La directive NIS 2 impose un socle minimal de mesures techniques et organisationnelles (notamment de nature juridique) que les entités importantes et essentielles doivent mettre en œuvre et qui visent plus particulièrement l’humain. Le détail de ces mesures est à la main de chaque État lors de la transposition en droit local, mais s’appuie aussi sur le règlement d’exécution du 17 octobre 2024 visant un grand nombre de services numériques. Le point sur ces mesures.

Parmi les nombreux textes européens récemment adoptés, la directive NIS 2 du 14 décembre 2022 impose un socle minimal de mesures techniques et organisationnelles (notamment de nature juridique) que les entités visées par ce texte doivent mettre en œuvre. Cette directive a été transposée par une poignée de pays européens à la date prévue du 17 octobre 2024 (dont la Belgique et l’Italie) et des travaux sont en cours en France pour adopter une loi dédiée à la résilience de infrastructures critiques et au renforcement de la cybersécurité. Cette loi aura ainsi pour objectif de transposer les trois directives du même jour :

• La directive NIS 2 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ;

• La directive REC portant sur la résiliencedes entités critiques, et ayant pour objet d'améliorer la fourniture, au sein de l'Union, de services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales, avec un renvoi à NIS 2 pour les mesures de cybersécurité à mettre en œuvre ;

• La directive d’harmonisation technique DORA accompagnant le règlement du même nom et du même jour, dédié à la résilience opérationnelle numérique dans les secteurs bancaires financiers et assurantiels, et entré en application depuis le 17 janvier 2025.

Même si la transposition de la directive NIS 2 est encore en cours en France, il est urgent pour les entités visées de ne pas attendre

Déposé sur le bureau du Sénat depuis le 15 octobre 2024 en procédure accélérée, ce projet de loi est étudié au moment de la rédaction de ces lignes par une commission du Sénat spécialement constituée, pour l’occasion. Celle-ci a mené des auditions d’acteurs publics et privés du monde "cyber" (ANSSI, ministre délégué, associations professionnelles du type Clusif, Cybercercle, Medef ou encore CGPME, etc.) afin d’assister le Sénat à "co-construire" la nouvelle réglementation (selon les mots d’Olivier Cadic, président de cette commission). Durant ces auditions, plusieurs acteurs auditionnés ont mentionné l’importance de l’humain dans la cybersécurité et de la prise en compte de ce facteur dans la réglementation.

Ce que prévoit la directive en la matière : formation, encadrement, sanction

Comme nous avons eu l’occasion de le souligner à cette occasion, l’article 20 "gouvernance" de la directive NIS 2 a pris en compte cet aspect fondamental et développe dans ses articles 20 et 21 une série de principes et de mesures afin que tant les utilisateurs des systèmes d’information que les dirigeants des entités concernées soient formés de façon proportionnée aux risques cyber et aux conséquences des décisions qu’ils prennent quotidiennement selon leurs fonctions (du fait de ne pas cliquer sur un lien dans un message électronique de phishing à la prise en compte de la cybersécurité dans le développement d’un nouveau service, par exemple) :

• d’une part sur les organes de direction des entités visées par le texte en les responsabilisant tout particulièrement : approbation nécessaire des mesures de gestion des risques en matière de cybersécurité prises par les entités afin de se conformer à l’article 21, supervision de la mise en œuvre de ces mesures, et, à défaut, responsabilisation de ces dirigeants. À ce titre, outre l’article 36 "sanction" qui prévoit des mesures "effectives, proportionnées et dissuasives" qui peuvent se traduire dans les États membres par des sanctions pénales1, la directive prévoit également, si aucune autre mesure ne s’est finalement avérée utile, l’interdiction "temporairement à toute personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans l’entité essentielle d’exercer des responsabilités dirigeantes dans cette entité", sauf dans l’administration publique ;

• d’autre part sur les formations à prévoir. Celles-ci doivent concerner au premier chef ces mêmes dirigeants. Mais la directive préconise également de prévoir une formation des membres du personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité. Ainsi, en France, les mesures qu’envisage d’insérer l’ANSSI dans son référentiel NIS 2 iraient a priori, notamment, dans le sens d’une formation large des personnels et, plus globalement, de tout utilisateur du système d’information de l’entité concernée.

L’article 21 complète ces obligations en obligeant l’entité visée par la réglementation à prévoir des règles d’utilisation interne des systèmes d’information (les "chartes", cf. notre article paru dans le guide Décideurs Innovation Technologies & Propriété intellectuelle 2024, sur le sujet2) et un cadre disciplinaire effectif pour sanctionner les manquements à ces règles. Se rajoute en outre à ces règles à mettre en place au niveau RH un encadrement spécifique des prestataires de la chaîne d’approvisionnement, notamment contractuel, soit des sujets sur lequel le juriste a un rôle essentiel à jouer en prévoyant la mise en œuvre des mesures adéquates.

Les apports du règlement d’exécutionde la directive : des chartes réellement opposables et mises à jour dès que nécessaire

Si l’article 21 de la directive prévoit plus globalement la mise à jour des mesures de gestion des risques en matière de cybersécurité (politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information, gestion des incidents, solutions d’authentification sécurisées, etc.), il reste assez général sur le sujet. C’est surtout l’article 10 de l’annexe du règlement d’exécution de la directive, datant du 17 octobre 2024 et applicable aux services du numérique à vocation transfrontière (datacenters, cloud, infogérance, etc.), qui permet d’avoir une vision plus précise des règles à mettre en place, notamment en interne. Rappelons que ce règlement fixe le standard minimal des règles à mettre en œuvre au niveau européen pour les entités décrites ci-dessus. Outre la problématique de l’encadrement du recrutement (contrôle de référence, vérification préalable, validation des compétences, vérification annuelle des affectations) qui nécessiterait un article à elle seule, l’annexe impose ainsi que les entités :

• comprennent et s’engagent à ce que leurs personnels assument leurs responsabilités en matière de sécurité (cyberhygiène, responsabilisation des titulaires de comptes privilégiés, etc.) ;

• et établissent, communiquent et maintiennent une procédure disciplinaire en cas de violations des politiques de sécurité des réseaux et des systèmes d’information. Celle-ci doit être mise à jour à intervalles prédéfinis ainsi que lorsque des changements législatifs ou des changements majeurs concernant les opérations ou les risques l’imposent.

En conclusion, même si la transposition de la directive NIS 2 est encore en cours en France, il est urgent pour les entités visées de ne pas attendre et d’adopter une approche proactive quant aux mesures qui pourraient leur être imposées dans ce cadre, notamment via une lecture croisée des dispositions présentes dans la directive ainsi que celles du règlement d’exécution. En effet, gardons toujours en tête que le prochain texte NIS (a priori un règlement) pourrait éclore dès fin 2027.

 

SUR L’AUTEUR

François Coupez est avocat à la Cour, fondateur du cabinet Level Up Legal et ancien responsable juridique pendant près de dix ans. Entouré de l’ensemble de l’équipe du cabinet, il met sa double compétence en droit et en cybersécurité au service de nombreuses grandes entreprises, institutionnels et entités du secteur public depuis près de vingt-cinq ans, afin de les conseiller face à leurs contraintes réglementaires en droit du numérique, de la protection des données et de la cybersécurité. Certifié spécialiste en droit des nouvelles technologies (CNB), mais également ISO 27001 Lead implementer, 27701 Lead Implementer (niveaux avancés - LSTI) et DPO (Cnil - Afnor), il est aussi Senior advisor du Cybercercle. Enseignant à l’université Paris II ou encore à Dauphine, il est responsable des formations de droit de la cybersécurité, de NIS 2 Lead Implementer et de certification des DPO chez HS2 Formation et participe au groupe de travail NIS 2 du Club ISO 27001.

 

1 Notons qu’en France, la loi de transposition de la directive NIS 1 du 26 février 2018 avait institué plusieurs délits spécifiques en ses articles 9 et 15 punissant les dirigeants des opérateurs de services essentiels et des fournisseurs de services numériques en cas de non-observation des mesures de sécurité, de non notification des incidents ou d’opposition au contrôle (allant de 50 000 à 125 000 euros d’amende). La formulation de l’article NIS 1 sur les contrôles était sensiblement identique à l’article 35 de la directive NIS 2 actuelle, mais le projet de loi dans sa version actuelle abroge ces sanctions sans les remplacer.

2 https://www.decideurs-juridiques.com/digital-marketing/59102-charte-informatique-un-atout-essentiel-pour-la-cybersecurite-de-l-entreprise.html