Cybersécurité des réseaux et des systèmes d’information (2022)

SYNTHÈSE DU DOCUMENT:

Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’UE

QUEL EST L’OBJET DE CETTE DIRECTIVE?

La directive, connue sous le nom de NIS2, établit un cadre réglementaire commun en matière de cybersécurité visant à améliorer le niveau de cybersécurité dans l’Union européenne (UE), en exigeant des États membres de l’UE qu’ils renforcent leurs capacités en matière de cybersécurité et en introduisant des mesures de gestion des risques de cybersécurité et des rapports dans les secteurs critiques, ainsi que des règles en matière de coopération, de partage d’informations, de supervision et d’application de la loi.

POINTS CLÉS

La cybersécurité désigne les activités nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces.

Secteurs critiques

La directive s’applique principalement aux moyennes et grandes entités opérant dans les secteurs de haute criticité suivants, tels que définis à l’annexe I:

• l’énergie:
  • l’électricité, y compris les systèmes de production, de distribution et de transmission et les bornes de recharge,
  • le chauffage et le refroidissement urbains,
  • le pétrole, y compris les pipelines de production, de stockage et de transport,
  • le gaz, y compris les systèmes d’approvisionnement, de distribution et de transmission et le stockage, et
  • l’hydrogène;
• le transport par voie aérienne, ferroviaire, fluviale et routière;
• les infrastructures bancaires et financières, telles que les établissements de crédit, les opérateurs de plateformes de négociation et les contreparties centrales;
• la santé, y compris les prestataires de soins de santé, les fabricants de produits pharmaceutiques de base et de dispositifs médicaux essentiels, ainsi que les laboratoires de référence de l’UE;
• l’eau potable;
• les eaux usées;
• l’infrastructure numérique, y compris les fournisseurs de services de centres de données, de services d’informatique en nuage, de réseaux publics de communications électroniques et de services de communications électroniques accessibles au public;
• les services gérés de TIC (d’entreprise à entreprise);
• l’espace;
• l’administration publique aux niveaux central et régional, à l’exclusion du pouvoir judiciaire, des parlements et des banques centrales, bien qu’elle ne s’applique pas aux entités de l’administration publique qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi.

Elle s’applique également à d’autres secteurs critiques, tels que définis à l’annexe II:

• les services postaux et de messagerie;
• la gestion des déchets;
• la fabrication, la production et la distribution de produits chimiques;
• la production, la transformation et la distribution de denrées alimentaires;
• l’industrie manufacturière, notamment les dispositifs médicaux, les produits informatiques, électroniques et optiques, certains équipements et machines électriques, les véhicules à moteur et autres équipements de transport;
• les fournisseurs numériques de places de marché en ligne, de moteurs de recherche et de réseaux sociaux; et
• les organismes de recherche.

Stratégie nationale de cybersécurité

Chaque État membre doit adopter une stratégie nationale pour atteindre et maintenir un niveau élevé de cybersécurité dans les secteurs critiques, y compris:

• un cadre de gouvernance clarifiant les rôles et les responsabilités des parties prenantes au niveau national;
• des politiques relatives à la sécurité des chaînes d’approvisionnement;
• des politiques de gestion des vulnérabilités;
• des politiques de promotion et de développement de l’éducation et de la formation en matière de cybersécurité; et
• des mesures visant à améliorer la sensibilisation des citoyens à la cybersécurité.

Les États membres doivent établir une liste d’entités essentielles et importantes, ainsi que d’entités fournissant des services d’enregistrement des noms de domaine, au plus tard le 17 avril 2025. Ils doivent réexaminer et, le cas échéant, mettre à jour régulièrement cette liste, et au moins tous les deux ans par la suite. La Commission européenne a adopté des lignes directrices concernant les informations devant être collectées lors de l’établissement de ces listes, ainsi qu’un modèle pour ce faire.

La Commission a également publié des lignes directrices clarifiant les règles relatives aux liens entre la directive (UE) 2022/2555 et les actes juridiques de l’UE, spécifiques au secteur, en ce qui concerne les mesures de gestion des risques en matière de cybersécurité ou les obligations de déclaration d’incidents. L’annexe aux lignes directrices fournit une liste non exhaustive des actes juridiques sectoriels que la Commission estime comme relevant du champ d’application de la directive (UE) 2022/2555.

Centres de réponse aux incidents de sécurité informatique

Les centres de réponse aux incidents de sécurité informatique (CSIRT) fournissent une assistance technique aux entités, y compris en:

• surveillant et en analysant les cybermenaces, les vulnérabilités et les incidents au niveau national;
• fournissant aux entités concernées et aux autres parties prenantes des avertissements, des alertes, des annonces et des informations précoces sur les cybermenaces, les vulnérabilités et les incidents, si possible en temps quasi réel;
• réagissant aux incidents et en fournissant une assistance le cas échéant;
• recueillant et en analysant des données scientifiques et en fournissant une analyse dynamique des risques et des incidents ainsi qu’une évaluation de la situation en matière de cybersécurité; et en
• fournissant, sur demande, une analyse proactive des réseaux et des systèmes d’information afin de détecter les vulnérabilités susceptibles d’avoir un impact important.

Réseau des CSIRT

La directive met en place un réseau de CSIRT nationaux afin de promouvoir une coopération opérationnelle rapide et efficace.

Divulgation coordonnée des vulnérabilités

Les États membres doivent:

• désigner un de leurs CSIRT pour coordonner la divulgation des vulnérabilités découvertes dans les produits ou services TIC; et
• veiller à ce que les citoyens des États membres puissent signaler des vulnérabilités, de manière anonyme s’ils en font la demande.

L’Agence de l’Union européenne pour la cybersécurité (ENISA) élabore et tient à jour une base de données des vulnérabilités.

Groupe de coopération

La directive crée un groupe de coopération chargé de soutenir et de faciliter la coopération stratégique et l’échange d’informations. Celui-ci est composé de représentants des États membres, de la Commission et de l’ENISA. Le cas échéant, le groupe de coopération peut inviter le Parlement européen et des représentants des parties prenantes concernées à participer à ses travaux.

Réseau européen pour la préparation et la gestion des crises cyber

Le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe) est un réseau composé de représentants des autorités des États membres chargées de la gestion des crises cyber, ainsi que de la Commission, dans les cas où un incident de cybersécurité à grande échelle, potentiel ou en cours, a ou est susceptible d’avoir un impact significatif sur les secteurs couverts par la directive. Dans les autres cas, la Commission participera aux activités du réseau en tant qu’observateur.

Le réseau soutient la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle au niveau opérationnel et assure l’échange régulier d’informations entre les États membres et les institutions, organes et agences de l’UE.

Le réseau est chargé, entre autres, de:

• coordonner la gestion des incidents et des crises de cybersécurité à grande échelle et soutenir la prise de décision au niveau politique;
• l’amélioration de la préparation;
• développer une connaissance commune de la situation; et
• d’évaluer les conséquences et l’impact des incidents et des crises de cybersécurité à grande échelle et de proposer des mesures d’atténuation possibles.

Rapports

Les entités doivent notifier à leur CSIRT ou à l’autorité compétente tout incident qui:

• peut entraîner ou est susceptible d’entraîner de graves perturbations opérationnelles ou des pertes financières pour l’entité;
• a affecté ou pourrait affecter d’autres personnes en causant des dommages matériels ou immatériels considérables.

En outre, l’ENISA produira, en coopération avec la Commission et le groupe de coopération, un rapport bisannuel sur l’état de la cybersécurité dans l’UE, qui sera également soumis au Parlement.

Supervision et exécution

La directive prévoit des recours et des sanctions pour garantir l’application de la législation.

Évaluations par les pairs

Les évaluations par les pairs sont mises en place en vue de tirer des enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau commun élevé de cybersécurité et d’améliorer les capacités et les politiques des États membres en matière de cybersécurité nécessaires à la mise en œuvre de cette directive. Ces évaluations comportent des visites physiques ou virtuelles sur place et des échanges d’informations hors site. La participation à ces évaluations par les pairs se fait sur la base du volontariat.

DEPUIS QUAND CES RÈGLES S’APPLIQUENT-ELLES?

La directive doit être transposée dans le droit national au plus tard le 17 octobre 2024. Les règles doivent s’appliquer à partir du 18 octobre 2024.

CONTEXTE

La directive abroge la directive (UE) 2016/1148 (voir la synthèse) à partir du 18 octobre 2024.

Pour de plus amples informations, veuillez consulter:

• Cybersécurité (Commission européenne)
• Cybersécurité: comment l’UE lutte contre les cybermenaces (Conseil européen, Conseil de l’Union européenne)
• Comment l’UE réagit aux crises et renforce la résilience (Conseil européen, Conseil de l’Union européenne)
• Un avenir numérique pour l’Europe (Conseil européen, Conseil de l’Union européenne).

DOCUMENT PRINCIPAL

Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80-152).

Les modifications successives de la directive (UE) 2022/2555 ont été intégrées au document original. Cette version consolidée n’a qu’une valeur documentaire.

DOCUMENTS LIÉS

Communication de la Commission — Lignes directrices de la Commission relatives à l’application de l’article 3, paragraphe 4, de la directive (UE) 2022/2555 (directive SRI 2) 2023/C 324/02 (JO L 324 du 14.9.2023, p. 2-7).

Communication de la Commission Lignes directrices clarifiant l’application de l’article 4, paragraphes 1 et 2, de la directive (UE) 2022/2555 (directive SRI 2) 2023/C 328/02 (JO L 328 du 18.9.2023, p. 2-10).

Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1-79).

Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (JO L 333 du 27.12.2022, p. 164-198).

Règlement (UE) 2021/696 du Parlement européen et du Conseil du 28 avril 2021 établissant le programme spatial de l’Union et l’Agence de l’Union européenne pour le programme spatial et abrogeant les règlements (UE) n^o 912/2010, (UE) n^o 1285/2013 et (UE) n^o 377/2014 et la décision n^o 541/2014/UE (JO L 170 du 12.5.2021, p. 69-148).

Règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240 (JO L 166 du 11.5.2021, p. 1-34).

Voir la version consolidée.

Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15-69).

Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 — Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42-47).

Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) n^o 2111/2005, (CE) n^o 1008/2008, (UE) n^o 996/2010, (UE) n^o 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) n^o 552/2004 et (CE) n^o 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) n^o 3922/91 du Conseil (JO L 212 du 22.8.2018, p. 1-122).

Voir la version consolidée.

Décision d’exécution (UE) 2018/1993 du Conseil du 11 décembre 2018 concernant le dispositif intégré de l’Union européenne pour une réaction au niveau politique dans les situations de crise (JO L 320 du 17.12.2018, p. 28-34).

Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (refonte) (JO L 321 du 17.12.2018, p. 36-214).

Voir la version consolidée.

Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36-58).

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88).

Voir la version consolidée.

Règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73-114)

Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8-14).

Décision n^o 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l’Union (JO L 347 du 20.12.2013, p. 924-947).

Voir la version consolidée.

Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1-14).

Voir la version consolidée.

Règlement (CE) n^o 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n^o 2320/2002 (JO L 97 du 9.4.2008, p. 72-84).

Voir la version consolidée.

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37-47).

Voir la version consolidée.

dernière modification 03.05.2024