Les Etats membres de l'Union européenne et les députés européens ont trouvé un accord sur la future directive NIS2, version actualisée de la directive NIS, jeudi 12 mai, dans le cadre d'un trilogue. La directive NIS2 doit accroître les capacités européennes en matière de cybersécurité.
Une adoption difficile, des exceptions nombreuses…
Face à des cybermenaces toujours plus importantes et audacieuses ainsi que dans un contexte de tension extrême avec la Russie dans le contexte de l'invasion de l'Ukraine par la Russie, l'UE devait faire le choix d'adapter son cadre de sécurité numérique à cette nouvelle donne. Avec pour objectif principal d’harmoniser les exigences de cybersécurité entre les Etats membres et de définir des mécanismes de coopération pour mieux gérer les risques cyber, NIS 2 donne un cadre précis aux obligations des Etats membres en matière de cybersécurité. C'est la volonté de mettre en place ce cadre qui a entraîné des négociations difficiles débouchant sur une série d'exceptions.
En outre, la directive NIS 2 nomme un certain nombre de secteurs dont les entités doivent appliquer des règles strictes en matière de cybersécurité mais un certain nombre de secteurs ont néanmoins fait l'objet d'un traitement d'exception : la défense, la sécurité nationale, la sécurité civile, les services répressifs, juridiques, les banques centrales ainsi que les parlements. Lorsque l'accord provisoire trouvé en trilogue sera officiellement proposé et adopté au Parlement européen et au Conseil de l'UE, les Etats membres disposeront d'un délai de 21 mois pour la transposer dans leur législation nationale. Mais là aussi, les Etats membres ont négocié une certaine flexibilité, en restant libre d'appliquer la directive ou non au niveau local. Il faudra ainsi attendre la transposition du texte en droit français pour savoir si les administrations des collectivités territoriales seront concernées et quels critères seront retenus pour justifier ou non de l'application de règles de cybersécurité. Néanmoins, étant donné les données sensibles collectées par les régions, les métropoles et dans une mesure moindre, les départements, difficiles d'imaginer que ceux-ci ne seront pas, au même titre que l'administration centrale, soumis à la directive NIS 2.
…Mais des ambitions renouvelées pour un espace commun de cybersécurité
L'objectif principal du texte est de permettre une harmonisation et une exigence plus élevée des attentes en matière de cybersécurité. Ainsi ne seraient concernées que les moyennes et les grandes entreprises et administrations en optant pour des échanges de bonnes pratiques entre ces structures autour de règles et d'ambitions communes formulées dans la directive. En plus de limiter les atteintes à la sécurité numérique, les capacités de réaction européennes doivent ainsi s'accroître, dans le secteur public et privé en cas d'incident de cybersécurité. En effet, la directive NIS 2 doit aussi donner naissance au réseau européen pour la préparation et la gestion de crises dans le cyberespace afin de développer une gestion coordonnée des incidents majeurs, un véritable espace européen de la cybersécurité.