DIRECTIVE NIS 2 : DES REGLES DE CYBERSECURITE RENFORCEES POUR LES INDUSTRIELS DE LA CHIMIE
Afin d’assurer une protection harmonisée minimale au sein de l’Union Européenne dans le domaine de la cybersécurité, la directive NIS 2 (sécurité des réseaux et des systèmes d’informations) vient d’être publiée au Journal Officiel de l’Union Européenne (JOUE) le 27 décembre 2022.
Compte tenu des évolutions technologiques, des conséquences de la crise sanitaire, et de la menace cybersécurité croissante, la Commission européenne a souhaité actualiser la directive NIS 1 (sécurité des réseaux et des systèmes d’information) en présentant une proposition de directive dite « NIS 2 » le 16 décembre 2020.
La nouvelle directive vise à harmoniser les exigences en matière de cybersécurité dans les différents États membres. À cette fin, elle fixe des règles minimales, élargit la liste des secteurs et des activités soumis à des obligations en termes de cybersécurité, et prévoit des sanctions pour assurer le respect de la législation.
Notre secteur était couvert jusqu’alors indirectement par la directive NIS 1 via la Loi de Programmation Militaire (LPM) avec les opérateurs d’importance vitale (OIV) qui ont obligation d’appliquer un socle de 20 règles affectant les systèmes d’information d’importance vitale (SIIV), notamment en se prémunissant des attaques pouvant avoir un impact sur la santé de populations. Les obligations visent la conception des SIIV, et la notification des incidents via l’arrêté du 28 novembre 2016.
Notre secteur se voit dorénavant directement concerné en tant qu’opérateur important et de très nombreuses entreprises entreront dans le champ d’application de la directive NIS2.
Les États membres disposeront d'un délai de vingt-et-un mois à compter de l'entrée en vigueur de la directive pour transposer le texte dans leur droit national (donc avant le 17 octobre 2024).
France Chimie a déjà rencontré l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dans le cadre de cette transposition et s’investira pour obtenir un texte proportionné et adapté aux nouvelles entreprises concernées (opérateurs importants), et aux OIV existants.
Résumé des nouveautés de la directive NIS 2
Elargissement du champ d’application
La directive NIS 2 élargit le champ d’application de l’actuelle directive NIS :
- en définissant de nouveaux opérateurs de services essentiels (OSE) ;
- en ajoutant un niveau d’opérateurs importants (OI) ;
- en intégrant les administrations publiques.
Concernant les opérateurs importants, l’annexe II de la directive NIS 2 désigne en particulier les produits chimiques.
La directive NIS 2 exclut expressément les micro-entreprises et TPE des OSE et OI (à savoir les entreprises de moins de 50 salariés et faisant moins de 10 millions d’euros de CA annuel), mais leur reste néanmoins applicable pour des cas particuliers.
Renforcement du contrôle et des sanctions
Concernant les obligations pour les OSE et OI de notifier des incidents de sécurité le délai de notification est porté :
- à 24h au plus tard après avoir pris connaissance de l’incident si cet incident est causé par un acte illégal ou malveillant ou peut avoir des impacts transfrontaliers ;
- à 72h dans les autres cas.
Les amendes administratives pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les OSE.
