Brice de NIS
En ce mois de décembre, la commission spéciale résilience cybersécurité du Sénat a entamé sa série d’auditions sur la transposition de la directive NIS 2 (Network and Information Security), dont le projet de loi a été présenté en conseil des ministres en octobre. Le patron de l’ANSSI y a longuement détaillé ce projet au long cours. Voici notre compte rendu de son audition.
« NIS 2 n’est pas la suite de la directive NIS de 2016 »
Vincent Strubel, directeur général de l’ANSSI (Agence nationale de sécurité des systèmes d’information) ouvrait le bal, avec un rappel sur la Genèse de cette directive… et sur ce qu’elle n’est pas : « en étant conscient que ce n’est pas forcément très intuitif, je commencerai par dire que NIS 2 n’est pas la suite de la directive NIS de 2016, transposée en droit national en 2018 et qu’on appelle maintenant NIS 1 ». Pour le patron de l’ANSSI, NIS 2 répond à un « paradigme différent ».
La première version de NIS s’inscrivait dans la continuité du cadre national de la loi de programmation militaire de 2013, « qui régulait un certain nombre d’opérateurs d’importance vitale au titre de la défense et de la sécurité nationale ». NIS ajoutait des enjeux sociaux et économiques, mais toujours avec la logique « de protéger des opérateurs stratégiques contre des menaces très ciblées, principalement étatiques ».
NIS 2 est une réponse aux menaces systémiques
NIS 2 est une réponse à l’évolution du paysage cyber et a l’apparition de menaces systémiques, « celles liées au crime organisé et aux rançongiciels qui ont marqué les esprits à travers la paralysie de nos hôpitaux, de nos collectivités, de nombreuses entreprises, d’universités plus récemment ». Il y a également certains acteurs (activistes) qui « cherchent à se mettre en lumière » par tous les moyens, peu importe les cibles.