6 ans après l’adoption de la directive NIS, le constat est sans appel : les divergences en matière de cybersécurité au sein de l’Union européenne entrainent des vulnérabilités pour certains États membres face aux cybermenaces et pourrait conduire à une fragmentation du marché intérieur.
Il a été jugé nécessaire de réviser la directive NIS afin de tendre vers un niveau commun élevé de cybersécurité au sein de l’Union européenne.
Trois grands axes de la directive NIS ont été reconsidérés :
01. Le champ d’application
La directive NIS couvre 7 secteurs d’activités jugés essentiels, tels que la santé, le transport, l’énergie ou l’eau potable. NIS II s’appliquera à un plus large éventail de secteurs, parmi lesquels l’espace, les denrées alimentaires, l’administration publique, mais également aux acteurs de la chaine d’approvisionnement, de plus en plus victimes d’attaques par rebond.
02. L’obligation de notification d’incidents
La directive NIS impose aux entreprises de notifier les incidents de sécurité. NIS II précise cette obligation et notamment le processus de notification. Il ne suffit plus d’alerter les autorités compétentes de la survenance d’un incident de sécurité dans les 24 heures après sa découverte. Les entreprises devront mettre en place un processus de suivi sur un mois et mener des évaluations tenant à la gravité de l’incident, ses impacts et l’efficacité des mesures d’atténuation appliquées et/ou en cours.
Pour soutenir et accompagner les entreprises, un réseau européen pour la préparation et la gestion des crises cyber, EU-CyCLOne, va être mis en place. L’objectif est également de renforcer la coopération entre les États membres, notamment lors d’incidents cyber présentant des impacts transfrontaliers.
03. Le régime de sanctions
La directive NIS II introduit des mesures de surveillance et de contrôle plus strictes. Elle s’inspire du régime de sanction issu du RGPD en laissant la possibilité aux autorités compétentes, selon les infractions constatées, de proportionner le montant des amendes administratives au chiffre d’affaires annuel mondial de l’entreprise sanctionnée.
La directive NIS II doit être transposée en droit français pour être juridiquement applicable. Les entreprises ont jusqu’au deuxième semestre 2024 pour se préparer et intégrer à leur organisation les processus nécessaires au respect de ces exigences.