Directive NIS 2 : l’opportunité de défendre la Chimie face à une menace cyber grandissante

Directive NIS 2 : mettre à niveau la cyberdéfense européenne

La directive NIS 2 (Directive (UE) 2022/2555) représente une évolution majeure de la législation européenne en matière de cybersécurité. Adoptée le 14 décembre 2022, elle vise à établir un niveau élevé et commun de cybersécurité à travers l'Union Européenne.

Cette nouvelle directive est une réponse aux défis croissants en matière de sécurité des réseaux et des systèmes d'information, et souligne l'importance d'une approche harmonisée pour renforcer la résilience face aux cybermenaces.

Les impacts de NIS 2 sur la Chimie

La Chimie, en tant que secteur clé de l’industrie, est directement impactée par la directive NIS 2. Comme 17 autres secteurs, les entreprises d’au moins 50 salariés ou avec un chiffre d’affaires d’au moins 10 millions d’euros sont concernées. Le périmètre d’application est donc massif et touche l’ensemble des entreprises et administrations publiques.

Les entreprises peuvent vérifier leur assujettissement à NIS 2 sur MonEspaceNIS2, espace ouvert par l’Agence Nationale de Sécurité des Systèmes d’Informations (ANSSI).

Les entreprises du secteur chimique sont désormais considérées comme des "entités importantes" -le niveau de régulation minimal- et devront se conformer à des exigences accrues en matière de gestion des risques de cybersécurité et de signalement des incidents.

La directive met un accent particulier sur la sécurité des chaînes d'approvisionnement, ce qui pourrait entraîner des coûts de conformité élevés pour les fabricants, producteurs et distributeurs de produits chimiques, nécessitant des investissements significatifs dans les infrastructures informatiques et les systèmes de cybersécurité.

La transposition de NIS 2 en France

Les 27 Etats membres ont jusqu’au 18 octobre 2024 pour transposer NIS 2. En France, l’ANSSI a la charge d’établir les règles opérationnelles pour les entités concernées. Les pouvoirs publics ont annoncé une mise en place progressive de NIS 2 sur 3 ans, qui reste à confirmer.

Cette période de transition est cruciale pour que les entreprises du secteur Chimie évaluent leur posture de cybersécurité actuelle et mettent en œuvre les changements nécessaires pour répondre aux nouvelles exigences réglementaires.

Pour une transposition proportionnée et harmonisée de NIS 2

La directive représente une opportunité pour les entreprises de la filière d’élever collectivement leur niveau de cybersécurité. Accroitre la dette technique des entreprises reviendrait à exposer leur compétitivité à moyen-terme dans un environnement cyber évolutif et agressif.

Néanmoins, dans un contexte économique défavorable, et une pression réglementaire accrue depuis plusieurs années, la proportionnalité des mesures à venir est indispensable, entre une cyberdéfense robuste des entreprises et le maintien de leur compétitivité face à de nombreux défis : écart des prix de l’énergie avec les autres régions du monde, surcapacités de production chinoises, demande intérieure réduite.

L’harmonisation des transpositions nationales est également nécessaire afin d’éviter toute distorsion des investissements réglementaires au sein de l’espace européen.

Enfin, l’accompagnement et la mise à disposition d’outils sont essentiels pour une transposition réussie.

La directive NIS 2 est un tournant pour la Chimie. Les entreprises doivent se préparer à des changements significatifs pour garantir leur conformité et renforcer dès maintenant leur résilience face aux cybermenaces.

Le Comité Cybersécurité et Transformation Numérique de France Chimie, en lien avec les pouvoirs publics défendra une transposition proportionnée et harmonisée pour la filière.

L’ANSSI consultera les fédérations professionnelles au deuxième semestre pour proposer un référentiel de mesures à la Commission Européennes en janvier 2025.