La règlementation NIS2

Article 1 - Objet

La directive vise à établir un niveau commun élevé de cybersécurité dans l'UE pour améliorer le marché intérieur. Elle impose des obligations aux États membres, aux entités publiques et privées dans les secteurs critiques listés dans les annexes I et II.

Article 2 - Champ d’application

Elle s'applique aux entités publiques et privées définies dans les annexes I et II qui remplissent les critères de taille des entreprises moyennes ou supérieures, ainsi qu'à des entités critiques définies par les États membres.

Article 3 - Entités essentielles et importantes

La directive distingue deux types d'entités :

• Essentielles : entités d'envergure majeure (ex. secteurs critiques de l'annexe I, fournisseurs de réseaux de communication, autorités publiques, etc.).

• Importantes : autres entités significatives.
  Les États membres doivent établir et maintenir à jour une liste des entités essentielles et importantes.

Article 4 - Actes juridiques sectoriels de l’Union

Les exigences sectorielles préexistantes au niveau de l'UE (ex. directives sectorielles) peuvent prévaloir sur la directive si elles garantissent un niveau de cybersécurité équivalent.

Article 5 - Harmonisation minimale

Les États membres peuvent adopter des mesures nationales plus strictes en matière de cybersécurité, à condition qu'elles soient compatibles avec le droit de l'UE.

Article 6 - Définitions

Il définit les principaux termes utilisés dans la directive, notamment :

• Réseau et système d’information

• Cybersécurité

• Stratégie nationale de cybersécurité

Article 7 - Stratégie nationale en matière de cybersécurité

Chaque État membre doit adopter une stratégie nationale de cybersécurité. Cette stratégie fixe des objectifs et des priorités ainsi qu'un cadre de gouvernance.

Article 8 - Autorités compétentes et points de contact uniques

Chaque État membre doit désigner ou établir des autorités compétentes et un point de contact unique pour la cybersécurité, chargés de la mise en œuvre de la directive et de la coopération transfrontalière.

Article 9 - Cadres nationaux de gestion des crises cyber

Les États membres doivent désigner des autorités de gestion des crises cyber et adopter un plan national de réaction aux crises et incidents de cybersécurité majeurs.

Article 10 - Centres de réponse aux incidents de sécurité informatique (CSIRT)

Chaque État membre doit désigner un ou plusieurs CSIRT (Computer Security Incident Response Team) dotés des moyens nécessaires pour traiter les incidents de cybersécurité.

Article 11 - Obligations, capacités techniques et tâches des CSIRT

Cet article détaille les exigences et les tâches des CSIRT, y compris la surveillance des cybermenaces, la réaction aux incidents, et la coopération avec les acteurs du secteur privé.

Article 12 - Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités

Les États membres doivent désigner un CSIRT comme coordinateur pour la divulgation des vulnérabilités et l'ENISA doit établir une base de données européenne des vulnérabilités.

Article 13 - Coopération au niveau national

Il précise les modalités de coopération entre les autorités compétentes, les points de contact uniques et les CSIRT au sein de chaque État membre

Ces articles décrivent la coopération entre les États membres, la Commission européenne et l'Agence européenne pour la cybersécurité (ENISA), notamment via la mise en place d'un groupe de coopération et d'un réseau de centres de réponse aux incidents (CSIRT).

Article 14 - Groupe de coopération

Un groupe de coopération est institué pour soutenir et faciliter la coopération stratégique et l'échange d'informations entre les États membres et renforcer la confiance.

Article 15 - Réseau des CSIRT

Un réseau des CSIRT est institué pour promouvoir une coopération opérationnelle rapide et efficace entre les États membres.

Article 16 - Le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe)

EU-CyCLONe est institué pour contribuer à la gestion coordonnée des incidents de cybersécurité majeurs et des crises au niveau opérationnel.

Article 17 - Coopération internationale

L'Union peut conclure des accords internationaux avec des pays tiers ou des organisations internationales pour leur participation à certaines activités du groupe de coopération, du réseau des CSIRT et d'EU-CyCLONe.

Article 18 - Rapport sur l’état de la cybersécurité dans l’Union

L'ENISA doit adopter un rapport bisannuel sur l'état de la cybersécurité dans l'Union, comprenant des évaluations des risques et des recommandations politiques.

Article 19 - Évaluations par les pairs

Le groupe de coopération établit une méthodologie pour les évaluations par les pairs afin de renforcer la confiance mutuelle et d'atteindre un niveau commun élevé de cybersécurité.

Article 20 - Gouvernance

Les organes de direction des entités essentielles et importantes doivent approuver et superviser les mesures de gestion des risques en matière de cybersécurité.

Article 21 - Mesures de gestion des risques en matière de cybersécurité

Les entités doivent appliquer des mesures techniques et organisationnelles pour gérer les risques en matière de cybersécurité.

Article 22 - Évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques

Le groupe de coopération peut procéder à des évaluations coordonnées des risques pour la sécurité des chaînes d'approvisionnement critiques.

Article 23 - Obligations d’information

Les entités doivent notifier les incidents importants aux autorités compétentes dans un délai de 24 heures. Les incidents incluent les perturbations graves de services ou des atteintes à la sécurité des systèmes.

Article 24 - Recours aux schémas européens de certification de cybersécurité

Les États membres peuvent prescrire l'utilisation de produits, services et processus TIC certifiés dans le cadre de schémas européens de certification de cybersécurité.

Article 25 - Normalisation

Les États membres doivent encourager l'utilisation de normes et de spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d'information.

Ce chapitre traite du partage d'informations entre les entités, les autorités nationales et les organismes de l'UE.

Article 26 - Compétence et territorialité

Il définit la compétence des États membres en matière de supervision des entités relevant du champ d'application de la directive.

Article 27 - Registre des entités

L'ENISA doit créer et tenir un registre des entités fournissant des services critiques, basé sur les informations reçues des points de contact uniques.

Article 28 - Base des données d’enregistrement des noms de domaine

Les États membres doivent imposer aux registres des noms de domaine de premier niveau et aux entités fournissant des services d'enregistrement de noms de domaine de collecter et de maintenir des données d'enregistrement exactes et complètes.

Les États membres doivent évaluer l'efficacité des mesures de cybersécurité des entités essentielles et importantes. La notification des incidents fait l'objet de règles précises.

Article 29 - Accords de partage d’informations en matière de cybersécurité

Les États membres doivent faciliter la mise en place d'accords de partage d'informations en matière de cybersécurité entre les entités essentielles et importantes.

Article 30 - Notification volontaire d’informations pertinentes

Les entités peuvent notifier volontairement aux CSIRT ou aux autorités compétentes des incidents, des cybermenaces et des incidents évités.

Article 31 - Aspects généraux concernant la supervision et l’exécution

Les États membres doivent veiller à ce que leurs autorités compétentes procèdent à une supervision efficace et prennent les mesures nécessaires pour assurer le respect de la directive.

Article 32 - Mesures de supervision et d’exécution en ce qui concerne les entités essentielles

Il détaille les pouvoirs des autorités compétentes pour superviser et faire respecter les obligations des entités essentielles.

Article 33 - Mesures de supervision et d’exécution en ce qui concerne les entités importantes

Il précise les mesures de supervision et d'exécution applicables aux entités importantes, basées sur une approche de contrôle ex post.

Article 34 - Conditions générales pour imposer des amendes administratives à des entités essentielles et importantes

Les États membres doivent veiller à ce que les amendes administratives imposées soient effectives, proportionnées et dissuasives.

Les entités qui ne respectent pas la directive peuvent être sanctionnées par des amendes. Les montants peuvent atteindre :

• 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (pour les entités essentielles)

• 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial (pour les entités importantes)

Article 35 - Infractions donnant lieu à une violation de données à caractère personnel

Les autorités compétentes doivent informer les autorités de contrôle des violations de données à caractère personnel découvertes lors de la supervision ou de l'exécution.

Article 36 - Sanctions

Les États membres doivent déterminer le régime des sanctions applicables aux violations des dispositions nationales transposant la directive.

Article 37 - Assistance mutuelle

Les autorités compétentes des États membres doivent coopérer et se prêter mutuellement assistance pour la supervision et l'exécution des mesures de cybersécurité.

Article 38 - Exercice de la délégation

La Commission européenne est habilitée à adopter des actes délégués sur certains aspects de la directive.

Article 39 - Comité

La Commission est assistée par un comité pour l'adoption des actes d'exécution nécessaires à la mise en œuvre de la directive.

Article 40 - Réexamen

La Commission doit réexaminer périodiquement la directive et en faire rapport au Parlement européen et au Conseil, accompagnée, si nécessaire, de propositions législatives.

Article 41 - Transposition

Les États membres doivent transposer la directive dans leur droit national avant le 17 octobre 2024. Cela inclut l'adoption de mesures nationales garantissant le respect des obligations de la directive.

Article 42 - Modification du règlement (UE) no 910/2014

Il supprime l'article 19 du règlement (UE) n° 910/2014 avec effet au 18 octobre 2024.

Article 43 - Modification de la directive (UE) 2018/1972

Il supprime les articles 40 et 41 de la directive (UE) 2018/197

Article 44 - Abrogation

Cette directive remplace la directive NIS initiale de 2016. Les nouvelles dispositions renforcent les exigences de cybersécurité et introduisent de nouvelles obligations pour les entités essentielles et importantes.

Article 45 - Entrée en vigueur

La directive entre en vigueur le 18 octobre 2024. Elle s'appliquera à toutes les entités concernées, y compris celles classées comme entités essentielles et importantes au sens des articles précédents.

Article 46 - Destinataires

La directive s'adresse aux États membres de l'Union européenne, qui doivent veiller à sa transposition et à son application.