Il s’agit de la première initiative législative de l’UE sur la cybersécurité. Son but est d’assurer un niveau élevé et commun de sécurité des systèmes d’information et réseaux de l’Union européenne. Cet objectif se décline en quatre enjeux clés :

• Consolider les capacités nationales des Etats membres en matière de cybersécurité,
• Créer un cadre de coopération politique et organisationnelle entre Etats membres autour de la cybersécurité,
• Mettre en place un dispositif de cybersécurité pour les opérateurs de services essentiels (OSE). Les OSE sont des « opérateurs tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société».
• Mettre en place un dispositif de cybersécurité pour les fournisseurs de services numérique (FSN). La directive NIS définit un FSN comme « une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ». Trois types de services numériques sont concernés par le cadre réglementaire : les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage.

D’une part, la sécurité des OSE est une prérogative souveraine des Etats, d’autre part, le rôle de l’UE est d’assurer le bon fonctionnement du marché européen. Afin de concilier ces deux objectifs, la directive NIS énonce clairement : « la présente directive devrait s’entendre sans préjudice de la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la recherche, la détection et la poursuite d’infractions pénales. »[1]. Chaque pays peut donc adapter le texte en fonction de ce qu’il estime être prioritaire et stratégique pour garantir sa sécurité et celle de ses réseaux et systèmes d’information. La directive NIS fixe cependant des exigences communes, notamment en matière de transposition de la directive en législation nationale, de secteurs concernés, d’identification des risques, de supervision, de mise en place de mesures techniques et organisationnelles, de notification des incidents cyber, et de sanctions en cas de manquement.

L’analyse réalisée aborde la transposition de la directive NIS dans chacun des 27 Etats membres de l’Union européenne, ainsi que la Suisse et le Royaume-Uni. Elle permet ainsi de mettre en lumière les différentes approches et de dégager les points de convergence et de divergence entre pays, notamment dans le cadre de l’évolution prochaine de la directive. En effet, une proposition de révision de la NIS a été adoptée par la Commission européenne en décembre 2020 et vise à remplacer le texte originel.

Une transposition achevée pour certaines thématiques…

Différents types et nombres de textes législatifs pour transposer la NIS

La transposition de la NIS a bien eu lieu dans toutes les législations nationales des états membres de l’Union Européenne. Cependant, il existe une hétérogénéité dans le type de textes législatifs adoptés. Dans la majorité des pays, la transposition prend la forme d’une loi (vingt-deux pays), à laquelle treize pays rajoutent au moins un autre texte législatif (ordonnance, décret, règlement, amendement ou décision ministérielle). Dans deux pays la transposition de la NIS a eu lieu dans chaque loi sectorielle, ce qui augmente le nombre de textes législatifs (quatre textes ou plus).

Une mise en place générale des processus de notification des cyber-incidents

Tous les pays sont parvenus à mettre en place des processus de notification des incidents cyber. Une fois encore, des déroulés différents selon les pays sont observés.

Il existe six procédures différentes de transmission des alertes lors d’un incident cyber :

• Dans le premier cas (neuf pays), l’OSE doit en premier lieu notifier l’autorité nationale compétente de la survenue de l’incident,
• Un deuxième procédé (dix pays), le premier point de contact est le CSIRT, l’équipe d’intervention en cas d’incident de sécurité informatique, aussi appelé CERT,
• Dans un nombre moins élevé de cas (trois pays), les OSE doivent notifier l’autorité sectorielle compétente,
• La notification d’un incident cyber s’effectue via une plateforme sécurisée dans quatre pays,
• Moins fréquemment encore (2 pays), le point de contact unique (SPOC) est à alerter,
• Enfin, pour 1 pays (Hongrie), l’OSE alerte un centre de gestion des événements.

Tous les états membres prévoient également la notification du point de contact d’un pays membre si celui-ci est également concerné par le cyber-incident ainsi que la notification du public lorsque cela est nécessaire.

Pour se conformer aux contraintes imposées par la NIS, certains états sont même allés plus loin

La directive NIS prévoit initialement de s’appliquer aux secteurs du transport, de l’énergie, de la santé, de l’eau potable, de la banque, de la finance et du numérique. Dans la transposition, plus de la moitié des pays analysés ajoute d’autres secteurs ou sous-secteurs essentiels en plus des sept cités précédemment. Ils sont listés ci-dessous, rangés par fréquence d’apparition :

• L’Autriche, la Croatie, Chypre, la Lituanie, Malte, la Slovaquie, l’Espagne et la Suisse mentionnent également l’administration publique.
• Chypre, l’Estonie, l’Allemagne, la Lituanie, les Pays-Bas, la Slovaquie, l’Espagne et la Suisse rajoutent les technologies de l’information et de la communication et l’IT.
• L’Estonie, la France, l’Allemagne, la Hongrie, la Lituanie, la Slovénie, l’Espagne, la Suisse ajoutent la
• La République Tchèque, la Lituanie, les Pays-Bas, l’Espagne complètent la liste avec l’industrie.
• L’Estonie, l’Allemagne, la Suisse mentionnent aussi le chauffage et le logement.
• La Lituanie et la Slovaquie rajoutent la défense, la Suisse la sécurité nationale.
• La Lituanie et la Slovénie insèrent la protection de l’environnement.
• La France est la seule à ajouter l’éducation.
• L’Espagne est la seule à mentionner l’espace et les centres de recherches.

… Mais une déclinaison à finaliser sur d’autres

De fortes disparités sur la supervision assurée par l’état

Plusieurs catégories et différents niveaux de contrôle sont exercés par les autorités pour attester de la conformité à la NIS. Les fortes disparités de supervision concernent notamment les autorités assurant le contrôle (autorité nationale ou sectorielle) ainsi que le niveau de contrôle attendu (supervision, inspection, audit ou encore évaluation) : il n’existe pas de consensus autour du processus à adopter. Par ailleurs, six pays ne donnent pas d’information quant à la supervision mise en place.

Des mesures de sécurité de niveau et de diffusion hétérogènes

Exceptés pour six pays pour lesquels aucune information n’est fournie concernant les mesures de sécurité, 2 grandes approches sont observées :

• Les mesures de sécurité sont mentionnées dans le corps du ou des texte(s) législatif(s) de transposition de la NIS (onze pays),
• Elles font l’objet d’un guide, d’une liste de recommandations ou d’une publication en ligne établis par des entités différentes (gouvernement, régulation, décret, etc.) dans douze pays.

Pour les mesures incluses dans les textes législatifs, il existe quelques points de convergence sur les thèmes abordés :

• La norme internationale ISO27001 et le cadre de cybersécurité du NIST, en tant que modèle pour établir les mesures de sécurité (dans respectivement quatre et deux pays)
• Six mêmes thématiques (sécurité des systèmes et des installations, gestion des incidents, continuité de l’activité…) reviennent dans quatre pays.

Des sanctions de montant et de format différents

Le montant des sanctions pour le non-respect des règles varie relativement dans les différents pays pouvant aller de moins de 100K€ à 20M€ maximum (exceptée la Finlande qui ne prévoit aucune sanction). La majorité ont choisi d’appliquer un montant inférieur à 200k€ (dix-huit pays) tandis que quatre pays prévoient un montant maximum au-delà d’1M€. Il est d’ailleurs à noter que les sanctions sont susceptibles d’être accumulées en cas de non-conformités multiples ce qui ne permet pas d’établir avec certitude le montant maximum global d’une sanction.

Des mesures d’emprisonnement sont mêmes prévues dans deux pays (la Belgique et Chypre).

Enfin, quatre pays n’ont pas encore formalisé les sanctions en cas de manquement.

En conclusion

Née dans un contexte de niveaux de sécurité des réseaux et systèmes d’information inégaux au sein de l’Union européenne, la directive NIS est maintenant transposée dans tous les Etats membres. Cela a permis la création d’un socle commun de sécurité tout en laissant la possibilité aux Etats de veiller à la protection des intérêts essentiels de leur sécurité. Ainsi, chaque pays désigne ses opérateurs de services essentiels, et choisi les secteurs qu’il estime les plus stratégiques à protéger. De plus, la transposition de la loi, les processus de supervision et de notification d’incidents sont effectués par l’autorité jugée compétente, que celle-ci soit sectorielle ou nationale, que ce soit le CSIRT ou le point de contact unique. Cette souplesse permet à la NIS de s’adapter à l’organisation de tous les états membres. Il existe des ressemblances visibles et regroupement entre les pays, ainsi que des points de divergence importants qui laissent place à de nombreuses déclinaisons et rendent la comparaison pertinente et riche.

Une proposition de révision de la NIS a été adoptée en décembre 2020, mais son calendrier prévisionnel n’est pas encore communiqué. Néanmoins, ses principaux objectifs ont été édictés afin d’atteindre un niveau de cybersécurité plus élevé et des processus plus homogènes au sein de l’Union Européenne d’une part, et d’augmenter davantage la coopération entre Etats membres d’autre part. La révision de la NIS s’articule autour de l’abandon de la distinction entre OSE et FSN, la désignation des OSE par la directive et non par les Etats, la création d’un nouveau réseau européen pour les incidents cyber majeurs, l’imposition de CSIRT ayant un rôle de support aux entités, ainsi que le contrôle par les Etats des mesures techniques et organisationnelles mises en place (notamment pour l’analyse de risques et la gestion de crise). Ces changements feront l’objet d’un nouvel article.

Sources :

Directive Network and Information System – Article ANSSI Lien : Retrouver l’article ANSSI sur la Directive NIS ici

Directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union Lien : Retrouver la Directive NIS ici

FAQ sur les Fournisseurs de Services Numériques (FSN) – Article ANSSI – 23 mai 2018 Lien : Retrouver la FAQ sur les FSN ici

FAQ sur les Opérateurs de Services Essentiels (OSE) – Article ANSSI Lien : Retrouver la FAQ sur les OSE ici

Proposition de DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 Lien : Retrouver la proposition de la révision de la NIS ici

[1] Directive (UE) 2016/1148 du Parlement européen et du conseil du 6 juillet 2016.

Cet article En pleine préparation de la NIS V2, mise à jour du tour d’horizon européen de transposition de la directive NIS par les états membres… vers une convergence ? est apparu en premier sur RiskInsight.

Une 4^ème Directive Européenne plus ambitieuse

Depuis février 2013, une nouvelle directive est en effet en cours de rédaction. Ce processus a abouti avec l’adoption de la 4^ème directive par le parlement européen le 20 mai 2015.

Elle répond à un double objectif :

• Adapter, d’une part le cadre juridique aux nouveaux risques de blanchiment et de financement du terrorisme.
• Mettre à jour, d’autre part la législation européenne en intégrant les recommandations du GAFI de février 2012.

Autant d’éléments indispensables entrant dans une dynamique plus importante de transparence et de fluidité dans la lutte anti-blanchiment.

8 avancées permises par la nouvelle directive

1 – Des mesures de vigilance plus strictes

La 4^ème Directive met en place des mesures de vigilance minimales y compris en cas de risque faible, notamment en renforçant les contrôles sur la monnaie électronique anonyme. De plus, afin d’harmoniser l’analyse par les risques entre les Etats membres, des situations présentant un risque faible ou plus élevé sont listées en annexe.

2 – Une transparence accrue de l’information sur les bénéficiaires effectifs

La 4^ème Directive introduit un nouvel « outil » dans le paysage de la LAB/FT, en mettant en place des registres centralisés sur les bénéficiaires effectifs des personnes morales largement ouverts aux autorités de contrôle, organismes assujettis et au public. A noter toutefois que les mesures visant les trusts sont moins contraignantes que pour les autres personnes morales.  Grâce à cette mesure qui accroît la transparence de l’information sur les bénéficiaires effectifs, les établissements devraient être plus à même de remplir leurs obligations de vigilance.

3 – Une liste européenne des juridictions non coopératives

L’Union Européenne publiera une liste noire des juridictions non coopératives regroupant les pays dont la législation est défaillante en matière de LAB/FT(Lutte anti-blanchiment/Financement du terrorisme). Cette liste prendra en compte les listes existantes dont celles du GAFI (Le Groupe d’action financière).

4 – Distinction des PPE nationales et étrangères

La notion de PPE (Personne Politiquement Exposée) est affinée et distingue PPE nationales et étrangères. Une PPE nationale est une personne physique qui est ou a été chargée de fonctions publiques importantes par un État membre. Alors qu’une personne physique qui est ou a été chargée de fonctions publiques importantes par un pays tiers répond désormais à la définition de PPE étrangère.

5 – Modification des prérogatives des Cellules de Renseignement Financiers (CRF)

L’indépendance opérationnelle et l’autonomie des CRF sont renforcées.

6 – Renforcement du contrôle interne et des procédures LAB/FT à l’échelle groupe

Les exigences en matière de contrôle interne ainsi que les procédures LAB/FT  sont précisées et renforcées si la taille et la nature de l’activité le justifient :

• Obligation de mettre en œuvre des procédures de LAB/FT à l’échelle du groupe.
• Nomination d’un responsable du contrôle du respect des obligations LAB/FT.
• Mise en place d’une fonction d’audit interne indépendante.

7 – Durcissement des sanctions

La 4^ème Directive prévoit une harmonisation minimale des sanctions applicables. De plus, elle introduit des plafonds de sanctions en distinguant les personnes physiques et les personnes morales de sorte que des sanctions pécuniaires puissent désormais être infligées aux personnes physiques.

8 – Révision du règlement (CE) n° 1781/2006

Le Règlement sur les informations accompagnant les virements de fonds dont la mise en application est simultanée avec la 4^ème Directive a pour objectif de réformer le règlement actuel (CE) 1781/2006, de prendre en compte la recommandation n°16 du GAFI et enfin de renforcer les informations accompagnant les transferts de fonds en introduisant de nouvelles obligations relatives au bénéficiaire.

Une 4^ème Directive pourtant déjà remise en question

Avant même son adoption, la nouvelle Directive suscite déjà des critiques. Tout d’abord, la notion de PPE est limitée aux seules fonctions nationales et internationales. Les décideurs régionaux et locaux qui pourtant présentent les plus grands risques de corruption ne seraient donc pas considérés comme des PPE.

Par ailleurs, sa mise en œuvre au sein des établissements financiers français devrait avoir peu d’impacts en France. En effet, l’Ordonnance de 2009 a été amendée par des modifications du code monétaire et des lignes directrices de l’ACPR (Autorité de contrôle prudentiel et de résolution) afin d’anticiper les futures évolutions de la réglementation européenne et celles des recommandations du GAFI.

Cependant, dans le souci d’harmoniser les règlementations des Etats membres, l’affirmation des mesures de cette nouvelle Directive LAB/FT  est indispensable. Dans cette lutte contre le blanchiment et le financement du terrorisme, l’amélioration ne peut se faire que pas à pas. Et en ce sens, la 4ème directive apporte déjà une avancée qu’il serait dommage de remettre fondamentalement en cause.

Cet article Lutte anti-blanchiment & financement du terrorisme : ce que va changer la 4ème Directive Européenne est apparu en premier sur RiskInsight.