Le Conseil européen valide une position commune sur NIS 2

Adoptée en 2016 au niveau européen, la directive « Network and Information System Security » (NIS) a établi le principe d’une exigence minimale en termes de cybersécurité pour les entreprises et organisations fournissant des services essentiels.

En discussion depuis 2020, sa révision NIS 2 est en cours de finalisation. Adoptée fin octobre 2021 par les eurodéputés de la Commission de l’industrie, de la recherche et de l’énergie, elle a été validée par les ministres du numérique de l’UE, lors du Conseil européen du 3 décembre 2021.

Une version définitive doit encore être arrêtée par le Parlement et le Conseil européen, probablement début 2022 lors de la présidence française de l’Union européenne (PFUE). Elle sera ensuite transposée dans les droits nationaux des États membres sous deux ans.

NIS 2 étend notamment le champ d’application de la directive. Outre les secteurs « essentiels » (énergie, transports, banque, santé, infrastructures numériques, administration publique et espace), elle déploie aussi des règles pour les secteurs jugés « importants » (services postaux, gestion des déchets, produits chimiques, secteur alimentaire, fabrication des dispositifs médicaux, électronique, machines, véhicules à moteur et fournisseurs numériques). Par ailleurs, les moyennes entités opérant dans ces secteurs seront désormais aussi concernées.

Le niveau d’exigence imposé à ces acteurs, publics et privés, a été relevé, et inclut désormais la réponse aux incidents, la divulgation des vulnérabilités, la sécurité de la chaîne alimentaire ou le chiffrement. NIS 2 établit aussi un cadre favorisant une meilleure collaboration entre États membres en matière de cybersécurité, ainsi qu’une base de données européennes des vulnérabilités.

NIS 2 exclut de son champ d’application les secteurs dont la cybersécurité dépend directement des États, comme la défense, la sécurité nationale, la sécurité publique, les services répressifs, le pouvoir judiciaire et les parlements.