Consultation Transposition NIS 2 : Présentation de la directive et de sa transposition nationale – Partie 2
Transcript
00:00 Merci beaucoup à vous deux.
00:01 On va du coup passer aux questions-réponses.
00:04 Et je dois dire qu'on a beaucoup d'activités dans l'onglet questions
00:07 et dans l'onglet tchat.
00:08 Alors, évidemment, je vous le reprécise, mais on est extrêmement nombreux.
00:13 Malheureusement, on ne pourra pas répondre à toutes les questions,
00:15 mais on va essayer d'apporter le plus d'éclaircissement possible.
00:20 Une première question qui est, comment l'ANC travaille avec les différents
00:25 services de l'État pour éviter un empliement des normes avec mise de feu ?
00:30 Je ne sais pas lequel de vous deux souhaite répondre.
00:31 Eh bien, j'ai essayé d'apporter une réponse à cette question-là.
00:39 Aujourd'hui, avec les réglementations déjà existantes, avec la loi de
00:47 programmation militaire de 2013, avec le ministre 1, on a d'ores et déjà
00:51 cet enjeu de réussir à se coordonner bien avec les différentes administrations.
00:58 Mais c'est évident qu'avec les nouveaux textes qui arrivent, cet enjeu devient
01:03 de plus en plus criant et fort.
01:05 Et cet enjeu, il est même pris en compte dans la directive ministre 2,
01:09 qui prévoit, par exemple, une coordination nécessaire au niveau des
01:14 États membres avec les régulateurs pour les questions de données
01:18 personnelles, avec les régulateurs pour la directive d'ORA.
01:22 Donc, en France, ça veut dire la CNIL d'une part, et puis l'autorité
01:26 de contrôle personnel.
01:27 L'autorité de contrôle prudentiel, si je n'ai pas de bêtises,
01:30 d'autre part.
01:31 Et donc, on aura à cœur, autant que faire se peut, d'apporter de la
01:40 clarté, de la lisibilité.
01:41 Et on fera ce qu'on peut dans le cadre, déjà même du projet de loi de
01:46 transposition, d'embarquer toutes les mesures qui permettraient
01:51 éventuellement de simplifier le dispositif général pour éviter un
01:56 défi de faille réglementaire.
01:57 Merci pour cette réponse.
02:01 Une deuxième question qui revient assez régulièrement.
02:05 Comment savoir si je suis concerné par NIS2 ?
02:07 C'est notamment le cas pour une coopérative agricole.
02:11 On a également eu la question d'une agglomération dans le cadre
02:14 de la compétence de la gestion de l'eau et de la gestion des déchets.
02:17 Florian, je te laisse répondre.
02:22 Merci pour la question.
02:24 Effectivement, c'est la question que tout le monde se pose.
02:27 On est déjà beaucoup sollicité pour fournir cette réponse.
02:31 Comme j'expliquais, aujourd'hui, on a certains secteurs dans lesquels
02:38 les types d'entités, de notre point de vue, on considère que ce n'est
02:42 pas suffisamment clair et pour lesquels on ne peut pas anticiper une
02:46 réponse qui pourrait être modifiée par la suite.
02:51 Ce qu'on peut répondre aujourd'hui, c'est dans la directive,
02:56 on a les annexes 1 et 2 dans lesquels vous retrouvez les secteurs,
02:59 sous-secteurs et types d'entités.
03:02 Si vous vous retrouvez dans ces types d'entités et que vous respectez
03:06 les critères de taille, alors la réponse est vraisemblablement oui.
03:10 Vous serez concerné par la directive NIS2.
03:13 En revanche, si vous ne vous trouvez pas, il faudra attendre
03:19 les consultations sur le périmètre.
03:21 Je pense notamment au secteur de l'alimentation, pour lequel la définition
03:25 cite la distribution en gros, qui est un terme métier qui est très parlant
03:35 pour le secteur, mais qui n'est pas forcément pour tout le monde.
03:38 C'est ce genre de définition qu'on aimerait clarifier avec
03:40 la filière ministère de tutelle et aussi avec les acteurs concernés
03:44 des secteurs d'activité.
03:46 Donc si aujourd'hui on ne répond pas à la question, encore un peu de patience.
03:50 Dès qu'on aura la réponse, dès qu'on aura les précisions,
03:55 on les communiquera dès que possible.
03:58 Merci Florian.
04:01 Une autre question qui revient assez régulièrement dans le chat.
04:05 Quelle est la date officielle d'entrée en vigueur de NIS2 ?
04:08 Je me permets de répondre à la question.
04:13 La date d'entrée en vigueur de NIS2, si on parle à l'échelle européenne,
04:18 elle est déjà rentrée en vigueur, fin décembre de l'année dernière.
04:21 Comme l'expliquait Yves, on a 18 mois pour transposer en droit national,
04:26 ce qui veut dire qu'à l'échelle nationale, elle rentrera en vigueur
04:30 avant, entre tas de causes, le 17 octobre 2024.
04:35 C'est l'objectif qu'on se fixe, de respecter les délais.
04:38 Aujourd'hui, le processus n'est pas totalement à notre main,
04:43 puisqu'il va y avoir des consultations obligatoires,
04:45 les passages en Conseil d'État ou au Parlement,
04:47 qui vont peut-être susciter des allers-retours,
04:49 qui vont prendre un peu de temps pour amender le texte.
04:51 Donc aujourd'hui, on n'a pas encore de date précise
04:55 sur l'entrée en vigueur de la Directive NIS2 au niveau national.
04:59 Mais je précise encore une fois, je reviens sur le message,
05:03 la date d'entrée en vigueur ne correspondra pas à la date
05:08 de démarrage des délais de mise en œuvre des exigences.
05:13 Au moment où ça rentre en vigueur au niveau national,
05:17 vous aurez encore du temps pour implémenter les différentes exigences.
05:22 J'ai juste un tout petit point.
05:26 Tu disais 18 mois pour le délai de transposition,
05:29 je crois que c'est 21 mois,
05:31 mais ça ne change rien de la date que tu as évoquée.
05:35 Merci à vous deux pour ces précisions.
05:40 On va prendre encore quelques questions,
05:42 même si on glisse un petit peu dans le temps,
05:45 mais on va essayer d'être relativement rapide.
05:47 Quelles mesures vont être appliquées pour les nouveaux entrants ?
05:51 Je vais répondre à cette question-là.
05:59 Dans les nouveaux entrants, on peut entendre plusieurs choses.
06:04 Il y a les opérateurs de grande taille qui sont dans des secteurs
06:12 qui n'étaient pas jusque-là régulés.
06:14 Donc, eux sont soumis probablement aux exigences pour les entités essentielles.
06:24 Je ne vous cache pas que nous, on va naturellement regarder
06:30 un petit peu le retour d'expérience des règles qui avaient été fixées
06:33 précédemment pour les opérateurs de services essentiels,
06:36 et notamment le RETEX avec les passifs qui figuraient dans les consultations
06:45 qu'a évoquées Florian.
06:47 Et puis même au travers des consultations,
06:49 on va faire avec les opérateurs sur les règles.
06:51 Ce sera un point important pour nous d'entrer dans la discussion,
06:55 cet existant lié à NIS 1.
06:58 Maintenant, pour les nouveaux entrants au sens de nouvelles catégories
07:03 d'opérateurs, notamment les PME, les collectivités territoriales,
07:10 sur la base des critères qu'évoquait Florian tout à l'heure,
07:16 le statut de ces entités sera soit entité essentielle,
07:22 soit entité importante.
07:24 Et ce qu'on a prévu, c'est d'avoir deux jeux de règles
07:28 différents adaptés à chacun de ces statuts.
07:31 Et c'est comme ça que ces opérateurs fraîchement régulés
07:37 à partir de l'entrée en vigueur de NIS 2 devront travailler.
07:41 Merci pour cette réponse.
07:45 Globalement, comment les entités qui sont concernées par NIS 2
07:49 peuvent se préparer à cette transposition nationale ?
07:52 La première chose, c'est que pour les opérateurs qui sont d'ores
08:04 et déjà régulés par NIS 1, si vous avez bien suivi,
08:08 l'entrée en vigueur de NIS 2, ce n'est pas demain.
08:14 C'est courant 2024.
08:16 Donc, pour les opérateurs d'ores et déjà régulés,
08:21 il ne s'agit pas d'arrêter l'effort, il faut continuer.
08:25 Pour les opérateurs qui, aujourd'hui, ne sont pas régulés,
08:28 là encore, mes conseils sont un peu différents en fonction
08:33 de la nature de l'opérateur, toujours dans cette logique
08:36 de proportionnalité, avec malgré tout un petit élément
08:40 un peu générique, qui est de regarder les bonnes pratiques actuelles.
08:44 Et naturellement, je ne peux que vous recommander d'aller voir
08:47 sur le site de l'ANSI les recommandations qu'on fait,
08:50 avec des recommandations qui sont adaptées à différentes catégories.
08:54 On a un guide notamment pour les PME,
08:57 qu'on a coproduit avec la CPME.
09:00 Donc, on espère que de fait, il est tout à fait abordable
09:06 pour cette catégorie d'entités.
09:09 On a d'autres règles qui sont plus ambitieuses,
09:12 pour des entités qui ont plus de moyens,
09:14 qui sont soumises peut-être à des enjeux plus forts.
09:16 Donc, en tout état de cause, toutes ces bonnes pratiques,
09:20 c'est important et il ne faut pas hésiter à commencer
09:23 à les mettre en œuvre.
09:25 Comme je le disais tout à l'heure, notre objectif à nous,
09:28 ce n'est pas tant de faire de la paperasse administrative
09:34 pour appliquer une réglementation,
09:36 c'est bien d'élever le niveau de cyber-sécurité.
09:38 Donc, si vous commencez d'ores et déjà à vous préparer,
09:40 d'une manière ou d'une autre, vos investissements,
09:43 ils ne seront pas perdus avec NIS2.
09:45 On arrivera à trouver une manière de les valoriser.
09:49 Merci Yves pour cette réponse et je précise pour ceux
09:54 qui sont intéressés, qu'un des participants a mis dans le chat
09:57 le lien vers le kit des TPE-PME.
09:59 Donc, n'hésitez pas à aller le consulter sur le site de l'ANSI.
10:05 Une autre question plus spécifique,
10:08 quelle mise en œuvre et quel pilotage pour les Outre-mer ?
10:12 Ça c'est encore une question pour moi.
10:17 Les Outre-mer, c'est un sujet qui, dans l'absolu, est important,
10:23 mais aujourd'hui, il est devenu encore plus qu'avant.
10:26 On a vu l'actualité récente la démontrer,
10:30 et continue de le démontrer,
10:32 que les cyberattaques contre des opérateurs dans les Outre-mer
10:35 peuvent assez rapidement avoir des conséquences significatives,
10:38 puisqu'il y a une concentration relativement forte
10:43 dans beaucoup des Outre-mer.
10:46 On a clairement en tête, du côté de l'ANSI,
10:52 des niveaux d'enjeu fort qui pèsent sur les Outre-mer.
10:58 La directive NIS2 est applicable en France en général,
11:02 incluant les Outre-mer.
11:11 Ce qu'on va essayer de faire pour les collectivités territoriales,
11:15 puisque la directive NIS2 offre la possibilité de travailler
11:19 sur les collectivités territoriales,
11:23 bien naturellement, on regardera aussi au niveau des Outre-mer
11:27 comment c'est applicable,
11:29 et tout cela sera en lien avec les autorités locales.
11:32 Merci Yves.
11:35 Une question qui revient assez souvent,
11:37 y a-t-il un document qui recense l'ensemble des mesures
11:40 pour être conforme avec NIS2 ?
11:43 À ce stade, c'est encore un peu trop tôt pour avoir un document
11:49 qui regroupe toutes les exigences au niveau NIS2,
11:52 puisque certaines doivent encore décliner au niveau national.
11:56 La directive, comme j'expliquais, prévoit certaines obligations
12:00 qui devraient se retrouver au niveau national,
12:04 telles que la notification, la communication de certains contacts, etc.
12:09 En revanche, pour tout ce qui est mesures de sécurité,
12:13 pour l'instant c'est encore trop tôt pour avoir ce document.
12:16 Cela reste un de nos objectifs,
12:23 sur lequel on n'a pas forcément assisté,
12:27 mais les mesures de sécurité s'accompagneront également
12:32 de guides, de documentation,
12:36 d'une assistance à la mise en œuvre,
12:39 qui va dépendre du niveau des exigences de sécurité
12:44 qui restent encore à définir.
12:46 Cela reste prévu à date, encore un peu de patience,
12:49 mais on fera en sorte de vous accompagner sur ce sujet-là également.
12:54 Merci Florian.
12:58 Je pense que c'est la question qui est la plus revenue dans le chat.
13:02 On va être très intéressés par la réponse.
13:05 Je suis une collectivité territoriale,
13:07 est-ce que je serais concernée par le NIS2 ?
13:10 Tu prends Florian ou je prends ?
13:16 Je prends.
13:17 Je te la laisse.
13:19 Pour rebondir un peu sur ce que je disais avant sur les outre-mer,
13:26 j'ai un peu débordé sur le volet collectivité territoriale.
13:29 La directive NIS2 offre bien la possibilité pour les États membres
13:37 d'aller réguler les collectivités territoriales.
13:41 NIS2, par défaut, prévoit la régulation d'opérateurs privés,
13:46 d'entités privées, des administrations publiques
13:50 et offre l'option d'aller traiter un certain nombre de collectivités.
13:56 Aujourd'hui, ce qu'on constate, c'est que le niveau de la menace
14:02 contre les collectivités territoriales est élevé.
14:06 Et ça, un peu tous les niveaux, tous les types de collectivités
14:10 territoriales concernées.
14:13 Donc, à ce stade, je ne me risquerais pas une réponse
14:17 assertive pour dire que demain, les collectivités territoriales
14:22 seront toutes ou alors les collectivités territoriales
14:26 de telle nature seront régulées au titre de NIS2.
14:29 Parce que c'est une question qui, de fait, étant optionnelle,
14:36 si on décide d'explorer cet espace, si le gouvernement décide
14:42 d'y aller, à ce moment-là, de toute façon, ça nécessitera
14:45 des débats au Parlement pour en fixer un peu précisément
14:49 les modalités.
14:50 Mais en tout cas, nous, côté Annecy, quand on regarde la menace,
14:54 quand on regarde le niveau de préparation des collectivités
14:56 territoriales, on trouve que ce serait dommage de ne pas saisir
15:00 l'opportunité d'emmener aussi les collectivités territoriales
15:05 dans le programme, au même titre que les opérateurs,
15:07 les entités privées et les administrations publiques.
15:11 Merci Yves pour cette réponse.
15:13 On va pouvoir prendre encore quelques questions et ensuite,
15:17 malheureusement, on va devoir s'arrêter.
15:20 Je poursuis les questions qui sont revenues régulièrement
15:23 dans le chat.
15:24 Si mon entreprise est sur deux États membres, est-ce que je suis
15:27 assujettie à la transposition en droits français de NIS2 ?
15:30 Je vais prendre cette question.
15:34 J'en ai parlé, ça fera l'objet de clarifications dans le cadre
15:40 des consultations.
15:41 En toute transparence, on attend également aussi des directives,
15:45 des lignes directrices de la Commission européenne.
15:49 Sur ce sujet-là, lors des négociations et des échanges post-adoption
15:55 avec la Commission, c'est un sujet sur lequel on pose
16:01 beaucoup de questions à la Commission pour clarifier
16:04 certains cas particuliers.
16:07 Si vous êtes sur deux États membres de l'Union européenne
16:10 et que vous réalisez des activités qui correspondent à un type
16:16 d'entité de l'annexe 1 ou de l'annexe 2, plus de 50 employés,
16:19 vous serez sommé à la directive NIS2.
16:22 En revanche, la juridiction, pour l'instant, c'est encore un peu tôt
16:27 pour vous donner une réponse sûre à 100 %.
16:30 Ça va dépendre des cas particuliers que je mentionnais rapidement
16:35 dans la présentation.
16:37 C'est un sujet qu'on clarifiera dans les prochains mois.
16:39 Merci, Florian.
16:44 Question suivante, quel sera le coût financier pour une entité ?
16:50 C'est un type de question qui bourre moi, plutôt que Florian.
17:01 C'est une question très difficile, c'est certain.
17:06 Je ne vais pas apporter une réponse baguette magique en direct.
17:11 Par contre, ce que je peux dire, c'est que ça dépend de plusieurs facteurs.
17:15 Ça va dépendre d'une part du niveau de préparation de chaque entité.
17:23 Plus une entité régulée ou future régulée aura pris en compte
17:30 le sujet cyber et aura réalisé des investissements,
17:33 moins elle aura réalisé des investissements additionnels
17:38 pour atteindre la cible fixée avec la réglementation.
17:41 D'autre part, c'est à nouveau l'histoire dont vous êtes le héros que j'évoquais tout à l'heure,
17:49 les mesures de sécurité elles-mêmes ne sont pas encore définies.
17:53 On va en parler avec les futures entités régulées durant les consultations.
18:02 Voilà les éléments que je peux apporter de réponse aujourd'hui à cette question.
18:07 Merci Yves.
18:10 Une autre question qui est revenue assez régulièrement.
18:13 On est très nombreux, donc il y a beaucoup de questions qui sont revenues.
18:16 Comment les obligations de NIS2 seront ajustées aux capacités à faire des ETI ?
18:21 Tu prends ou je prends Florian ?
18:29 Ok, tu parles.
18:31 Les ETI au niveau de NIS2 pour celles qui sont concernées,
18:43 suivant les secteurs, se retrouveront pour certaines considérées
18:48 comme entités importantes et pour d'autres, entités essentielles,
18:53 suivant les secteurs, suivant les règles.
18:58 Et du coup, la proportionnalité qu'on évoquait pendant la présentation
19:05 jouera en fonction de ces statuts-là, entités essentielles et importantes,
19:12 qui ne porteront pas exactement les mêmes types d'exigences.
19:19 C'est ça ce qu'il va falloir regarder.
19:27 Est-ce qu'il y a des règles spécifiques pour les ETI ?
19:30 Si vous êtes une ETI, regardez dans quel secteur vous êtes
19:33 et les règles précises qui s'y raccrochent.
19:36 Est-ce que vous serez une EI ou une EE ?
19:40 Merci Yves pour cette réponse.
19:44 Quel sera le rôle des DPO dans NIS2 ?
19:47 Et comment on peut optimiser la collaboration entre les DPO et les RSSI ?
19:55 On sort du champ de NIS2, donc je pense que c'est encore une question pour moi.
20:00 Aujourd'hui, avec le RRS-GPD, toutes les entités de France sont soumises
20:10 et à ce titre-là, il doit y avoir un DPO.
20:14 C'est un dispositif, un DPO qui est déjà bien installé.
20:18 La directive NIS2, dans la foulée de NIS1, ne traite pas de traitement de données
20:26 à caractère personnel, mais de système d'information.
20:30 La notion de DPO qui est très pertinente pour le RRS-GPD,
20:34 elle n'est pas complètement transposable de manière évidente dans NIS2,
20:40 comme elle ne l'était pas plus dans NIS1.
20:43 Pourtant, rien n'empêche que ce qui a été mis en place au titre du RRS-GPD
20:48 puisse être mutualisé avec le dispositif NIS2.
20:52 En particulier, j'ai connaissance d'un certain nombre d'entreprises
20:58 ou d'administrations où les fonctions d'IPO et de RRSI sont fusionnées.
21:06 Ce sont des choses qui sont tout à fait envisageables.
21:10 Donc, avec NIS2, on ne sera pas prescriptif sur le rôle des DPO,
21:16 mais on n'aura rien contre le fait que le dispositif RRS-GPD et des DPO
21:21 soient utilisés d'une manière ou d'une autre pour NIS2.
21:25 Merci beaucoup.
21:28 Ça va être l'avant-dernière question.
21:30 Y aura-t-il des nouveautés concernant le cloisonnement et les SI d'admin ?
21:36 Question pour mettre un peu de contexte qui touche aux événements de sécurité.
21:49 En termes de nouveautés, je vais essayer de les interpréter de la bonne manière.
21:57 Ça reste des thématiques qu'on peut affilier aux mesures de NIS2
22:03 qui sont présentes dans la directive.
22:06 Maintenant, en termes de nouveautés, je ne suis pas sûr qu'il y ait de nouveautés.
22:11 À voir, encore une fois, au niveau de la consultation du RETEX,
22:16 des PACI sur le modèle actuel.
22:20 Ça reste, en termes de mesures de protection et de défense des systèmes d'information,
22:28 deux mécanismes qui sont efficaces et qu'on a pu constater sur le terrain.
22:36 En termes de cloisonnement et de SI d'admin, ces concepts-là ne vont pas forcément évoluer,
22:42 mais n'ont pas vocation à disparaître.
22:45 Après, la question sera la proportionnalité et comment on l'intègre dans le modèle final.
22:56 À mon avis, il n'y aura pas de nouveautés sur ces deux thématiques-là.
23:01 Pour compléter, un petit mot sur l'importance qu'on accorde à ces mesures-là,
23:10 c'est le retour d'expérience qu'on fait de nos activités opérationnelles.
23:16 Le nombre de cyberattaques significatives pour lesquelles on intervient
23:23 et où ces bonnes pratiques n'ont pas été mises en œuvre.
23:27 On ignore pas non plus le coût économique et opérationnel de ces mesures-là.
23:33 Il va falloir qu'on trouve un juste équilibre sur leurs prises en compte.
23:40 Merci à vous deux.
23:42 La dernière question, mais pas des moindres, car elle a été posée régulièrement dans le chat.
23:49 Quelle est la particulation entre NIS2 et le Cyber Resilience Act ?
23:54 Je vais essayer de simplifier ma réponse.
24:07 NIS2 a pour vocation de protéger les entités en tant que telles,
24:14 de leur continuité d'activité, que les systèmes tournent,
24:19 que l'activité tourne pour que les services fournis restent en production.
24:26 Le CRA a pour objectif de sécuriser des produits qui seront connectés
24:35 et qui seront des produits qu'on va vendre.
24:39 C'est plutôt la production qui sera sécurisée là où NIS2 tend à sécuriser la chaîne de production.
24:48 En termes d'articulation, c'est plutôt une bonne complémentarité.
25:08 NIS2 sécurise les entités, CRA sécurise les produits vendus par certaines entités.
25:15 C'est deux champs différents avec des exigences différentes, mais qui sont complémentaires.
25:24 Je ne sais pas si tu veux compléter, reformuler.
25:29 Pour paraphraser, avec NIS2 on est sur l'élévation du niveau de cybersécurité
25:39 des entités qui sont importantes pour le fonctionnement quotidien de l'économie et de la société.
25:45 Là où avec le Cyber Resilience Act, ce qu'on essaie de faire,
25:49 c'est que les produits numériques qui arrivent sur le marché européen
25:54 aient un bon niveau de cybersécurité.
25:58 Le point tout jacent que cette question soulève,
26:02 c'est la lisibilité et la cohérence de l'ensemble de l'édifice réglementaire.
26:10 Il y a pas mal d'initiatives au niveau européen que nous soutenons,
26:16 mais à la fin il y a un très gros enjeu de réussir à conserver cette lisibilité.
26:23 Je ne vous cache pas que c'est un sujet dont je discute presque tous les jours avec mes équipes.
26:30 Merci à vous deux pour toutes ces réponses et merci à tous pour toutes ces questions.
26:37 Avant de clôturer ce webinaire, je vais vous préciser que l'ANSI communiquera
26:44 tout au long de la transposition nationale sur le fruit des travaux de NIS2.
26:51 On invite toutes les entités concernées par la directive
26:55 à découvrir dans les prochaines semaines une FAQ sur notre site web.
26:59 On va s'inspirer des nombreuses questions que vous avez posées aujourd'hui.
27:03 Je vous précise également que ce webinaire sera disponible en replay la semaine prochaine.
27:08 Ainsi que les diapositives, vous aurez l'information et une communication sur les réseaux sociaux.
27:14 Tout sera disponible sur le site internet de l'ANSI.
27:19 Je vais laisser le mot de la fin à Yves Verhoeven.
27:22 Merci, Colline.
27:26 Merci à toutes et à tous d'avoir pris ce moment avec nous.
27:34 La transposition et la directive NIS2 sont clairement une étape à franchir
27:40 qui va nécessiter un collectif très important.
27:45 A très bientôt pour la suite sur ce sujet qui va encore nous occuper un petit moment.
27:50 Merci beaucoup.
27:53 Merci.
27:54 Merci.
27:55 Merci.