Directive NIS2 : tout ce qu'il faut savoir sur le nouveau texte de référence de la cybersécurité européenne

La dernière édition du Journal officiel de l'Union européenne intègre la publication de la directive NIS2, un texte qui doit permettre d'atteindre un niveau commun élevé de cybersécurité dans l'ensemble de la zone.

La résilience et les capacités de réponse aux incidents demeurent des points centraux du jeu cyber. Une première directive, codée 2016/1148 et votée le 6 juillet 2016, avait déjà pour ambition de créer des capacités en matière de sécurité informatique dans toute l'Union européenne. L'objectif était notamment d'atténuer les menaces qui pèsent sur les réseaux et les systèmes d'information en lien avec des services essentiels et dans les secteurs clés. La voilà désormais remplacée par une version plus récente et, surtout, plus conforme aux enjeux actuels.

Une directive qui en chasse une autre pour répondre aux défis cyber d'aujourd'hui et de demain

L'intérêt premier de la directive précédente était de préserver le bon fonctionnement de l'UE, tant dans son économie que dans notre société. Sauf que le temps a fait son effet, et la directive a montré certaines insuffisances pour répondre aux défis d'aujourd'hui et de demain liés à la cybersécurité. Les institutions européennes ont donc bâti et publié la directive « NIS2 ».

D'un point de vue très institutionnel, la directive, que les États membres devront transposer dans leur droit national dans les 21 mois, vise à renforcer le niveau commun de la cybersécurité dans l'Union européenne « afin d'améliorer le fonctionnement du marché intérieur », comme le précise son article 1^er.

Le texte impose des obligations aux États membres, qui doivent notamment adopter des stratégies nationales en matière de cybersécurité et désigner (ou mettre en place) des autorités compétentes chargées des crises cyber ainsi que des points de contact uniques en la matière, sans oublier les fameux CSIRT, les centres de réponse aux incidents de sécurité informatique, qui ont à leur charge la gestion de la crise cyber et la veille autour des cybermenaces.

Un texte qui identifie clairement les secteurs hautement critiques

La directive, qui s'applique aussi aux administrations et aux entreprises (privées ou publiques) d'une certaine taille, vise tout particulièrement les secteurs les plus sensibles. Elle identifie d'ailleurs ce que sont, à ses yeux et à ceux des institutions de l'UE, les secteurs « hautement critiques ».

Le premier de la liste n'est autre que celui de l'énergie, avec ses sous-secteurs (électricité, pétrole, gaz, hydrogène). On retrouve aussi les transports (aériens, ferroviaires, par eau, routiers) ; le secteur bancaire ; les infrastructures des marchés financiers ; la santé ; l'eau (potable et usée) ; les infrastructures numériques (services DNS, centres de données, réseaux de diffusion de contenu, réseaux de communications, etc.) ; la gestion des services TIC ; les administrations publiques ; et l'espace.

Cette liste fait partie des points que les États membres devront constamment mettre à jour, via une coopération que l'UE souhaite « efficace » entre les autorités compétentes des États. Ces autorités pourront d'ailleurs établir des accords de coopération qui pourront consigner les procédures relatives aux activités de supervision (procédures d'enquête et d'inspection) et un mécanisme d'échange d'informations pertinentes. L'intérêt est justement de faciliter l'échange d'informations entre les pays quasiment en temps réel pour mieux répondre aux incidents cyber. Il est ainsi impératif que chaque État membre désigne au plus vite un point de contact chargé de coordonner les tâches liées à la sécurité des réseaux et des systèmes d'information dans l'Union. En France, le CERT-FR reste le point de contact privilégié pour les incidents de nature cyber touchant le pays.

Source : Union européenne