En pleine préparation de la NIS V2, mise à jour du tour d’horizon européen de transposition de la directive NIS par les états membres… vers une convergence ?

La directive Network and Information System Security – (UE) 2016/1148, communément appelée NIS, est une directive européenne adoptée par le Parlement européen le 6 juillet 2016. Celle-ci a été transposée par les Etats membres dans leurs législations nationales avant le 9 mai 2018. En France, la NIS a été transposée en février 2018 dans la législation et publiée par une loi n° 2018-133, un Décret n°2018-384, ainsi que 3 arrêtés : du 13 juin, 1er août et 14 septembre 2018. Deux précédents articles précisaient la transposition de la Directive NIS en France : sa transposition et impacts , et les mesures de sécurité en France.

Il s’agit de la première initiative législative de l’UE sur la cybersécurité. Son but est d’assurer un niveau élevé et commun de sécurité des systèmes d’information et réseaux de l’Union européenne. Cet objectif se décline en quatre enjeux clés :

  • Consolider les capacités nationales des Etats membres en matière de cybersécurité,
  • Créer un cadre de coopération politique et organisationnelle entre Etats membres autour de la cybersécurité,
  • Mettre en place un dispositif de cybersécurité pour les opérateurs de services essentiels (OSE). Les OSE sont des « opérateurs tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société».
  • Mettre en place un dispositif de cybersécurité pour les fournisseurs de services numérique (FSN). La directive NIS définit un FSN comme « une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ». Trois types de services numériques sont concernés par le cadre réglementaire : les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage.

D’une part, la sécurité des OSE est une prérogative souveraine des Etats, d’autre part, le rôle de l’UE est d’assurer le bon fonctionnement du marché européen. Afin de concilier ces deux objectifs, la directive NIS énonce clairement : « la présente directive devrait s’entendre sans préjudice de la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la recherche, la détection et la poursuite d’infractions pénales. »[1]. Chaque pays peut donc adapter le texte en fonction de ce qu’il estime être prioritaire et stratégique pour garantir sa sécurité et celle de ses réseaux et systèmes d’information. La directive NIS fixe cependant des exigences communes, notamment en matière de transposition de la directive en législation nationale, de secteurs concernés, d’identification des risques, de supervision, de mise en place de mesures techniques et organisationnelles, de notification des incidents cyber, et de sanctions en cas de manquement.

L’analyse réalisée aborde la transposition de la directive NIS dans chacun des 27 Etats membres de l’Union européenne, ainsi que la Suisse et le Royaume-Uni. Elle permet ainsi de mettre en lumière les différentes approches et de dégager les points de convergence et de divergence entre pays, notamment dans le cadre de l’évolution prochaine de la directive. En effet, une proposition de révision de la NIS a été adoptée par la Commission européenne en décembre 2020 et vise à remplacer le texte originel.

Une transposition achevée pour certaines thématiques…

Différents types et nombres de textes législatifs pour transposer la NIS

 

La transposition de la NIS a bien eu lieu dans toutes les législations nationales des états membres de l’Union Européenne. Cependant, il existe une hétérogénéité dans le type de textes législatifs adoptés. Dans la majorité des pays, la transposition prend la forme d’une loi (vingt-deux pays), à laquelle treize pays rajoutent au moins un autre texte législatif (ordonnance, décret, règlement, amendement ou décision ministérielle). Dans deux pays la transposition de la NIS a eu lieu dans chaque loi sectorielle, ce qui augmente le nombre de textes législatifs (quatre textes ou plus).

 

Une mise en place générale des processus de notification des cyber-incidents

 

Tous les pays sont parvenus à mettre en place des processus de notification des incidents cyber. Une fois encore, des déroulés différents selon les pays sont observés.

Il existe six procédures différentes de transmission des alertes lors d’un incident cyber :

  • Dans le premier cas (neuf pays), l’OSE doit en premier lieu notifier l’autorité nationale compétente de la survenue de l’incident,
  • Un deuxième procédé (dix pays), le premier point de contact est le CSIRT, l’équipe d’intervention en cas d’incident de sécurité informatique, aussi appelé CERT,
  • Dans un nombre moins élevé de cas (trois pays), les OSE doivent notifier l’autorité sectorielle compétente,
  • La notification d’un incident cyber s’effectue via une plateforme sécurisée dans quatre pays,
  • Moins fréquemment encore (2 pays), le point de contact unique (SPOC) est à alerter,
  • Enfin, pour 1 pays (Hongrie), l’OSE alerte un centre de gestion des événements.

Tous les états membres prévoient également la notification du point de contact d’un pays membre si celui-ci est également concerné par le cyber-incident ainsi que la notification du public lorsque cela est nécessaire.

Pour se conformer aux contraintes imposées par la NIS, certains états sont même allés plus loin

La directive NIS prévoit initialement de s’appliquer aux secteurs du transport, de l’énergie, de la santé, de l’eau potable, de la banque, de la finance et du numérique. Dans la transposition, plus de la moitié des pays analysés ajoute d’autres secteurs ou sous-secteurs essentiels en plus des sept cités précédemment. Ils sont listés ci-dessous, rangés par fréquence d’apparition :

  • L’Autriche, la Croatie, Chypre, la Lituanie, Malte, la Slovaquie, l’Espagne et la Suisse mentionnent également l’administration publique.
  • Chypre, l’Estonie, l’Allemagne, la Lituanie, les Pays-Bas, la Slovaquie, l’Espagne et la Suisse rajoutent les technologies de l’information et de la communication et l’IT.
  • L’Estonie, la France, l’Allemagne, la Hongrie, la Lituanie, la Slovénie, l’Espagne, la Suisse ajoutent la
  • La République Tchèque, la Lituanie, les Pays-Bas, l’Espagne complètent la liste avec l’industrie.
  • L’Estonie, l’Allemagne, la Suisse mentionnent aussi le chauffage et le logement.
  • La Lituanie et la Slovaquie rajoutent la défense, la Suisse la sécurité nationale.
  • La Lituanie et la Slovénie insèrent la protection de l’environnement.
  • La France est la seule à ajouter l’éducation.
  • L’Espagne est la seule à mentionner l’espace et les centres de recherches.

… Mais une déclinaison à finaliser sur d’autres

De fortes disparités sur la supervision assurée par l’état

Plusieurs catégories et différents niveaux de contrôle sont exercés par les autorités pour attester de la conformité à la NIS. Les fortes disparités de supervision concernent notamment les autorités assurant le contrôle (autorité nationale ou sectorielle) ainsi que le niveau de contrôle attendu (supervision, inspection, audit ou encore évaluation) : il n’existe pas de consensus autour du processus à adopter. Par ailleurs, six pays ne donnent pas d’information quant à la supervision mise en place.

Des mesures de sécurité de niveau et de diffusion hétérogènes

Exceptés pour six pays pour lesquels aucune information n’est fournie concernant les mesures de sécurité, 2 grandes approches sont observées :

  • Les mesures de sécurité sont mentionnées dans le corps du ou des texte(s) législatif(s) de transposition de la NIS (onze pays),
  • Elles font l’objet d’un guide, d’une liste de recommandations ou d’une publication en ligne établis par des entités différentes (gouvernement, régulation, décret, etc.) dans douze pays.

Pour les mesures incluses dans les textes législatifs, il existe quelques points de convergence sur les thèmes abordés :

  • La norme internationale ISO27001 et le cadre de cybersécurité du NIST, en tant que modèle pour établir les mesures de sécurité (dans respectivement quatre et deux pays)
  • Six mêmes thématiques (sécurité des systèmes et des installations, gestion des incidents, continuité de l’activité…) reviennent dans quatre pays.

Des sanctions de montant et de format différents

Le montant des sanctions pour le non-respect des règles varie relativement dans les différents pays pouvant aller de moins de 100K€ à 20M€ maximum (exceptée la Finlande qui ne prévoit aucune sanction). La majorité ont choisi d’appliquer un montant inférieur à 200k€ (dix-huit pays) tandis que quatre pays prévoient un montant maximum au-delà d’1M€. Il est d’ailleurs à noter que les sanctions sont susceptibles d’être accumulées en cas de non-conformités multiples ce qui ne permet pas d’établir avec certitude le montant maximum global d’une sanction.

Des mesures d’emprisonnement sont mêmes prévues dans deux pays (la Belgique et Chypre).

Enfin, quatre pays n’ont pas encore formalisé les sanctions en cas de manquement.

En conclusion

Née dans un contexte de niveaux de sécurité des réseaux et systèmes d’information inégaux au sein de l’Union européenne, la directive NIS est maintenant transposée dans tous les Etats membres. Cela a permis la création d’un socle commun de sécurité tout en laissant la possibilité aux Etats de veiller à la protection des intérêts essentiels de leur sécurité. Ainsi, chaque pays désigne ses opérateurs de services essentiels, et choisi les secteurs qu’il estime les plus stratégiques à protéger. De plus, la transposition de la loi, les processus de supervision et de notification d’incidents sont effectués par l’autorité jugée compétente, que celle-ci soit sectorielle ou nationale, que ce soit le CSIRT ou le point de contact unique. Cette souplesse permet à la NIS de s’adapter à l’organisation de tous les états membres. Il existe des ressemblances visibles et regroupement entre les pays, ainsi que des points de divergence importants qui laissent place à de nombreuses déclinaisons et rendent la comparaison pertinente et riche.

Une proposition de révision de la NIS a été adoptée en décembre 2020, mais son calendrier prévisionnel n’est pas encore communiqué. Néanmoins, ses principaux objectifs ont été édictés afin d’atteindre un niveau de cybersécurité plus élevé et des processus plus homogènes au sein de l’Union Européenne d’une part, et d’augmenter davantage la coopération entre Etats membres d’autre part. La révision de la NIS s’articule autour de l’abandon de la distinction entre OSE et FSN, la désignation des OSE par la directive et non par les Etats, la création d’un nouveau réseau européen pour les incidents cyber majeurs, l’imposition de CSIRT ayant un rôle de support aux entités, ainsi que le contrôle par les Etats des mesures techniques et organisationnelles mises en place (notamment pour l’analyse de risques et la gestion de crise). Ces changements feront l’objet d’un nouvel article.

 

Sources :

Directive Network and Information System – Article ANSSI Lien : Retrouver l’article ANSSI sur la Directive NIS ici

Directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union Lien : Retrouver la Directive NIS ici

FAQ sur les Fournisseurs de Services Numériques (FSN) – Article ANSSI – 23 mai 2018 Lien : Retrouver la FAQ sur les FSN ici

FAQ sur les Opérateurs de Services Essentiels (OSE) – Article ANSSI Lien : Retrouver la FAQ sur les OSE ici

Proposition de DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 Lien : Retrouver la proposition de la révision de la NIS ici

[1] Directive (UE) 2016/1148 du Parlement européen et du conseil du 6 juillet 2016.

 

Back to top