La directive NIS2 reconnaît que les besoins en matière de cybersécurité et les profils de risque varient de manière significative entre les différents secteurs.

[Callforaction-NIS2]

Elle adopte donc une approche sectorielle à travers plusieurs mécanismes clés :

• Champ d’application défini par secteur : Le champ d’application de la directive est défini explicitement par une liste de secteurs et sous-secteurs considérés comme cruciaux pour l’économie et la société de l’UE (Annexes I et II de la directive NIS2). Cette délimitation sectorielle garantit que les obligations imposées par la NIS2 sont pertinentes par rapport aux risques et aux défis spécifiques auxquels sont confrontées les entités opérant dans ces secteurs.
• Exigences de sécurité adaptées au secteur : Bien que la NIS2 établisse un niveau minimal de mesures de gestion des risques de cybersécurité applicable à toutes les entités concernées, elle permet une personnalisation sectorielle de ces exigences. L’article 21, paragraphe 5, confère à la Commission le pouvoir d’adopter des actes d’exécution qui précisent les exigences techniques et méthodologiques, y compris les “exigences sectorielles”, pour la mise en œuvre de ces mesures de sécurité. Cette flexibilité reconnaît que certains secteurs peuvent nécessiter des pratiques de cybersécurité plus détaillées ou adaptées au contexte spécifique.
• Signalement des incidents sur une base sectorielle : La NIS2 reconnaît que les types d’incidents de cybersécurité considérés comme “significatifs” et devant donc être signalés aux autorités nationales peuvent différer selon les secteurs. Bien qu’une définition générale d’”incident” soit fournie, l’article 23, paragraphe 11, permet à la Commission d’adopter des actes d’exécution pour définir plus précisément ce qui constitue un incident significatif dans des secteurs particuliers. Cette disposition permet une approche plus ciblée et adaptée aux caractéristiques sectorielles lors du signalement des incidents.
• Implication de l’expertise sectorielle : La directive souligne l’importance d’impliquer des experts du secteur dans sa mise en œuvre et sa supervision :
  • Groupe de coopération NIS : L’article 14 institue le groupe de coopération NIS, composé de représentants des autorités nationales de cybersécurité des États membres. Ce groupe joue un rôle crucial dans la promotion de la coopération stratégique et de l’échange d’informations entre les États membres sur les questions de cybersécurité. Il est important de noter que le mandat du groupe inclut la prise en compte des “caractéristiques spécifiques de chaque secteur” dans l’élaboration de ses avis, lignes directrices et bonnes pratiques.
  • Réseau européen des organisations de liaison en cas de crise cyber (EU-CyCLONe) : EU-CyCLONe, établi en vertu de l’article 16, soutient la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle. Pour garantir que les stratégies de réponse d’EU-CyCLONe soient en phase avec les besoins uniques des différents secteurs, ses activités et l’échange d’informations peuvent impliquer des “communautés sectorielles ou intersectorielles” si nécessaire.
  • Consultation des parties prenantes : La directive prévoit la consultation des parties prenantes concernées, y compris celles représentant des secteurs spécifiques, lors de l’élaboration d’actes d’exécution et de lignes directrices. Cela garantit que les perspectives sectorielles sont prises en compte dans l’application pratique de la NIS2.
• Coordination avec la législation sectorielle : La NIS2 est conçue pour fonctionner en harmonie avec la législation sectorielle de l’UE existante et future relative à la cybersécurité. L’article 4 clarifie la relation entre la NIS2 et cette législation :
  • Obligations équivalentes : Si un acte juridique sectoriel impose des obligations de gestion des risques de cybersécurité ou de signalement des incidents à des entités essentielles ou importantes, et si ces obligations sont jugées au moins équivalentes à celles prévues par la NIS2, alors les dispositions correspondantes de la NIS2 ne s’appliquent pas à ces entités. Cela garantit que les entités ne sont pas soumises à des exigences contradictoires ou en double. Toutefois, si la législation sectorielle ne couvre pas toutes les entités d’un secteur donné qui relèveraient autrement de la NIS2, les dispositions pertinentes de la NIS2 continuent de s’appliquer aux entités non couvertes par la législation sectorielle.
  • Harmonisation et coopération : Pour faciliter une interaction correcte entre la NIS2 et la législation sectorielle, la Commission fournit des lignes directrices qui clarifient les critères permettant de déterminer l’équivalence des obligations. Cela aide à garantir une mise en œuvre cohérente et minimise la charge réglementaire pour les entreprises. Le groupe de coopération NIS joue un rôle dans la promotion de la coopération et de l’échange d’informations entre les autorités nationales responsables de la NIS2 et celles qui supervisent les règles sectorielles en matière de cybersécurité.

Exemples de considérations sectorielles :

Les sources et notre échange soulignent comment la NIS2 répond aux besoins spécifiques des secteurs à travers divers exemples :

• Secteur financier : Reconnaissant le cadre robuste de cybersécurité déjà existant dans le secteur financier en vertu du règlement sur la résilience opérationnelle numérique (DORA), la NIS2 exempte les entités déjà soumises au DORA des obligations de gestion des risques de cybersécurité et de signalement des incidents. Toutefois, compte tenu de la nature interconnectée de la cybersécurité, la NIS2 maintient des canaux d’échange d’informations et de coopération entre les autorités financières et celles responsables de la mise en œuvre de la NIS2. Cela garantit que l’expérience du secteur financier contribue aux efforts de cybersécurité plus larges et vice versa.
• Administration publique : La NIS2 reconnaît le rôle et la structure uniques des entités de l’administration publique. Elle fournit une définition spécifique pour les entités publiques et accorde aux États membres une certaine flexibilité concernant leur inclusion, notamment au niveau local. La directive prévoit également des exemptions pour les entités publiques engagées dans des domaines sensibles tels que la sécurité nationale, tout en soulignant l’importance de leur inclusion pour renforcer la cybersécurité globale dans l’UE. Cette approche à multiples facettes reconnaît les particularités du secteur public, tout en visant une couverture complète de la cybersécurité.
• Secteur de la santé : La NIS2 inclut explicitement les entités impliquées dans la recherche et le développement de produits médicaux, y compris les vaccins, dans son champ d’application. Cette inclusion reflète l’importance croissante de la cybersécurité dans le secteur de la santé, surtout à la lumière de la dépendance croissante vis-à-vis des solutions numériques pour la santé et de l’impact potentiel des cyberattaques sur la sécurité des patients.

Points clés :

• La directive NIS2 adopte une approche sectorielle de la cybersécurité, reconnaissant la diversité des risques et des besoins entre les différents secteurs.
• Elle définit son champ d’application par secteur, permet des exigences de sécurité et de signalement des incidents sur mesure, encourage l’implication de l’expertise sectorielle et vise l’harmonisation avec la législation sectorielle.
• Cette approche ciblée vise à améliorer l’efficacité de la directive, en garantissant que les mesures de cybersécurité soient proportionnées aux risques et adaptées aux circonstances spécifiques de chaque secteur. Pour les organisations qui doivent évaluer leur périmètre d’applicabilité et entamer un parcours structuré de conformité à la NIS2, il est utile de commencer par une analyse des mesures déjà mises en œuvre par rapport aux obligations prévues par la directive.

[Callforaction-NIS2-Footer]