12 Avr 2023
PIRATAGE ET DROIT EUROPEEN : LA REVISION DE LA DIRECTIVE « SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION » (NIS 2)
L’évolution du paysage des menaces de piratage informatique a conduit la Commission à effectuer une révision de la directive « sécurité des réseaux et des systèmes d’information ».
Initié en juillet 2020, la révision de la directive « sécurité des réseaux et des systèmes d’information » a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers.
Adopté par le Parlement européen le 10 novembre 2022, chaque État membre de l’Union européenne dispose désormais d’un délai de 21 mois afin de transposer en droit national les différentes exigences réglementaires. La directive devrait donc entrer en vigueur en France au deuxième semestre 2024, au plus tard.
Les changements opérés dans la stratégie des cyberattaquants nécessitent de moderniser la directive. Les secteurs touchés par les cyberattaques sont de plus en plus nombreux et les conséquences désastreuses. La révision de la directive SRI a permis de rafraîchir la liste des secteurs qui devront s’y conformer afin de faire preuve de résilience face aux différentes attaques dont ils sont les cibles.
La mise à jour de la directive semble vouloir « prendre le mal à la racine » en s’adaptant aux nouvelles pratiques et méthodes des attaquants.
Besoin de l’aide d’un avocat pour un problème de contrefaçon ?
Téléphonez – nous au : 01 43 37 75 63
ou contactez – nous en cliquant sur le lien
En outre, la directive promet de déployer une nouvelle stratégie de sensibilisation afin de lutter contre l’illectronisme des citoyens qui constituent le noyau des activités économiques.
Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière. Cette coopération devrait permettre d’accroître les échanges et donc de diffuser des informations relatives aux nouvelles pratiques des attaquants afin d’anticiper leur survenance. Elle devrait également permettre de communiquer les connaissances acquises par les différents États membres afin d’assurer une meilleure résilience lors de la survenance de cyberattaques.
La révision de la directive SRI n’est pas la seule à apporter de nouvelles obligations en la matière. D’autres domaines, tout aussi importants, mais surtout en lien avec l’ensemble de cette réglementation font également l’objet d’un encadrement plus strict. L’utilisation des objets connectés nécessite dans le même temps d’être réglementée pour rendre effective la stratégie de la directive. Des domaines tels que le secteur de la finance nécessitent aussi d’accroître leur sécurité afin de renforcer les besoins en confiance.
La numérisation de la société nécessite aujourd’hui un travail constant afin d’adapter le cadre des obligations et d’assurer un niveau correct de sécurité. L’élargissement de la réglementation devrait permettre de répondre à ces nouvelles menaces (I). Le déploiement d’une nouvelle stratégie non seulement en matière de sensibilisation, mais aussi de coopération devrait d’accroître la réactivité et l’efficacité des États membres dans la lutte contre la cybercriminalité (II).
I. La (nécessaire) modernisation du cadre juridique de la directive SRI
L’élargissement du cadre juridique de la directive à l’occasion de sa révision témoigne de la volonté de renforcer les obligations de sécurité pour tous les étages de l’économie qui se numérisent (A). La Commission a également mis à jour certaines définitions et a restructuré les exigences pour les opérateurs de services essentiels (B).
A. L’extension du champ d’application de la directive à de nouveaux secteurs
La transformation numérique s’étend de plus en plus à tous les secteurs de l’économie. En procédant à la dématérialisation de nos échanges, des processus de travail, et en étendant les usages à tous les étages, en passant de l’Administration, aux déclarations fiscales en ligne, à la dématérialisation des dossiers patients, et bientôt des factures électroniques pour les entreprises, un besoin urgent de renforcer le niveau général en matière de cybersécurité s’est fait ressentir.
Force est de constater que les cyberattaques touchent tous les secteurs de notre économie. La protection du secret des affaires, du secret industriel, des inventions, mais également les données des citoyens deviennent une priorité pour les États membres. Nombreuses sont les conséquences politiques, sociales, économiques liées à la protection des réseaux et des systèmes d’information. La nécessité de renforcer la confiance est d’autant plus accrue face à ses nouveaux enjeux.
-
L’extension du champ d’application de la directive à de nouveaux secteurs d’activités
La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de revoir à la hausse la liste des secteurs et des activités soumis à des obligations. (https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR)
La première version de la directive SRI était applicable à sept secteurs. Étaient et sont toujours concernés les secteurs de la santé, de l’énergie, bancaire et aux infrastructures de marchés financiers, aux fournisseurs de service, aux transports, aux fournisseurs d’eau et aux infrastructures numériques qui fournissent trois types de services numériques (les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage).
Sa nouvelle version englobe à présent les secteurs qui opèrent dans le domaine spatial, les services postaux, les producteurs de certains produits, de la nourriture, des administrations publiques, des services de communication, des eaux usées et de la gestion des déchets.
Au regard de l’actualité en Europe, cet élargissement semble le bienvenu. Les cyberattaques ont des objectifs divers et variés. Cependant, certaines d’entre elles font peser des menaces sans précédent qui vont jusqu’à remettre en cause la sécurité nationale. Il n’est pas sans rappeler que le 16 août 2022, l’opérateur nucléaire ukrainien, Energoatom, a été victime d’une cyberattaque russe « sans précédent » contre son site.
En outre, la directive s’appliquera sans distinction aux entités qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. Cette mesure semble logique pour rendre effective la stratégie déployée et coïncide avec les notions développées par le Règlement à la protection des données (RGPD).
Finalement, la directive aura vocation à s’appliquer à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. A l’échelle nationale, cela représente environ 600 types d’entités différentes qui seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.
-
L’application facultative à certaines entités
La révision de la directive permet d’imposer des obligations de sécurité à une liste de secteurs clairement établie tandis que pour certains d’entre eux, une option est laissée aux États membres.
Ainsi l’article 2 de la directive dispose que les États membres peuvent prévoir que le périmètre de la directive s’applique « aux entités de l’administration publique au niveau local […] » Autrement dit, il appartient à chaque État membre d’apprécier la nécessité d’élargir l’application de la directive à ses collectivités territoriales.
En France, le rapport réalisé par l’ANSSI intitulé « Panorama de la cybermenace 2022 » a permis de constater « une multiplication des cas d’attaques par rançongiciels est observée depuis l’été 2022, particulièrement à l’encontre des collectivités territoriales et des établissements de santé avec des impacts conséquents. » (https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf)
Ce rapport révèle également que les collectivités locales constituent la deuxième catégorie de victime la plus affectée par des attaques par rançongiciel derrière les TPE, PME et ETI. Elles représentent ainsi 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI en 2022.
-
L’exclusion des entités dont l’activité concerne la sécurité nationale
Elle exclut cependant de son champ d’application les entités de « l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. »
Cette directive permet d’adopter des solutions afin d’améliorer la cyber résilience et de réagir plus efficacement aux cyberattaques, en particulier celles ciblant des activités essentielles pour l’économie et la société, tout en respectant les compétences des États membres, y compris la responsabilité qui est la leur en matière de sécurité nationale.
La Commission se refuse à s’immiscer dans les affaires internes des États membres et respecte ainsi le principe de souveraineté de chacun.
B. La restructuration des opérateurs de services essentiels
La nouvelle directive a pour objectif de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.
Les États membres ne seront plus responsables de la détermination des entités considérées comme opérateurs essentiels. Cette notion « d’opérateur de services essentiels », utilisée dans la précédente directive, disparaît donc.
Le périmètre de ces opérateurs régulés sera divisé en deux typologies d’acteurs prévus à l’article 3 de la directive. D’une part, les entités essentielles (EE) et d’autres part, les entités importantes (EI), dont la différenciation se fera par la criticité des secteurs associés. Elle comprend désormais toutes les entités de taille moyenne et grande dont les activités entrent dans le champ de la directive.
Dès lors, sont automatiquement considérées comme des entités « essentielles » ou « importantes » les entités qui emploient plus de 250 personnes et ont un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros. Les entités essentielles et importantes sont confrontées aux mêmes obligations, mais celles qui relèvent de la deuxième catégorie sont soumises à un régime d’application plus léger.
Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. »
Les obligations se voient renforcées, en effet, il ne suffit pas d’adopter des mesures techniques, elles doivent également être opérationnelles et organisationnelles.
Cette stratégie devra également prendre en compte les sous-traitants, alors qu’ils représentent encore le maillon le plus faible dans la chaîne de valeur, notamment en raison des attaques par rebond engagées par les cyberattaquants afin de remonter vers un prestataire plus important.
Prévu par l’article 20 de la directive, les États membres et leurs autorités nationales compétentes devront s’assurer de la mise en œuvre de cette stratégie. Elle permet d’une part d’éveiller les entités visées par la directive à l’importance de la mise en œuvre de mesures appropriées pour garantir la sécurité de leurs réseaux et de leurs systèmes d’information. D’autre part, elle tend à responsabiliser la direction des entités concernées par la directive qui pourra voir sa responsabilité engagée en cas de non-conformité.
Enfin, conformément à l’article 3. 3) de la directive, les États membres devront établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les États membres devront dresser cette liste au plus tard pour le 17 avril 2025 et procéder à sa mise à jour régulièrement, puis au moins tous les deux ans par la suite. Le contenu de cette liste est fixé par son article 3.4)
La directive prévoit également que les États membres devraient pouvoir décider que les entités identifiées comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.
Il est également précisé que les États membres pourront mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes.
Mentionnée à l’article 3.5), les États membres se voient imposer une obligation de communication à la Commission des informations relatives aux entités essentielles et importantes. La communication de ces informations permettra un suivi en temps réel de la situation au niveau européen ainsi qu’une meilleure coordination en vue d’adopter une stratégie commune.
La révision de la directive SRI a permis d’étendre son champ d’application afin de renforcer les besoins actuels en cybersécurité et en résilience. Il s’agit d’une simple mise à jour qui, dans le même temps, promet de favoriser une meilleure coopération à l’échelle européenne.
II. L’harmonisation du cadre européen comme rempart face à la cybercriminalité
La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de prendre des mesures afin remédier à la fragmentation du marché intérieur. Pour ce faire, elle accroît les exigences et les obligations envers les États membres notamment en matière de sensibilisation. Elle prévoit également la désignation d’autorités compétentes afin d’organiser la coopération à différentes échelles (A).
Enfin, la Commission complète la réglementation en la matière en adoptant de nouveaux règlements qui ciblent des domaines annexes (B).
A. La consolidation de la coopération transfrontalière (dans la gestion des cyber incidents)
La cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.
L’analyse d’impact menée par la Commission a permis de constater des disparités dans l’application des exigences en la matière. Face au faible niveau de cybersécurité des entreprises établies dans l’Union et au degré de résilience variable en fonction des États membres et des secteurs concernés, une prise de conscience de la situation et l’adoption d’une réponse conjointe à la crise semblaient nécessaires.
Si les objectifs initiaux de la directive SRI lors de son adoption en 2016 étaient de « créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société ».
La révision de la directive « sécurité des réseaux et des systèmes d’information » reprend ces objectifs tout en y ajoutant une forte volonté de coopération et d’harmonisation au regard des divergences d’application entre les États membres afin de pallier la fragmentation du marché intérieur.
-
La sensibilisation comme pilier de la stratégie déployée par la directive
Précisé à l’article 7 de la directive, « Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. »
Cet article instaure un certain nombre de points dans lesquels chaque état devra œuvrer. Parmi ces différents points, il est possible de retenir que chacun devra élaborer « un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité. »
Comme le soulignait déjà Eric Hazane en 2016, « si les cas de cyberattaques frappant les grands groupes industriels focalisent l’attention des médias, les PME sont quotidiennement visées par des cyberattaquants appâtés par la vulnérabilité de petites structures peu ou pas protégées, faute de moyens ou de sensibilisation à la nouvelle économie numérique. »
La cybersécurité doit s’immiscer dans les plus petites structures et auprès des citoyens afin de rendre effective la stratégie européenne et pour cela, la sensibilisation devra en être un des piliers. L’erreur humaine reste en effet une des principales sources des cyber incidents qui surviennent en entreprise (téléchargement d’une pièce jointe infectée par un malware).
En outre, l’usage du numérique ne concerne pas que les entreprises. En effet, les jeunes générations de plus en plus connectées ne sont pas toujours informées des risques. Cette stratégie devra également être déployée auprès des plus jeunes.
Pour endiguer ce problème, l’état français déploie une nouvelle « stratégie numérique pour l’éducation 2023-2027 » qui repose sur une série de mesures pour renforcer les compétences numériques des élèves.
-
La désignation d’autorités compétentes en vue de favoriser la coopération
Afin d’établir une stratégie commune plus réactive et plus efficace, les États membres devront communiquer entre eux. Pour ce faire, chaque État membre devra en vertu de l’article 8, désigner quelle(s) autorité(s) compétentes seront chargées d’une part de la cybersécurité et, d’autre part, de la gestion des incidents de cybersécurité majeurs et des crises. Cette coopération sera assurée par la collaboration entre trois autorités.
On retrouve aux articles 10 et 11, la mise en place des « centres de réponse aux incidents de sécurité informatique ». Il s’agit d’un centre établi par (et dans) chaque État membre, conformément la directive SRI de 2016, chargée de répondre aux incidents de sécurité.
Conformément à l’article 23 de la directive, les incidents « importants » devront être signalés aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ou à leur autorité compétente. Pour éviter que les définitions et les seuils ne varient d’un État membre à l’autre, la Commission européenne a défini les cas où les incidents sont jugés importants.
Est également inclus, le Groupe de Coopération NIS, qui rédige les lignes directrices à l’intention des autorités nationales et coordonne leur action.
Enfin, la directive intègre à son article 16 le réseau « CyCLONe ». Créé en 2020, ce réseau a pour objectif de contribuer à la mise en œuvre d’un plan d’action en cas de cyberattaque ou de crise transfrontalière, et de permettre aux entreprises de mieux partager l’information relative aux menaces. Il complète les structures de cybersécurité existantes au niveau de l’Union européenne en reliant les instances de coopération des niveaux technique (CSIRT Network) et politique (IPCR). (https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-coordination-cyclone/)
La révision de la directive « sécurité des réseaux et des systèmes d’information » initie ainsi la collaboration entre ces trois intervenants et permet d’envisager une coopération transfrontalière accrue.
B. L’intervention de la réglementation dans des domaines annexes
Comme vu précédemment, la révision de la directive SRI a permis de moderniser son cadre juridique et de prévoir une coopération transfrontalière à différentes échelles. Afin de rendre effectif le déploiement de ces efforts, elle nécessite d’être accompagnée de mesures complémentaires qui touchent des domaines annexes.
-
La régulation dès la conception des objets connectés
À peine adoptée, la directive NIS 2 doit être complétée par un nouveau texte relatif à la cybersécurité des objets connectés. Le « Cyber Resilience Act », au stade de la proposition législative, doit renforcer la sécurité informatique des produits numériques en s’attaquant notamment au problème de la vulnérabilité des objets connectés. La Commission européenne souhaite apporter un socle commun de règles applicables qui vise à réguler la fabrication et les services liés à ces technologies. (https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act)
À travers l’adoption de cette loi, la Commission entend agir plus fermement sur la sécurité des produits connectés en introduisant la cybersécurité dès la conception et prémunir les consommateurs contre la multiplication des défaillances.
Pour faire respecter ces futures obligations, la Commission européenne table sur des sanctions administratives pouvant aller jusqu’à 15 millions d’euros ou jusqu’à 2,5% du chiffre d’affaires annuel mondial pour le régime de pénalités le plus élevé.
-
Améliorer la résilience opérationnelle informatique des acteurs des services financiers
La nouvelle directive a été alignée sur la législation sectorielle, en particulier sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) à des fins de clarté juridique et de cohérence entre la directive SRI 2 et ces actes.
Le règlement DORA adopté par la Commission européenne devrait entrer en vigueur le 17 janvier 2025 au plus tard. (https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0595)
Son principal objectif est d’harmoniser les exigences en matière de risques liés aux technologies de l’information et de la communication à travers l’Europe. Ce règlement permet à l’Union d’exiger des garanties de la part des organisations en les invitant à se plier au respect d’un cadre normatif pour résister notamment aux incidences cyber qui deviennent de plus en plus critiques.
Dans un contexte d’exposition grandissante des services numériques de la banque, il est possible de distinguer trois catégories de fraude. La première concerne la fraude externe autour des moyens de paiements qui vise principalement la carte bancaire et les chèques (vol des moyens de paiements, vol des informations de la carte bancaire pour effectuer des paiements à distance, système de cavalerie). La seconde catégorie va se baser sur l’usurpation d’identité du client.
Les attaquants vont trouver des techniques (phishing) afin de récupérer les informations du client dans l’objectif de prendre la main sur leur compte en ligne et in fine d’effectuer des sorties de fonds vers des comptes de passages. La troisième catégorie correspond aux attaques massives. Cela consiste à attaquer les systèmes d’information des banques. Ces cyberattaques ont pour objectif de déstabiliser, de saboter, de voler des données afin de les revendre sur le Darknet.
Ce sont des risques opérationnels pour l’entreprise qui nécessitent un cadre de résilience. Le règlement DORA devrait donc permettre de préserver la stabilité et l’intégrité des marchés financiers, mais aussi d’assurer un niveau élevé de protection des investisseurs et des consommateurs.
Pour lire une version plus complète de cet article sur la révision de la directive européenne sur la protection des réseaux, cliquez
Sources :
- La Directive : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR
- Rapport « Panorama des cybermenaces 2022 » ANSSI : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf
- Le Département de Seine-Maritime touché par une cyberattaque le 10 octobre 2022 : https://www.paris-normandie.fr/id349866/article/2022-10-10/le-departement-de-seine-maritime-touche-par-une-cyberattaque-les-services
- Article concernant les obligations des EI et des EE : https://www.droit-technologie.org/actualites/directive-nis-2-renforcer-la-securite-it-en-europe/
- ERIC HAZANE, (In)sécurité numérique et PME : transformer les défis en atouts, CAIRN : https://www.cairn.info/revue-securite-et-strategie-2016-2-page-14.htm
- Pour en savoir plus sur le réseau Cyclone : https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-coordination-cyclone/
- Le cyber résilience Act : https://www.zdnet.fr/actualites/la-commission-europeenne-va-obliger-les-fabricants-d-objets-connectes-a-muscler-leur-cybersecurite-39947278.htm
- Le cyber résilience Act : https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act
- Proposition Règlement DORA : https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0595
- Clara Saillant, « La directive SRI 2 : élargissement du champ d’application et renforcement de la coopération en matière de cybersécurité », Dalloz Actualités, Revue IP/IT, le 17 janvier 2023 : https://www-dalloz-actualite-fr.gutenberg.univ-lr.fr/flash/directive-sri-2-elargissement-du-champ-d-application-et-renforcement-de-cooperation-en-matiere