La directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union) dite NIS 2, sur laquelle le Conseil et le Parlement européen ont trouvé un accord en 2022, est applicable depuis début 2023. Les Etats membres disposent de 21 mois pour transposer dans leur droit national les nouvelles dispositions.
Ces nouvelles dispositions viennent mettre à jour les règles actuelles en matière de sécurité des réseaux et des systèmes d'information, inscrite dans la directive NIS de 2016. La directive NIS a été le premier instrument législatif de l'UE en matière de cybersécurité et a ouvert la voie dans de nombreux États membres à un changement des approches institutionnelles et réglementaires concernant la cybersécurité. Ces règles ont néanmoins dû être mises à jour en raison de la numérisation croissance et de l'augmentation des actes de cybermalveillance à l'échelle mondiale.
La directive NIS2 couvre, par rapport à la directive actuellement en vigueur, des entités de taille moyenne et de grande taille d'un plus grand nombre de secteurs cruciaux pour l'économie et la société, notamment les fournisseurs de services de communications électroniques accessibles au public, les services numériques, le traitement des eaux usées et la gestion des déchets, la fabrication de produits critiques, les services postaux et de courrier et l'administration publique, aux niveaux central et régional (les Etats membres disposent de marges de manœuvre pour appliquer ou non la directive au niveau local). Auparavant, les Etats membres pouvaient librement déterminer les entités qualifiées de services essentiels. Elle couvre aussi plus largement le secteur des soins de santé (son champ d'application s'étendant, par exemple, aux fabricants de dispositifs médicaux), compte tenu de l'aggravation des menaces en matière de sécurité pendant la pandémie de COVID19.
Les nouvelles règles, dont le champ d'application est plus large que celui des règles existantes, contribueront, en obligeant effectivement un plus grand nombre d'entités et de secteurs à prendre des mesures de gestion des risques en matière de cybersécurité. Les colégislateurs ont trouvé un accord sur l’exclusion des acteurs dans les domaines de la défense, de la sécurité nationale, de la sécurité publique, les services répressifs, les pouvoirs judiciaires, les parlements et les banques centrales.
La directive NIS2 renforce également la sécurité des chaînes d'approvisionnement et des relations avec les fournisseurs et introduit le concept de responsabilisation des dirigeants en cas de non-respect des obligations en matière de cybersécurité. Elle rationalise les obligations de signalement, introduit des mesures de surveillance plus rigoureuses pour les autorités nationales, ainsi que des exigences d'exécution plus strictes, et vise à harmoniser les régimes de sanction dans tous les États membres.
La directive NIS2 contribuera à accroître le partage d'informations et la coopération en matière de gestion des cybercrises tant au niveau national qu'au niveau de l'UE. Le nouveau texte instaure également un nouveau régime de recours et de sanctions en cas de non-respect de ses dispositions. Les obligations de signalement, telles que prévues dans la proposition initiale de la Commission, ont en revanche été revues afin de ne pas provoquer d’effet de ‘sur-déclaration’, ce qui déboucherait de facto sur une charge importante de travail pour les entités concernées.