2022.

Depuis la crise de la COVID-19, l’économie européenne est devenue plus dépendante que jamais des solutions numériques. Les secteurs et les services deviennent de plus en plus interconnectés et interdépendants. Il en est résulté un paysage croissant et en évolution rapide des menaces à la cybersécurité: toute perturbation, même limitée initialement à une entité ou à un secteur, peut avoir des effets en cascade plus larges, ce qui pourrait avoir des effets négatifs de grande portée et de longue durée sur la fourniture de services sur l’ensemble du marché intérieur.

La pandémie de COVID-19 a montré la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques inattendus. Il a intensifié les questions déjà émergentes dans la directive SRI actuelle et a servi de catalyseur à sa révision. Une modification concrète de la directive SRI compte tenu de cette crise a consisté à élargir le champ d’application de la nouvelle directive, en couvrant des éléments plus spécifiques dans le secteur de la santé, tels que les entités exerçant des activités de recherche et de développement dans le domaine des médicaments.

La directive SRI2 prévoit des mesures juridiques visant à renforcer le niveau global de cybersécurité dans l’UE, afin de contribuer au fonctionnement global du marché intérieur. Il s’appuie sur les trois principaux piliers qui ont servi de base à la directive SRI1:

1. S’appuyant sur la stratégie SRI1 sur la sécurité des réseaux et des systèmes d’information, afin d’atteindre un niveau élevé de préparation des États membres, la directive SRI2 impose aux États membres d’adopter une stratégie nationale de cybersécurité. Les États membres sont également tenus de désigner des équipes nationales de réaction aux incidents de sécurité informatique (CSIRT), responsables du traitement des risques et des incidents, d’une autorité nationale compétente en matière de cybersécurité et d’un point de contact unique (SPOC). Le SPOC doit exercer une fonction de liaison pour assurer la coopération transfrontalière entre les autorités des États membres et les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l’ENISA, ainsi que pour assurer la coopération intersectorielle avec les autres autorités compétentes de son État membre.
2. La directive SRI2 poursuit également le cadre SRI1 établissant le groupe de coopération SRI afin de soutenir et de faciliter la coopération stratégique et l’échange d’informations entre les États membres, ainsi que le réseau des CSIRT, qui favorise une coopération opérationnelle rapide et efficace entre les CSIRT nationaux.
3. La directive SRI1 garantit que les mesures de cybersécurité sont prises dans sept secteurs, qui sont essentiels pour notre économie et notre société et qui dépendent fortement des TIC, tels que l’énergie, les transports, les banques, les infrastructures des marchés financiers, l’eau potable, les soins de santé et les infrastructures numériques.

Les entitéspubliques et privées identifiées par les États membres en tant qu’opérateurs de services essentiels (OES) dans ces secteurs sont tenues de procéder à une évaluation des risques en matière de cybersécurité et de mettre en place des mesures de sécurité appropriées et proportionnées. Ils sont tenus de notifier les incidents graves aux autorités compétentes. En outre, les fournisseurs de services numériques clés (fournisseurs de services numériques ou DSP), tels que les moteurs de recherche, les services d’informatique en nuage et les places de marché en ligne, doivent également se conformer aux exigences en matière de sécurité et de notification prévues par la directive. Dans le même temps, ces dernières sont soumises à un régime réglementaire dit «light-touch», ce qui implique que ces entités ne sont pas soumises à des mesures de surveillance ex ante.

La directive SRI2 élargit considérablement le champ d’application des secteurs et introduit un seuil de taille pour définir quelles entités relèvent de son champ d’application et seraient tenues de signaler les incidents de cybersécurité importants aux autorités nationales compétentes.

La directive SRI2 vise à remédier aux lacunes des règles précédentes, à l’adapter aux besoins actuels et à les rendre à l’épreuve du temps.

À cette fin, la directive élargit le champ d’application des règles précédentes en ajoutant de nouveaux secteurs en fonction de leur degré de numérisation et d’interconnexion et de leur importance pour l’économie et la société, en introduisant une règle de seuil de taille claire, ce qui signifie que toutes les moyennes et grandes entreprises de certains secteurs seront incluses dans le champ d’application. Dans le même temps, il laisse une certaine marge d’appréciation aux États membres pour identifier les petites entités présentant un profil de risque élevé en matière de sécurité qui devraient également être couvertes par les obligations de la nouvelle directive.

La nouvelle directive supprime également la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les entités seraient classées en fonction de leur importance et divisées en deux catégories: entités essentielles et importantes, qui seront soumises à différents régimes de surveillance.

Il renforce et rationalise les exigences de sécurité et de reporting pour les entreprises en imposant une approche de gestion des risques, qui fournit une liste minimale d’éléments de sécurité de base qui doivent être appliqués. La nouvelle directive introduit des dispositions plus précises sur le processus de signalement des incidents, le contenu des rapports et les délais.

En outre, NIS2 traite de la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs en exigeant des entreprises individuelles qu’elles s’attaquent aux risques de cybersécurité dans les chaînes d’approvisionnement et les relations avec les fournisseurs. Au niveau européen, la directive renforce la cybersécurité de la chaîne d’approvisionnement pour les technologies clés de l’information et de la communication. Les États membres, en coopération avec la Commission et l’ENISA, peuvent procéder à des évaluations coordonnées des risques pour la sécurité des chaînes d’approvisionnement critiques au niveau de l’Union, en s’appuyant sur l’approche réussie adoptée dans le cadre de la recommandation de la Commission sur la cybersécurité des réseaux 5G.

La directive introduit des mesures de surveillance plus strictes pour les autorités nationales, des exigences plus strictes en matière d’exécution et vise à harmoniser les régimes de sanctions entre les États membres.

Il renforce également le rôle du groupe de coopération dans l’élaboration des décisions stratégiques et renforce le partage d’informations et la coopération entre les autorités des États membres. Il renforce également la coopération opérationnelle au sein du réseau CSIRT et met en place le réseau européen d’organisation de liaison cyber-crise (EU-CyCLONe) afin de soutenir la gestion coordonnée des incidents et crises de cybersécurité à grande échelle.

NIS2 établit également un cadre de base avec des acteurs clés responsables sur la divulgation coordonnée des vulnérabilités pour les vulnérabilités nouvellement découvertes dans l’ensemble de l’UE et crée une base de données de l’UE sur les vulnérabilités connues du public dans les produits TIC et les services TIC, qui sera exploitée et gérée par l’Agence de l’UE pour la cybersécurité (ENISA).

Le SRI2 couvre les entités des secteurs suivants:

Secteurs à haute criticité: énergie (électricité, chauffage et refroidissement urbains, pétrole, gaz et hydrogène); transport (aérien, ferroviaire, fluvial et routier); les services bancaires; les infrastructures des marchés financiers; santé, y compris la fabrication de produits pharmaceutiques, y compris de vaccins; l’eau potable; les eaux usées; infrastructures numériques (points d’échange internet; Les fournisseurs de services DNS; Registres de noms de TLD; fournisseurs de services d’informatique en nuage; fournisseurs de services de centres de données; réseaux de diffusion de contenu; les prestataires de services de confiance; les fournisseurs de réseaux publics de communications électroniques et de services de communications électroniques accessibles au public; Gestion des services TIC (prestataires de services gérés et prestataires de services de sécurité gérés), administration publique et espace.

Autres secteurs critiques: les services postaux et de messagerie; la gestion des déchets; produits chimiques; les denrées alimentaires; la fabrication de dispositifs médicaux, d’ordinateurs et d’électronique, de machines et d’équipements, de véhicules automobiles, de remorques et de semi-remorques et d’autres équipements de transport; fournisseurs numériques (places de marché en ligne, moteurs de recherche en ligne et plateformes de services de réseaux sociaux) et organismes de recherche.

L’évaluation des règles actuelles en matière d’obligations de déclaration en matière de sécurité et d’incident a montré que, dans certains cas, les États membres ont appliqué ces exigences de manière sensiblement différente. Cela a créé une charge supplémentaire pour les entreprises opérant dans plus d’un État membre.

En outre, en ce qui concerne les exigences en matière de cybersécurité, nous voulons nous assurer que toutes les entreprises abordent l’ensemble des éléments essentiels nécessaires dans leurs politiques de gestion des risques en matière de cybersécurité.

Pour cette raison, NIS2 comprend une liste de 10 éléments clés que toutes les entreprises doivent aborder ou mettre en œuvre dans le cadre des mesures qu’elles prennent, y compris la gestion des incidents, la sécurité de la chaîne d’approvisionnement, le traitement des vulnérabilités et la divulgation, l’utilisation de la cryptographie et, le cas échéant, le cryptage.

En ce qui concerne le signalement d’incidents, nous devons trouver le juste équilibre entre la nécessité d’un signalement rapide afin d’éviter la propagation potentielle des incidents et la nécessité d’établir des rapports approfondis pour tirer des leçons précieuses des incidents individuels. La nouvelle directive prévoit une approche en plusieurs étapes pour le signalement des incidents. Les entreprises concernées disposent d’un délai de 24 heures à compter du moment où elles ont connaissance d’un incident pour soumettre un avertissement précoce au CSIRT ou à l’autorité nationale compétente, ce qui leur permettrait également de demander de l’aide (orientations ou conseils opérationnels sur la mise en œuvre d’éventuelles mesures d’atténuation) si elles en font la demande. L’alerte précoce devrait être suivie d’une notification d’incident dans les 72 heures suivant la prise de connaissance de l’incident et d’un rapport final au plus tard un mois plus tard.

La nouvelle directive SRI place la surveillance et l’exécution au cœur des tâches des autorités compétentes et établit un cadre cohérent pour toutes les activités de surveillance et d’exécution dans l’ensemble des États membres.

Afin de renforcer la surveillance qui contribue à assurer une conformité effective, le SRI2 prévoit une liste minimale de moyens de surveillance par lesquels les autorités compétentes peuvent superviser les entités essentielles et importantes. Il s’agit notamment d’audits réguliers et ciblés, de vérifications sur place et hors site, de demandes d’informations et d’accès aux documents ou aux preuves.

En outre, la nouvelle directive établit une différenciation des régimes de surveillance entre les entités essentielles et les entités importantes, en vue d’assurer un juste équilibre des obligations tant pour les entités que pour les autorités compétentes.

En ce qui concerne l’application de la législation, il y a eu jusqu’à présent une réticence générale dans l’ensemble des États membres à appliquer des sanctions aux entités qui ne mettent pas en place de mesures de sécurité ou ne signalent pas les incidents. Cela peut avoir des conséquences négatives sur la cyber-résilience des entités. Afin de rendre l’application effective de la législation, la nouvelle directive établit un cadre cohérent pour les sanctions dans l’ensemble de l’Union. Il établit donc une liste minimale de sanctions administratives en cas de violation des obligations en matière de gestion des risques de cybersécurité et de communication d’informations prévues par la directive SRI2. Ces sanctions comprennent des instructions contraignantes, l’ordre de mettre en œuvre les recommandations d’un audit de sécurité, l’ordre de mettre les mesures de sécurité en conformité avec les exigences de la SRI et des amendes administratives. En ce qui concerne les amendes administratives, la nouvelle directive SRI établit une distinction entre les entités essentielles et les entités importantes. En ce qui concerne les entités essentielles, elle impose aux États membres de prévoir un certain niveau d’amendes administratives, notamment un maximum d’au moins 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. En ce qui concerne les entités importantes, NIS2 impose aux États membres de prévoir une amende maximale d’au moins 7 000 000 EUR ou au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Lorsqu’elles exercent leurs pouvoirs d’exécution, les autorités compétentes devraient tenir dûment compte des circonstances particulières de chaque cas, telles que la nature, la gravité et la durée de l’infraction, le préjudice causé ou les pertes subies, le caractère intentionnel ou négligent de l’infraction.

Afin d’assurer la responsabilité réelle des mesures de cybersécurité au niveau organisationnel, NIS2 introduit des dispositions sur la responsabilité des personnes physiques occupant des postes d’encadrement supérieur dans les entités relevant du champ d’application de la nouvelle directive SRI.

Les nouvelles règles améliorent la façon dont l’UE prévient, gère et réagit aux incidents et crises de cybersécurité à grande échelle. Ils le font en instaurant des responsabilités claires, une planification appropriée et une coopération accrue de l’UE. Les SRI2 exigent des États membres qu’ils désignent des autorités nationales chargées de la gestion des cyber crises, qu’ils mettent en place des plans nationaux d’incidents de cybersécurité à grande échelle et de réaction aux crises et qu’ils mettent en place le réseau européen d’organisation de liaison cyber-crise (EU-CYCLONe) afin de soutenir la gestion coordonnée des incidents de cybersécurité à grande échelle et des crises au niveau opérationnel. Ce réseau est un élément clé contribuant à la mise en place du cadre de gestion des cyber crises de l’UE défini par la Commission en 2017 avec la recommandation relative à une réponse coordonnée aux incidents et crises de grande ampleur.

En règle générale, les entités essentielles et importantes sont considérées comme relevant de la compétence de l’État membre où elles sont établies. Si l’entité est établie dans plus d’un État membre, elle devrait relever de la compétence de chacun de ces États membres. Les autorités compétentes de chacun de ces États membres devraient coopérer, s’entraider et, le cas échéant, mener des actions de surveillance conjointes. Il existe plusieurs exceptions à cette règle:

• les fournisseurs de réseaux ou de fournisseurs publics de communications électroniques ou de services de communications électroniques accessibles au public relèveraient de la compétence de l’État membre dans lequel ils fournissent leurs services.
• lesentités de l’administration publique relèveraient de la compétence de l’État membre qui les a établies.
• certains types d’entités seraient sous la juridiction de l’État membre dans lequel elles ont leur principal établissement dans l’Union. Ces entités comprennent des fournisseurs de services de systèmes de noms de domaine, des registres de noms de domaine de premier niveau, des entités fournissant des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de distribution de contenu, des prestataires de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de réseaux sociaux. Il s’agit de veiller à ce que ces entités ne soient pas confrontées à une multitude d’exigences juridiques différentes, car elles fournissent des services par-delà les frontières dans une mesure particulièrement élevée. Aux fins d’une surveillance efficace, ces types d’entités seront tenus par les États membres de notifier, entre autres, l’établissement principal de l’entité ainsi que ses autres établissements juridiques dans l’Union ou, s’ils ne sont pas établis dans l’Union, le lieu où le représentant de l’entité est désigné. L’ENISA serait tenue de créer et de tenir un registre contenant les informations fournies sur cette base par les États membres.

Lacoopération de l’UE est poursuivie en permettant aux États membres d’agir conjointement et de faire face aux risques émergents en matière de sécurité posés par la transformation numérique en cours.

Plus précisément, les États membres seront en mesure de superviser conjointement la mise en œuvre des règles de l’UE et de s’entraider en cas de fautes professionnelles transfrontières, d’avoir un dialogue plus structuré avec le secteur privé et de coordonner la divulgation des vulnérabilités constatées dans les logiciels et le matériel vendus sur l’ensemble du marché intérieur. Ils seront également en mesure de travailler de manière coordonnée pour évaluer les risques et les menaces en matière de sécurité liés aux nouvelles technologies, comme cela a été fait pour la première fois avec la 5G.

Les Étatsmembres s’appuieront sur la coopération de l’UE pour améliorer les capacités nationales grâce à des échanges de personnel entre les autorités et à des examens par les pairs. Les groupes existants, notamment le groupe de coopération rassemblant les autorités nationales de cybersécurité et le réseau des équipes de réaction aux incidents de sécurité informatique (CSIRT), contribueront à faire progresser la coopération, respectivement au niveau tant stratégique que technique.

La directive SRI2 est étroitement liée à deux autres initiatives, la directive sur la résilience des entités critiques (CER) et le règlement relatif à la résilience opérationnelle numérique pour le secteur financier (Digital Operational Resilience Act, DORA).

Le champ d’application de la SRI 2 et de la directive sur la résilience des entités critiques (directive RCE) a été aligné dans une large mesure afin de garantir que la résilience physique et cybernétique des entités critiques est traitée de manière globale. Les entités identifiées comme des entités critiques au titre de la directive CER deviendront également soumises aux obligations de cybersécurité de la directive SRI2. En outre, les autorités nationales compétentes au titre des directives REC et SRI2 doivent coopérer et échanger régulièrement des informations pertinentes, telles que les risques, les cybermenaces et les incidents, ainsi que sur les risques, menaces et incidents non cybernétiques. Le groupe de coopération au titre des SRI2 devra se réunir régulièrement et au moins une fois par an avec le groupe pour la résilience des entités critiques créé en vertu de la directive CER.

En ce qui concerne le secteur financier, alors que la nouvelle directive SRI inclut les établissements de crédit, les opérateurs de plates-formes de négociation et les contreparties centrales relevant de son champ d’application, DORA s’appliquera à ces entités en ce qui concerne les obligations en matière de gestion des risques de cybersécurité et de déclaration. Dans le même temps, il est important de maintenir une relation solide pour l’échange d’informations entre le secteur financier et les autres secteurs couverts par les NIS 2. À cette fin, dans le cadre du DORA, les autorités européennes de surveillance (AES) du secteur financier et les autorités nationales compétentes du secteur financier pourraient participer aux discussions du groupe de coopération SRI. En outre, les autorités compétentes du DORA seraient en mesure de consulter et de partager les informations pertinentes avec les points de contact uniques (SPOC) et les CSIRT établis dans le cadre des NIS2. Les autorités compétentes, les SPOC ou les CSIRT établis dans le cadre de NIS2 recevraient également des informations détaillées sur les incidents majeurs liés aux TIC de la part des autorités compétentes au titre du DORA. En outre, les États membres devraient continuer d’inclure le secteur financier dans leurs stratégies de cybersécurité et les CSIRT nationaux peuvent couvrir le secteur financier dans leurs activités.

Les Étatsmembres devront transposer la directive au plus tard le 17 octobre 2024 (21 mois après l’entrée en vigueur des NIS2). La Commission doit ensuite réexaminer périodiquement le fonctionnement de la directive et en rendre compte pour la première fois avant le 17 octobre 2027 au Parlement et au Conseil.