Category
🗞
NewsTranscription
00:00 Bonjour à tous et bienvenue sur ce webinaire de l'ANSI
00:03 qui a pour but aujourd'hui de vous présenter la directive NIS2
00:07 et sa transposition nationale.
00:09 Je suis Coline Berthier, je vais animer ce webinaire aujourd'hui
00:14 en compagnie de Yves Veroven qui est sous-directeur stratégie à l'ANSI
00:20 et de Florian Lemoine qui est chef de projet sur NIS2.
00:26 Quelques petits règles assez basiques sur l'utilisation de Livestorm.
00:30 Vous avez deux onglets.
00:31 Le premier étant l'onglet chat dans lequel vous pouvez dire bonjour
00:36 et je vois que vous êtes nombreux déjà à le faire.
00:38 Vous pouvez également signaler tous les petits soucis techniques éventuels.
00:42 Vous avez un deuxième onglet qui s'appelle questions.
00:45 Dans celui-ci, vous pouvez poser toutes vos questions.
00:47 Alors, je vais juste préciser qu'on est extrêmement nombreux aujourd'hui.
00:51 On prendra les questions à la fin, mais malheureusement, vous vous en doutez,
00:55 on ne pourra éventuellement pas répondre à tous.
00:59 Je vais tout de suite laisser la parole à Yves
01:03 pour le début de cette présentation
01:06 et notamment pour vous présenter l'ANSI et les objectifs de ce webinaire.
01:09 Merci beaucoup, Coline.
01:14 Bonjour à toutes et à tous.
01:15 C'est un moment important pour nous d'avoir cette occasion
01:20 de s'adresser à vous toutes et vous tous
01:22 pour vous parler de ces directives NIS2.
01:25 Une directive importante à venir probablement
01:30 au moins autant pour vous que pour nous.
01:32 Donc, les objectifs de ce webinaire
01:35 seront de vous redire deux, trois mots sur l'ANSI très brièvement,
01:39 de vous présenter la directive NIS2
01:43 avec sa genèse, ses objectifs et ses obligations,
01:46 de partager avec vous aussi
01:49 les étapes de la transposition nationale et de son calendrier général
01:51 de manière à ce que vous sachiez à la fois à quoi vous attendre
01:54 et puis le cas échéant éventuellement de comment prendre part
01:57 aux travaux de transposition.
02:00 Et puis, comme le disait Coline,
02:01 ensuite nous pourrons répondre à quelques questions
02:07 dans le temps qu'on s'est accordé aujourd'hui tous ensemble.
02:10 Et donc,
02:14 je suis sous-directeur stratégique à l'ANSI,
02:17 responsable notamment de la transposition
02:20 de la directive NIS2 au sein de mes équipes
02:22 et j'ai à mes côtés Florian Lemoine,
02:25 chef de projet pour la transposition de NIS2.
02:28 Alors, pour vous dire quelques mots sur l'ANSI.
02:32 Donc, l'ANSI,
02:35 probablement, nombreux d'entre vous le savent,
02:37 mais bon, on va le redire quand même,
02:40 c'est l'Agence nationale de la sécurité des systèmes d'information
02:44 qui a été créée en 2009.
02:47 Et donc, c'est l'autorité nationale
02:49 en matière de cybersécurité et de cyberdéfense
02:52 sous l'autorité de la première ministre.
02:57 Et ça, régulièrement, on a un peu d'incompréhension.
03:01 Certains croient qu'on est rattaché au ministère des armées
03:04 ou alors au ministère de l'Intérieur.
03:05 Non, non, on est rattaché à la première ministre
03:08 et via le secrétariat général de la défense et de la sécurité nationale.
03:14 Et l'ANSI, c'est une administration, on va dire, assez standard.
03:18 On a des missions strictement défensives.
03:20 Nous ne sommes pas un service de renseignement.
03:23 Nous n'avons pas de responsabilité de mission.
03:25 En termes de renseignement, on est strictement défensif.
03:29 Et en tant qu'autorité nationale,
03:32 on est le régulateur pour la cybersécurité et la cyberdéfense,
03:37 des opérateurs d'importance locale,
03:39 des opérateurs de services essentiels issus de la directive NIS de 2016,
03:46 et puis aussi pour les administrations.
03:49 Et l'ANSI, concrètement,
03:54 « Day to Day », si je puis dire, donc jour le jour,
03:57 notre action, ça s'articule autour de la connaissance des technologies
04:04 en matière de sécurité numérique,
04:06 la connaissance de leurs vulnérabilités
04:09 et la connaissance aussi de l'état de la menace.
04:13 Et toute cette connaissance, on ne fait pas que la garder pour nous,
04:16 on la partage aussi très largement.
04:19 On passe beaucoup de temps à faire de la communication
04:23 et à produire des guides de bonne pratique notamment,
04:28 qu'on partage avec les différents publics au niveau national
04:33 de manière à aider tout le monde à monter en cybersécurité.
04:38 Et dans un certain nombre de cas,
04:41 pour les cas les plus sensibles, les plus importants au niveau national,
04:45 on intervient aussi en accompagnement pour aider à faire des systèmes
04:51 qui aient un bon niveau de cyberprotection dès leur conception.
04:57 C'est le cas pour un certain nombre de systèmes critiques en France.
05:02 Puis le cas échéant, si jamais la menace se réalise
05:07 auprès des publics les plus prioritaires à nos yeux,
05:11 ou alors si on est confronté à la menace stratégique
05:14 ou si l'incident a une sensibilité politique particulière,
05:18 alors on est amené à défendre, c'est-à-dire à intervenir sur le terrain
05:22 en tant que cyberpompiers aux côtés des grandes victimes.
05:27 Évidemment, on ne peut pas le faire pour tout le monde,
05:29 on ne peut pas le faire dans tous les cas,
05:30 on n'a pas vocation à le faire dans tous les cas,
05:32 mais sur la base des critères que j'évoquais juste avant,
05:35 on intervient très régulièrement.
05:37 Voilà un petit peu ce que je voulais vous dire pour rappeler ce qu'est l'ANSI.
05:43 S'agissant de la directive NIS2,
05:47 à partir de maintenant, je vais parler de NIS1 et de NIS2
05:52 de manière à être claire dans mes propos.
05:57 NIS1, c'est la directive qui a été adoptée en 2016 à l'échelle européenne
06:07 et qui s'est appuyée sur les travaux qu'on avait fait au niveau national,
06:12 notamment avec la loi de programmation militaire de 2013
06:16 pour la régulation des opérateurs d'importance vitale au niveau cyber.
06:24 Cette directive NIS1 s'est fixée comme objectif
06:32 de reproduire un petit peu les mêmes modalités vis-à-vis des opérateurs
06:38 qui sont susceptibles d'avoir un impact conséquent en cas de défaillance
06:43 au niveau du marché intérieur de l'Union européenne
06:47 sur les questions économiques et sociétales.
06:52 Cette directive NIS1, NIS, ça veut dire Network and Information System Security,
06:58 évidemment c'est de l'anglais et en français l'acronyme devrait plus justement
07:04 être la directive SRI, pour sécurité des réseaux et des systèmes d'information,
07:08 mais de fait les discussions quotidiennes qu'on a à l'échelle européenne
07:13 et puis le côté très transnational d'un certain nombre d'opérateurs
07:17 nous a amenés dans le langage courant à retenir le nom et l'acronyme anglais.
07:23 Donc cette directive NIS1 visait à permettre un renforcement
07:29 des capacités des États membres et de coopération à l'échelle européenne
07:36 en obligeant notamment les États membres à définir une stratégie nationale,
07:41 à désigner aussi une autorité nationale compétente,
07:46 un régulateur responsable de la supervision, des contrôles, etc.
07:49 et on y reviendra vis-à-vis des opérateurs de services essentiels.
07:54 La directive a aussi créé un groupe de coopération entre les autorités
07:58 nationales compétentes de manière à se coordonner entre nous
08:02 dans la déclinaison de cette directive, dans sa transposition au niveau national,
08:07 dans sa mise en œuvre au quotidien et à attirer le retour d'expérience
08:14 de ce qui se passe au quotidien.
08:15 Et puis ça a amené aussi à la création du réseau des CSIRT européens,
08:21 le CSIRT Network, qui rassemble les CSIRT désignés dans le cadre réglementaire
08:28 comme étant les CSIRT responsables pour le traitement des incidents
08:34 et des crises en lien avec la directive NIS1.
08:40 Alors, du coup, s'agissant de NIS1, le délai de transposition
08:49 qui nous avait été accordé à l'époque au moment de son adoption en 2016,
08:53 c'était un délai de transposition de 24 mois, qui dans l'ensemble
08:57 a été à peu de choses près le délai de transposition dans beaucoup d'États membres,
09:00 ce qui a amené en France à finaliser sa transposition et donc son entrée
09:09 en vigueur effective en 2018.
09:11 Depuis, on a été amené à désigner de manière unitaire,
09:17 par arrêté signé par la première ministre et ses prédécesseurs,
09:23 en concertation avec les ministères de tutelle.
09:26 Donc, on a été amené à désigner 300 entités qui sont donc devenues
09:32 des opérateurs de services essentiels depuis 2018.
09:38 Alors, il faut avoir en tête que le délai de transposition
09:43 accordé aux États membres est différent du délai de mise en conformité.
09:48 Et on va y revenir, mais la logique pour NIS2 va être un petit peu la même,
09:53 c'est-à-dire que le moment où la directive NIS1 a été transposée
09:58 en droit français, elle est rentrée en vigueur, certes,
10:01 mais les règles techniques qui devaient être mises en œuvre par les opérateurs,
10:07 ce n'est pas le jour où les opérateurs ont reçu l'arrêté leur disant
10:10 "Bonjour, bonne nouvelle, vous êtes opérateur de services essentiels",
10:13 ce n'est pas ce jour-là que les opérateurs devaient être conformes,
10:16 ça n'aurait pas été réaliste.
10:18 Et donc, exigence par exigence de sécurité, on a fixé un délai
10:23 de mise en conformité pour les opérateurs.
10:27 Alors, s'agissant de l'ANSI en tant que régulateur,
10:33 donc, comme je le disais avant, en tant qu'autorité nationale,
10:36 on a été désigné au titre de NIS1 comme autorité nationale compétente
10:42 et ce qui nous a amené donc à représenter la France,
10:46 notamment dans les échanges à l'échelle européenne,
10:49 dans le groupe de coopération que j'évoquais juste avant,
10:51 au sein du CISR Network.
10:54 Et puis, par ailleurs, au moment où la directive NIS2
11:01 a commencé sa gestation, c'est l'ANSI qui a été désignée
11:05 comme chef de file en France de la négociation pour cette directive.
11:09 Alors, en tant que régulateur au quotidien, qu'est-ce qu'on fait
11:13 au titre de NIS1 et puis vis-à-vis des opérateurs
11:16 de services essentiels ? La première chose, on les désigne.
11:19 Comme je le disais, avec un process qui nous amène à en parler
11:24 avec les ministères qui ont les tutelles des opérateurs
11:28 et puis à la fin, formalisation au niveau d'un arrêt de désignation.
11:32 On fixe aussi les exigences de sécurité et pour NIS1
11:38 comme pour les dispositifs issus de la loi de programmation militaire
11:42 de 2013, relatifs aux opérateurs d'importance vitale.
11:46 Donc, ces exigences, on a eu à cœur de les construire
11:53 et de les négocier avec les opérateurs et les organisations professionnelles.
11:59 Aussi, en tant que régulateur, on reçoit les déclarations
12:02 d'incidents majeurs subies par les opérateurs de services essentiels
12:07 et puis, dernière fonction, formellement, nous sommes amenés
12:12 à contrôler les opérateurs de services essentiels vis-à-vis
12:16 de la bonne mise en œuvre des exigences qu'on leur fixe.
12:22 Et le cas échéant, si jamais les contrôles démontrent
12:26 un non-respect des exigences, alors on a la capacité,
12:31 le cas échéant, de sanctionner, ce qui, de fait, nous arrive relativement peu
12:38 lorsque cette fonction-là, on l'utilise avec parcimonie,
12:42 mais en tout cas, on a la capacité.
12:48 Alors, pour parler un petit peu du passage de NIS 1 à NIS 2,
12:55 pour vous expliquer le pourquoi, il s'est avéré après quelques années
13:00 de mise en œuvre de NIS 1 que, même si NIS 1 était une directive
13:05 et avait vocation à être transposée de différentes manières
13:09 au sein des États membres, on avait pour autant une hétérogénéité
13:14 trop importante dans les pratiques et les mises en œuvre
13:18 par les différents États membres.
13:19 Et ça, c'est un constat qui a été partagé entre la Commission européenne,
13:23 le Parlement et les États membres eux-mêmes.
13:26 Deuxième constat, entre 2016 et le début de la négociation de NIS 2,
13:34 en 2020, on a constaté une évolution significative de la menace
13:40 et de ses impacts sur la société.
13:43 Et si on regarde, par exemple, le panorama de la menace
13:47 produit par l'ANSI pour les dernières années, pour 2021-2022,
13:51 ce qu'on voit émerger, ce qui se confirme, c'est qu'on est confronté
13:57 à des cibles nouvelles, nombreuses, notamment des PME,
14:03 des entreprises de taille intermédiaire et des collectivités territoriales
14:06 qui, désormais, sont très régulièrement la cible de cyberattaques
14:10 significatives et impactantes.
14:13 Ce qui leur empêche de réaliser ce qu'elles ont à réaliser.
14:19 Avec notamment le phénomène des ranchons logicielles
14:22 qui illustre particulièrement qu'il y a un phénomène
14:27 qui a des impacts tout à fait dramatiques.
14:29 Et dernier constat sur la menace, qu'on avait entrevue au moment
14:36 déjà de la négociation de NIS 1, mais c'était peut-être un petit peu tôt
14:40 pour l'appréhender pleinement, c'est les enjeux de la sécurité
14:43 et de l'approvisionnement.
14:44 C'est-à-dire que désormais, les cibles principales
14:49 des acteurs menaçants, des cyberattaquants,
14:54 ont élevé le niveau de jeu, ont élevé leur cybersécurité,
14:58 mais c'est leur écosystème, l'écosystème dans lequel
15:01 ces opérateurs s'inscrivent qui, désormais, devient
15:04 la voie de passage pour les cyberattaquants.
15:09 Et donc, sur la base de toutes ces raisons, fin 2020,
15:17 la Commission européenne a donc proposé d'étendre le périmètre
15:22 et les ambitions de la directive NIS à l'occasion d'une révision.
15:27 Une révision qui, dans l'étude d'impact de la Commission européenne,
15:32 dans l'étude d'impact européenne, déjà identifiait que,
15:37 avec les nouvelles modalités proposées par la Commission européenne
15:40 dans le projet de règlement, on était susceptible de passer
15:43 d'environ 15 000 opérateurs régulés au niveau européen par NIS1
15:47 à plus de 100 000 opérateurs régulés à l'échelle européenne avec NIS2.
15:53 Et quand je dis plus de 100 000, ça risque d'être largement
15:58 plus que 100 000.
16:00 Donc, au niveau de NIS2, à côté de ça, a été ressenti le besoin
16:11 de préciser plus dans la directive, donc plus que NIS1, le périmètre
16:17 de la directive, les exigences de sécurité elles-mêmes,
16:21 donc aller un petit peu plus dans le détail dès la directive,
16:25 et de mieux décrire aussi les mécanismes de régulation,
16:31 ce qui fait de NIS2 une directive qui est plus prescriptive que NIS1.
16:35 On n'en est pas à un règlement d'application immédiate,
16:37 mais pour autant, on est sur un exercice plus cadré que sur NIS1
16:43 de manière à traiter le sujet que j'évoquais tout à l'heure
16:47 de trop forte hétérogénéité dans les déclinaisons nationales.
16:51 Au niveau de la position de la France, on a,
16:56 pendant les négociations, soutenu l'ambition de la directive NIS2,
17:00 prenant acte des constats que j'évoquais juste avant
17:05 et qui ont convaincu les autorités françaises du besoin
17:10 d'une meilleure prise en compte plus massive des enjeux
17:14 de cybersécurité, de manière à amener l'essentiel
17:19 des opérateurs susceptibles d'avoir un impact sur l'économie
17:22 et la société, sur le quotidien des citoyens,
17:25 sur le quotidien de l'économie, à mettre en œuvre
17:28 les premiers éléments de base en matière de cybersécurité,
17:32 mais tout ça dans une logique de proportionnalité
17:38 pour faire en sorte que tous les opérateurs ne soient pas soumis
17:44 exactement au même régime, aux mêmes exigences,
17:47 mais qu'on arrive à moduler un peu en fonction
17:51 de leur capacité à soutenir les exigences cyber
17:55 et de la réglementation.
17:57 Voilà ce que je voulais vous dire en introduction.
18:01 Je vais maintenant passer la parole à Florian,
18:04 qui va détailler le contenu de la directive.
18:08 Bonjour à toutes et à tous.
18:10 On va rentrer dans le fond de la directive.
18:14 Quelques messages d'introduction par rapport à ce qui va suivre.
18:18 On va parler de trois grandes notions
18:22 qui sont le périmètre des entités régulées,
18:25 les obligations qui sont issues de la directive NIS2
18:28 et les mécaniques de régulation qui vont concerner
18:31 les entités qui sont soumises à NIS2.
18:33 Quelques précisions.
18:35 La présentation qui va suivre ne se veut pas exhaustive
18:40 et certains détails qui seront présentés
18:44 seront précisés dans le cadre de la transposition nationale.
18:49 Comme disait Yves, la directive est plus prescriptive.
18:53 Néanmoins, il y a certains éléments
18:56 pour lesquels on a une certaine marge d'interprétation
18:59 qu'il faudra décliner au niveau national.
19:01 On n'a pas encore toutes les précisions nécessaires
19:06 pour répondre à toutes les questions.
19:09 Concernant le périmètre des entités régulées,
19:12 le premier élément est l'extension du périmètre
19:15 que va apporter NIS2.
19:18 De manière générale, on va parler d'entité à partir de NIS2.
19:24 NIS2 couvrira un minimum 18 secteurs d'activité
19:28 que l'on va détailler juste après.
19:30 Petit point d'attention pour la suite,
19:33 on aura deux annexes, l'annexe 1 et l'annexe 2,
19:36 qui regroupent des secteurs différents
19:38 et qui donneront leur importance par la suite.
19:43 En termes de nouveautés sur le périmètre,
19:45 on peut noter l'inclusion de l'administration publique.
19:47 NIS2 couvrira également l'administration publique
19:51 des États membres,
19:53 ce ne sera plus que des acteurs privés.
19:56 Et enfin, on constate une inclusion
19:59 d'une grande partie des acteurs de la chaîne d'approvisionnement
20:01 qu'on retrouvera notamment au sein de l'annexe 2.
20:06 Si on commence par les deux annexes,
20:08 pour détourer un peu le périmètre,
20:10 on a cette première annexe 1
20:12 qui, si je cite la directive,
20:14 concerne les secteurs dits hautement critiques.
20:17 On va retrouver le secteur de l'énergie,
20:19 des transports, des secteurs bancaires,
20:22 les infrastructures des marchés financiers,
20:24 la santé, la gestion de l'eau potable,
20:27 mais aussi la gestion des eaux usées,
20:29 tout ce qui concerne les infrastructures numériques,
20:32 la gestion des services numériques,
20:34 l'administration publique,
20:35 donc comme je le disais, et l'espace.
20:37 Donc ça, ça constitue l'annexe 1
20:39 et au sein de ces secteurs,
20:41 on a une granularité,
20:43 dans certains cas,
20:45 qu'on appellera donc des sous-secteurs.
20:48 Sur l'annexe 2,
20:50 on retrouve les services postaux et d'expédition,
20:53 la gestion des déchets,
20:54 tout ce qui est fabrication, production,
20:56 distribution de produits chimiques
20:58 et de denrées alimentaires.
21:00 On a le bloc numéro 5
21:03 qui s'appelle fabrication dans la directive
21:05 mais qui correspond à ce qu'on pourrait également appeler l'industrie manufacturière.
21:09 Donc on va retrouver un tas d'entités
21:12 qui vont fabriquer,
21:14 que ce soit des équipements électroniques,
21:16 des produits informatiques, électroniques, optiques,
21:19 mais également des matériels de transport.
21:23 On a une section qui concerne les fournisseurs numériques.
21:26 Donc là, c'est plutôt lié,
21:28 des services liés aux citoyens,
21:31 des plateformes de marché en ligne,
21:33 ce genre de choses.
21:34 Et on a le secteur de la recherche
21:36 qui fait également son entrée dans le périmètre de la directive NIS2.
21:39 Au sein de ces secteurs,
21:43 pour déterminer si on est potentiellement concerné par la directive NIS2,
21:48 on aura un autre critère qui s'appelle le type d'entité.
21:53 Donc pour chaque secteur, sous-secteur,
21:57 on aura également associé des types d'entités.
22:01 Donc ça correspond à des activités métiers.
22:05 Au sein de la directive,
22:07 ils sont définis de plusieurs manières.
22:09 Dans certains cas,
22:10 on aura des définitions très précises
22:12 qui vont se baser sur des réglementations
22:14 principalement sectorielles déjà existantes,
22:16 comme dans l'énergie, les télécommunications ou la santé.
22:21 On a également des fois un lien
22:23 qui est fait avec la classification européenne des activités,
22:27 qu'on appelle la classification NAS,
22:29 qui est déclinée au niveau national en classification NAF.
22:33 Et parfois on a des définitions qui sont ad hoc,
22:35 qui ne s'appuient pas sur des réglementations
22:37 ni sur la classification NAS.
22:40 Donc on a listé ici le lien
22:45 et le moyen d'accéder à cette liste des types d'entités
22:50 que vous retrouvez en annexe de la directive.
22:53 On a juste présenté ici un exemple.
22:57 J'espère que c'est visible à distance.
23:00 Mais dans l'idée, on retrouvera
23:03 un certain nombre de types d'entités
23:05 pour chaque secteur/sous-secteur.
23:07 Et dans la mesure où parfois
23:09 certaines définitions ne sont pas forcément si précises que ça,
23:13 il conviendra donc d'en discuter.
23:16 Par la suite, on reviendra dessus.
23:18 Et de clarifier ces éléments
23:20 dans le cadre de la transposition nationale.
23:24 L'autre critère de sélection, ça va être la taille.
23:30 Donc au sein d'un secteur/sous-secteur,
23:33 on a une activité métier précise
23:36 et on aura l'autre critère qui sera la taille de l'entité.
23:39 Donc de manière générale,
23:42 toutes les entités qui ont une taille moyenne, intermédiaire ou grande
23:47 qui réalisent des activités en lien avec les types d'entités concernées,
23:52 seront concernées par la directive NIS2.
23:55 Donc à quoi correspond la taille moyenne intermédiaire grande ?
23:58 C'est issu d'une recommandation européenne
24:00 qui définit ce que c'est qu'une petite entreprise,
24:03 une micro-entreprise, une moyenne entreprise.
24:05 Et donc si on simplifie un petit peu
24:08 ce qui est écrit dans la directive,
24:10 toute entreprise dont le nombre d'employés est supérieur ou égal à 50
24:14 ou le chiffre d'affaires ou bilan annuel
24:17 supérieur à 10 millions d'euros,
24:19 encore une fois, qui réalise des activités
24:21 au sein des types d'entités des annexes 1 et 2,
24:24 seront concernées par la directive NIS2.
24:27 On a des exceptions, on a également des cas particuliers.
24:34 Donc précédemment, on a cette règle de base
24:37 qui va délimiter un périmètre que je vais appeler de base.
24:40 On aura également à disposition un certain nombre de mécanismes
24:44 pour ajuster à la marge le périmètre.
24:47 Donc ça, ça a été laissé à la libre interprétation des États membres.
24:53 L'idée, c'est de s'assurer qu'on puisse intégrer une entité
24:57 qui présente des enjeux nationaux dans le périmètre de la directive NIS2
25:01 si elle ne répond pas aux critères de base.
25:04 Et de la même manière, on a la possibilité d'exclure certaines entités,
25:08 notamment au regard de la Clause de défense et de sécurité nationale
25:11 pour préserver certaines entités qui représentent un enjeu national spécifique.
25:16 Et on a trois petites exceptions, si je puis dire,
25:21 par rapport à l'ensemble du périmètre.
25:24 Donc on a un certain nombre de types d'opérateurs
25:26 pour lesquels ce critère de taille ne s'applique pas.
25:29 Ce qui veut dire qu'à partir du moment où ils réaliseront ces activités-là,
25:34 elles seront dans le périmètre NIS2.
25:36 Ça concerne les fournisseurs de réseaux de communication électronique publics
25:39 ou de services de communication électronique accessibles au public,
25:42 les prestataires de services de confiance,
25:44 les fournisseurs de registres de nom de domaine de premier niveau
25:47 et les fournisseurs de services de système de nom de domaine.
25:51 Donc le critère de taille ne s'applique pas à ces derniers.
25:56 Donc si je synthétise la mécanique de détourage du périmètre de la directive NIS2,
26:05 on a une règle par défaut, on a des petits mécanismes d'ajustement
26:09 et on a une certaine clarification qui va être nécessaire
26:12 sur certains types d'entités pour s'assurer de sa précision à l'échelle nationale.
26:18 Autre concept, au sein de ce périmètre,
26:25 maintenant qu'on a délimité les entités de taille moyenne, intermédiaire et grande
26:31 de l'annexe 1 et de l'annexe 2,
26:33 on va avoir ce qu'on appelle des entités essentielles et des entités importantes.
26:38 Donc c'est le reflet de cette proportionnalité que mentionnait Yves.
26:44 Elle se traduit notamment par l'intégration de deux types d'entités,
26:49 donc les entités essentielles et les entités importantes.
26:52 Donc on va voir les différences entre les deux.
26:55 Typiquement, sur les mesures de sécurité,
26:58 on aura la possibilité d'avoir des niveaux d'exigence différents
27:02 entre une entité essentielle et une entité importante.
27:04 Cela permettra notamment de prendre en considération les moyens et les enjeux
27:08 dont dispose une grande entreprise,
27:12 à mettre en opposition aux moyens et aux enjeux
27:16 et à l'exposition d'une petite ou une moyenne entreprise.
27:19 Au niveau de la régulation, on a des mécanismes différents.
27:24 Sans rentrer dans le jargon juridique,
27:28 les entités essentielles seront régulées de manière exentée.
27:33 Donc on aura en tant que régulateur la possibilité
27:35 d'effectuer des contrôles à discrétion.
27:38 En revanche, pour les EIs, ce sera une régulation dite ex poste
27:41 et donc les contrôles pourront avoir lieu
27:45 en cas de connaissance d'une non-conformité.
27:49 On a également une distinction entre entité essentielle et entité importante
27:52 au niveau des sanctions.
27:54 Les sanctions seront, pour une mise d'une ampleur comparable
27:59 à celle du RGPD.
28:03 De manière simplifiée, encore une fois,
28:07 les sanctions pourront aller jusqu'à 2% du chiffre d'affaires mondial
28:13 pour les entités essentielles et 1,4% du chiffre d'affaires mondial
28:17 pour les entités importantes.
28:19 Ce sont les distinctions majeures entre entité essentielle et importante.
28:23 Je propose maintenant de vous définir,
28:27 préciser ce que seront les entités essentielles.
28:31 Les entités essentielles, on va les retrouver uniquement
28:34 par défaut dans l'annexe 1.
28:36 Elles correspondent aux entités de taille intermédiaire et grande.
28:42 Par rapport aux critères de taille de chiffre d'affaires de bilan,
28:47 on peut traduire ça de manière un peu plus mathématique
28:51 en exprimant le fait que toute entité qui aura un nombre d'employés
28:54 qui est supérieur ou égal à 250, ou bien un chiffre d'affaires
28:57 supérieur à 50 millions d'euros, ou un bilan annuel supérieur à 43 millions,
29:02 sera considérée comme entité de taille intermédiaire ou grande.
29:06 Et si elle réalise des activités de l'annexe 1,
29:09 alors elles seront par défaut entité essentielle.
29:13 Quelques règles secondaires,
29:17 ce sont un petit peu les exceptions qui accompagnent la règle de base.
29:23 Les prestataires de services de confiance qualifiés
29:27 et les registres de domaine de premier niveau,
29:29 ainsi que les fournisseurs de DNS,
29:31 seront essentiels quelle que soit leur taille.
29:34 Les fournisseurs de réseaux de publics de communication électronique publique
29:39 ou de services de communication électronique accessibles au public
29:43 seront essentiels à partir de la taille moyenne.
29:47 Donc moyenne, intermédiaire et grande seront essentiels.
29:50 On a également en tant qu'entité essentielle
29:52 toutes les entités qui seront soumises à une directive
29:55 qui s'appelle la directive résilience des entités critiques,
29:58 dont on ne parlera pas forcément aujourd'hui,
30:00 mais qui a été publiée en même temps que la directive NIS 2,
30:03 ainsi que toutes les entités qui seront actuellement désignées
30:06 opérateurs de services essentiels au titre de NIS 1.
30:09 Par défaut, elles seront essentielles dans NIS 2.
30:13 Enfin, on a certaines entités qui seront désignées
30:16 uniquement par la France au regard de certains critères spécifiques.
30:20 Donc ça rejoint le mécanisme d'ajustement à la marge.
30:23 Dans certains cas, il pourra être réalisé
30:28 une opération de transfert entre une I qui deviendrait une E.
30:34 Les entités importantes, de manière simplifiée,
30:40 on en aura sur l'annexe 1 et l'annexe 2.
30:43 Toutes les entités du périmètre de l'annexe 1 et de l'annexe 2,
30:49 toujours dans le cadre des types d'entités
30:51 qui sont définies au sein de la directive,
30:53 qui n'est pas essentielle, seront par défaut importantes.
30:56 Donc ça correspond aux entités de taille moyenne de l'annexe 1
30:59 et aux entités de taille moyenne importante et grande de l'annexe 2,
31:03 citées précédemment.
31:06 Florian a un petit souci de micro, a priori.
31:24 Pardon, c'est mieux ?
31:26 Très bien, merci beaucoup.
31:28 C'est du coup, pas exprès.
31:30 Donc petit schéma simplifié de la règle de base
31:34 qui reprend les grands éléments que j'ai déjà énoncés précédemment.
31:39 Mais ce qu'il faut retenir, c'est les entités essentielles,
31:43 on les retrouvera principalement, majoritairement,
31:46 quasi exclusivement dans l'annexe 1,
31:49 notamment pour les entreprises de taille intermédiaire et grande.
31:52 Les entités.
31:55 Concernant le périmètre que je viens de mentionner,
32:00 on a un sujet de juridiction à l'échelle européenne,
32:04 notamment pour les opérateurs qui sont établis sur plusieurs États membres,
32:07 qui fournissent des services dans plusieurs États membres,
32:10 ou même des entreprises d'États membres
32:12 qui vont fournir des services en France.
32:14 Donc on a au sein de la directive un article
32:16 qui concerne la définition de la juridiction,
32:19 donc à quels États membres je suis rattaché au regard de MIS2.
32:23 Donc la règle de base, c'est les entités
32:26 qui relèvent du champ d'application de la directive
32:28 sont considérées comme relevant de la compétence
32:30 des États membres dans lesquels elles sont établies.
32:32 Donc si vous êtes établi en France, vous vous relevez de la France.
32:35 À toute règle, il y a ces exceptions.
32:38 Les fournisseurs de réseaux de communication électronique publics
32:41 ou de services de communication électronique accessibles au public
32:44 relèvent de la compétence d'États membres
32:46 dans lesquels ils fournissent leurs services.
32:49 Donc il pourrait y avoir plusieurs juridictions.
32:54 Et enfin, une exception de juridiction
32:57 pour ce que j'appelle dans cette présentation
33:00 les acteurs du numérique,
33:02 vont relever de la compétence de l'État membre
33:05 où sont précisément prises les décisions relatives
33:07 aux mesures de gestion des risques en matière de cybersécurité.
33:10 Donc les acteurs du numérique correspondent
33:13 aux entités qui sont listées ci-dessous.
33:18 L'objectif de cette exception,
33:24 sans rentrer dans tout le détail,
33:26 c'est que ces acteurs sont implantés
33:30 au sein de l'Union européenne
33:32 et fournissent des services
33:34 dans parfois la quasi-totalité des États membres.
33:37 Donc à des fins d'harmonisation,
33:40 il a été créé une exception pour ces acteurs.
33:45 Concernant les obligations pour les entités,
33:50 on va commencer par trois obligations.
33:53 La première, ce sera la notification à l'ANSI.
33:55 Donc les entités devront se notifier à l'ANSI
33:59 et communiquer un certain nombre d'informations de contact.
34:05 Notamment tout ce qui est nom,
34:08 les adresses et les coordonnées, le secteur d'activité,
34:11 la liste des États membres de l'Union européenne
34:13 dans laquelle ils fournissent des services.
34:15 Tout ça, c'est explicité dans la directive.
34:18 Il faudra communiquer ces informations de contact
34:21 et également les tenir à jour dans le temps.
34:25 Troisième obligation qu'on a déjà au sein de NIS1,
34:30 c'est la déclaration à l'ANSI des incidents majeurs.
34:33 La nouveauté dans NIS2, c'est qu'elle s'effectuera
34:35 en plusieurs étapes, que ça a été spécifié
34:38 au sein de la directive.
34:39 Donc ça fait partie un peu des aspects prescriptifs
34:41 dont on parlait tout à l'heure.
34:43 La déclaration s'effectuera via une notification initiale,
34:47 un rapport d'avancement et un rapport final.
34:50 Pareil, c'est un sujet dont on reparlera
34:53 juste après, notamment dans le cadre des consultations.
34:57 Autre obligation, les mesures de sécurité
35:00 qui sont prévues par NIS2.
35:02 Donc cela concerne des mesures à prendre par les entités
35:05 pour gérer les risques liés à l'utilisation du numérique.
35:08 On va parler de mesures techniques, opérationnelles,
35:10 organisationnelles.
35:12 J'ai extrait la phrase de la directive
35:17 qui explicite au sein de l'article 21
35:20 le périmètre d'application des mesures de sécurité.
35:23 C'est une phrase assez complexe,
35:25 mais si on lit entre les lignes,
35:29 schématiquement, les mesures vont s'appliquer
35:35 sur un périmètre qui est bien plus large
35:37 que ce qu'il y a actuellement sur NIS1.
35:39 C'est pour ça que je me suis permis de faire une aparté
35:41 au regard de NIS1.
35:42 La notion de service essentiel va disparaître
35:44 au sein de NIS2.
35:45 Et donc, des mesures de sécurité,
35:48 on aura une extension par rapport
35:50 au simple périmètre des systèmes
35:52 d'information essentiels.
35:56 S'ensuit la liste des mesures,
35:58 les thématiques qui ont été prévues
36:00 au sein de la directive NIS2
36:02 et pour lesquelles on devra décliner
36:04 au niveau national un certain nombre
36:06 d'exigences associées.
36:08 Dans l'idée, on aura des politiques
36:11 relatives à l'analyse de risque
36:13 et à la sécurité des systèmes d'information,
36:15 tout ce qui concerne la gestion
36:16 des incidents, la quantité d'activités,
36:18 la sécurité de la chaîne d'approvisionnement,
36:21 tout ce qui est acquisition,
36:23 développement et maintenance,
36:25 maintien en condition de sécurité
36:26 des systèmes d'information,
36:28 tout ce qui est en lien à l'évaluation
36:32 de mon système de gestion des risques,
36:35 quelques pratiques de base,
36:37 on va parler de cyberhygiène notamment,
36:41 et enfin tout ce qui est
36:43 des procédures relatives à la crypto,
36:45 la gestion des ressources humaines,
36:47 la gestion des accès,
36:48 la gestion de l'authentification
36:49 et la gestion des communications.
36:51 C'est assez vaste, assez complexe.
36:55 Ce sera l'objet de discussions
36:57 lors des consultations.
37:02 Petit cas particulier à chaque règle de base,
37:04 son cas particulier,
37:05 les acteurs du numérique
37:06 dont on a cité précédemment,
37:09 ne seront pas soumis
37:10 aux exigences nationales.
37:12 Donc si une entité,
37:15 un acteur du numérique est en France,
37:19 les décisions en matière de cybersécurité
37:21 sont prises en France,
37:22 elle est sous juridiction française,
37:24 elle n'aura pas appliqué les règles
37:26 qui découlent du droit français.
37:28 En revanche, elle devra appliquer les règles
37:30 issues d'un acte d'exécution
37:32 que la Commission européenne
37:33 adoptera au plus tard le 17 octobre 2024
37:36 et qui précisera les mesures à appliquer
37:38 en lien avec les mesures précédemment exprimées.
37:43 Petite exception, mais qui a son impact
37:46 et qui a son importance pour ces acteurs.
37:51 Concernant les délais,
37:52 je vais revenir un petit peu sur ce qu'a dit Yves,
37:54 parce que c'est un des messages importants
37:56 qu'on souhaitait partager,
37:58 c'est qu'aujourd'hui,
38:02 dans les délais qui sont liés
38:05 avec les obligations,
38:07 la directive, dans certains cas,
38:10 prescrit un délai.
38:11 Par exemple, en cas d'incident,
38:13 la notification, vous avez 24 heures
38:15 pour notifier l'ANSI d'un incident,
38:17 vous aurez.
38:19 En revanche, il y a certains cas
38:20 pour lesquels les délais ne sont pas fixés
38:22 par la directive et donc l'interprétation
38:24 est laissée aux États membres.
38:26 Par exemple, aujourd'hui,
38:28 le délai de notification de l'ANSI
38:30 n'est pas défini dans la directive,
38:32 les délais d'implémentation
38:33 des mesures de sécurité
38:34 ne sont pas définis dans la directive.
38:36 Donc ces délais seront fixés
38:38 par la suite dans le cadre
38:40 de la transposition nationale
38:42 et ça fera l'objet des discussions
38:44 dans le cadre des consultations.
38:48 Nos obligations.
38:49 Nous aussi, on a des obligations
38:51 avec NIS2,
38:52 donc on a un renforcement du rôle
38:55 de régulateur qui est très présent
38:57 dans la directive.
38:59 On a des articles entiers dédiés
39:01 à la supervision des entités essentielles,
39:02 des entités importantes
39:04 sur plusieurs pages.
39:05 Donc on a également
39:06 un tout un tas d'obligations.
39:07 La première, ça va être
39:08 les obligations relatives
39:09 à la supervision du périmètre.
39:11 On doit fournir des rapports réguliers
39:14 sur le périmètre, son étendue,
39:17 le nombre d'entités par secteur, etc.
39:20 On a également des rapports statistiques
39:22 sur les incidents remontés à l'ANSI.
39:25 Là, ce sera sur une base trimestrielle.
39:29 Ce sont des rapports anonymisés.
39:31 On n'a pas d'informations
39:32 sur le contenu des incidents
39:34 ni sur l'origine,
39:35 mais on aura des processus
39:37 à mettre en place en interne
39:38 pour pouvoir remonter ces incidents
39:41 de manière trimestrielle
39:43 pour respecter nos obligations.
39:45 Et concernant nos actions
39:46 de régulation,
39:47 là, j'ai listé quelques exemples
39:51 pour illustrer ce qu'on pourrait
39:54 être amené à effectuer.
39:55 Donc on a des inspections sur place
39:57 ou à distance,
39:58 notamment dans le cadre des contrôles.
39:59 On a la possibilité de réaliser
40:00 des scans automatisés.
40:02 On aura la possibilité
40:03 d'effectuer des injonctions
40:05 auprès des entités.
40:06 Donc ça, pour illustrer,
40:08 ça peut être une demande
40:09 de mise en place d'un correctif
40:11 au regard d'une vulnérabilité critique
40:13 qui va impacter le périmètre
40:16 des entités régulées.
40:17 On pourra demander la suspension
40:19 temporaire au nom d'une certification
40:21 et on pourra même aller jusqu'à
40:23 demander la suspension temporaire
40:24 d'exercer les responsabilités
40:25 dirigeantes de l'entité
40:27 pour la personne physique
40:28 qui exerce ces responsabilités.
40:31 Donc un renforcement des pouvoirs
40:33 de l'autorité de régulation.
40:36 Je vais repasser la main à Yves
40:41 et on va parler de Transposition
40:42 nationale et nos ambitions.
40:44 Merci Florian.
40:47 Donc effectivement,
40:48 je vais vous dire un petit peu
40:51 pour commencer déjà,
40:53 quelles sont les ambitions
40:56 qu'on se fixe en France
40:59 au niveau de la Transposition elle-même.
41:01 Alors pour commencer,
41:02 bien évidemment,
41:04 la première ambition
41:05 c'est de respecter les délais formels
41:07 qui nous sont fixés
41:08 de Transposition au droit national
41:11 de la Directive NIS 2.
41:13 C'est-à-dire que là où pour NIS 1,
41:15 le délai de Transposition
41:17 était de 24 mois,
41:19 pour NIS 2,
41:20 le délai de Transposition
41:21 est de 21 mois,
41:23 ce qui, à partir de la publication
41:25 de la Directive au journal
41:27 officiel de l'Union européenne
41:28 en janvier dernier,
41:29 nous emmène,
41:30 sur de ma part,
41:31 au 17 octobre 2024.
41:34 La deuxième ambition
41:37 qui pour nous est très naturelle
41:40 de telle ainsi,
41:41 c'est de faire en sorte
41:42 que le dispositif
41:44 qui va découler de NIS 2
41:47 ait un impact réel
41:49 en matière de sécurité
41:50 des entités.
41:52 Que tout ça ne soit pas
41:53 juste un dispositif administratif,
41:57 mais bien un cadre
41:59 qui permet d'emmener
42:01 les opérateurs significatifs
42:04 pour le quotidien
42:05 de l'économie de la société
42:06 vers plus de cybersécurité
42:09 de manière homogène.
42:13 Aussi, nous allons
42:15 prendre pleinement part,
42:16 comme on l'a fait
42:17 depuis le début des négociations
42:20 sur NIS 1,
42:21 depuis son entrée en vigueur,
42:24 nous allons prendre pleinement part
42:26 aux travaux européens
42:29 visant à produire
42:31 plus d'harmonisation
42:33 sur les pratiques
42:34 des États membres.
42:36 Nous ne sommes pas ignorants
42:37 des difficultés
42:39 pour les opérateurs
42:41 qui d'ores et déjà
42:42 sont régulés par NIS 1
42:43 et qui sont présents
42:44 au travers de plusieurs États membres.
42:47 Donc pour nous,
42:48 c'est vraiment une priorité
42:49 que de réussir à faire en sorte
42:50 que tout ça soit le plus lisible
42:52 et cohérent possible
42:54 à l'échelle européenne.
42:56 Et à ce titre,
42:58 nous sommes très proactifs
43:01 d'ores et déjà
43:02 dans le groupe de coopération
43:03 et dans d'autres groupes.
43:05 Aussi, nous avons,
43:10 nous sommes fixés
43:12 comme priorité importante
43:13 le fait d'appréhender au mieux
43:16 la diversité
43:17 des situations des entités
43:20 et leur capacité à soutenir
43:22 les exigences de cybersécurité
43:24 qu'il va nous falloir définir
43:26 Aussi,
43:28 et je crois que ce webinaire
43:30 en est une démonstration
43:32 mais pas la seule,
43:34 nous nous sommes fixés
43:36 comme objectif d'informer
43:39 les futurs écosystèmes réguliers
43:41 tout au long du travail
43:42 de transposition.
43:45 Et enfin, à l'image
43:47 de ce qu'on a fait
43:48 pour la loi de programmation militaire
43:50 et puis sur la transposition
43:52 de NIS 1,
43:54 et on va essayer de le faire
43:56 plus encore que précédemment,
43:58 c'est de co-construire
44:00 le dispositif réglementaire
44:02 avec les secteurs concernés.
44:04 Et donc,
44:06 aujourd'hui,
44:07 avec ce webinaire,
44:08 c'est le début de l'aventure
44:10 dont vous êtes les héros,
44:12 vous les différents intervenants
44:15 sur la mise en œuvre
44:17 de NIS 2 à venir,
44:19 puisqu'on va vous expliquer
44:21 comment vous allez pouvoir
44:22 prendre part avec nous.
44:25 Alors, pour passer ensuite
44:29 à la transformation de l'ANSI,
44:32 bien évidemment,
44:34 le passage d'une directive NIS 1
44:37 qui ne concerne que
44:38 les infrastructures critiques,
44:41 qui en France concerne
44:43 du coup de fait,
44:44 aujourd'hui, à peu près 300 opérateurs,
44:47 à une directive NIS 2
44:49 qui a une vocation
44:50 de cybersécurité de masse
44:52 dans notre jargon
44:54 et qui va nous amener
44:57 à réguler plus de 10 000 opérateurs.
45:01 C'est certain,
45:02 mais le nombre précis,
45:04 je ne vous cache pas,
45:05 reste encore à définir,
45:07 mais c'est un changement
45:08 tout à fait significatif.
45:11 Donc, ça va nous amener
45:12 à nous transformer.
45:14 Cette transformation,
45:15 elle va se faire notamment
45:18 dans notre mission de régulateur
45:23 à commencer par la fonction d'accompagnement
45:27 qui aujourd'hui nous permet
45:32 d'accompagner un certain nombre
45:34 des quelques centaines d'opérateurs
45:36 qu'on régule
45:37 de manière éventuellement
45:38 assez détaillée,
45:39 mais en tout état de cause,
45:41 aujourd'hui, l'ANSI est un régulateur
45:44 qui met la priorité
45:47 sur l'accompagnement et le conseil
45:50 plutôt que sur le contrôle,
45:53 la supervision et le cas échéant,
45:55 la sanction.
45:56 Demain, cette fonction d'accompagnement,
45:58 elle va demeurer,
46:00 mais elle va potentiellement
46:02 prendre d'autres formes.
46:04 Et à côté de cette fonction
46:05 d'accompagnement,
46:06 donc il est certain que pour nous,
46:08 ça va rester une priorité.
46:10 Nous sommes pleinement conscients
46:11 des défis qu'il y a
46:12 pour élever le niveau
46:13 de cybersécurité générale.
46:15 Donc, avant de venir
46:17 de sanctionner tous les contrevenants,
46:19 on a bien en tête
46:21 qu'on a besoin d'expliquer,
46:23 qu'on a besoin de mettre à disposition
46:25 les guides, les conseils,
46:28 les outils pour aider
46:30 à s'élever en matière
46:31 de cybersécurité.
46:32 Néanmoins, à côté de ça,
46:34 nous allons être amenés
46:36 à renforcer l'activité de contrôle
46:40 de l'ANSI et de créer un dispositif
46:44 qui nous permettra,
46:46 et à nouveau, dans les cas
46:49 qui nous paraissent le plus justifié,
46:54 de pouvoir utiliser le régime
46:56 de sanction tel qu'il a été défini
46:59 précisément dans l'INSEE.
47:02 Donc, comme je vous le disais,
47:04 ça va nous amener à transformer
47:06 l'action de l'ANSI
47:07 pour passer à l'échelle
47:08 avec l'adaptation de nos dispositifs
47:10 d'accompagnement.
47:12 Probablement, c'est ce que nous avons
47:14 en tête aujourd'hui, en tout cas,
47:16 de développer des services numériques
47:19 de manière à mieux accompagner,
47:23 de manière personnalisée,
47:24 les différents opérateurs réguliers.
47:27 Et puis, bien évidemment,
47:28 aussi, le passage à l'échelle
47:30 nécessitera de reposer sur des relais
47:33 et ces relais se trouveront
47:36 soit au niveau local,
47:39 soit au niveau industriel,
47:40 soit les deux.
47:42 C'est très sympa.
47:45 Alors, s'agissant des grandes étapes,
47:51 donc, ça va commencer
47:53 par une transposition légale,
47:56 donc un projet de loi
47:59 qui va devoir être élaboré
48:01 et qui va nous permettre
48:03 de transcrire les obligations
48:07 qui sont issues de la Directrice ministre
48:09 d'EU en droit français,
48:12 mais qui, au final,
48:14 au niveau législatif,
48:17 ne nous laisseront pas énormément
48:19 de marge de manœuvre.
48:21 Et c'est beaucoup au niveau
48:23 des textes réglementaires,
48:25 les décrets d'application
48:28 et les arrêtés,
48:30 que, ensuite, nous serons amenés
48:32 à aller dans un détail
48:34 qui fait qu'on aura besoin
48:36 pour alimenter, concevoir
48:38 ces textes réglementaires,
48:40 on aura besoin de travailler avec vous
48:42 et de vous construire,
48:43 comme je l'évoquais justement.
48:44 En tout cas, sur la partie projet de loi,
48:47 l'échéance est visiblement,
48:49 je ne me suis pas trompé tout à l'heure,
48:50 quand je l'ai mentionné,
48:51 c'est un atterrissage au plus tard
48:54 au 17 octobre 2024
48:56 pour le dispositif réglementaire,
49:00 qui d'ailleurs, en fait,
49:01 à cette échéance-là,
49:02 devrait, au-delà de l'adoption de la loi,
49:05 devraient aussi comprendre
49:07 les textes d'application.
49:10 Et tout ça, ça devra s'articuler
49:13 avec les autres textes
49:16 qui sont relatifs aux opérateurs réguliers
49:19 et aussi à la cybersécurité
49:23 dans le champ spécifique du secteur finance.
49:26 Et donc, au travers de ça,
49:28 je pensais à la directive REC
49:30 qu'a déjà évoqué Florian,
49:33 au règlement et à la directive DORA
49:37 qui touche au secteur financier.
49:39 Et puis par ailleurs, pour nous,
49:41 il faudra aussi à cœur de prendre en compte
49:44 et de, cas échéant, peut-être ajuster un petit peu,
49:46 le dispositif issu de la loi
49:48 de programmation militaire de 2013
49:50 relatif aux opérateurs d'importance vitales
49:52 de manière à assurer une pleine cohérence
49:55 entre ce nouveau dispositif NIS2
49:59 et les autres cadres,
50:02 notamment les existants.
50:04 Alors, les travaux sur cette transposition
50:08 au cas de SPAC au sein de l'ANSYS
50:09 ont commencé depuis longtemps.
50:11 On a commencé à y penser dès la négociation,
50:15 mais nous sommes passés à une autre phase,
50:21 un travail un petit peu plus précis
50:26 en vue de l'objectif du 17 octobre 2024
50:30 depuis avant la publication officielle du texte,
50:37 en tout cas.
50:40 Mais du coup, l'enjeu pour nous,
50:42 c'est de réussir à, une nouvelle fois,
50:46 respecter les délais.
50:48 Le processus législatif va comprendre plusieurs phases,
50:51 notamment un certain nombre de consultations obligatoires,
50:55 un passage au Conseil d'État,
50:57 très traditionnellement pour un projet de loi,
51:00 et puis les débats au Parlement
51:03 qui confirmeront ou amenderont
51:07 les orientations du texte de transposition
51:12 et puis, in fine, son adoption et sa promulgation.
51:15 Alors, les phases de consultation
51:18 que nous allons faire pour le travail de construction
51:21 sont principalement prévues sur le second semestre 2023
51:25 et, comme je le disais tout à l'heure,
51:27 auront vocation à alimenter principalement
51:31 les textes réglementaires.
51:35 Alors, ces consultations, pour rentrer un petit peu dans le détail,
51:38 elles seront organisées en trois séquences
51:41 autour de trois thématiques.
51:43 La première, le périmètre des entités régulées.
51:46 Ce que vous disiez tout à l'heure, Florian,
51:48 c'est que dans un certain nombre de secteurs,
51:50 le périmètre est assez clairement défini par la directive,
51:55 mais pour quelques secteurs,
51:59 il reste quand même un certain travail
52:01 à poser les choses finement.
52:03 Mais ensuite, à tout état de cause, l'objectif pour nous,
52:05 c'est qu'on ait rebalayé l'ensemble des secteurs
52:09 et qu'on soit bien sûr que tout est clair pour tout le monde.
52:14 La deuxième thématique, ce sera l'évolution
52:19 des interactions entre les entités régulées
52:22 et les régulateurs.
52:24 Et ainsi, je vous le disais, le passage
52:26 de quelques centaines d'opérateurs
52:28 à plusieurs milliers, c'est quelque chose de significatif.
52:33 Donc, il faut qu'on voit comment les interactions
52:36 pourront évoluer au mieux de manière à atteindre l'objectif
52:40 que j'évoquais tout à l'heure de montée réelle
52:43 du niveau de cybersécurité, puisque ça reste ça,
52:45 notre driver tout du long.
52:47 Ce n'est pas tant de mettre en place un cadre réglementaire,
52:50 mais c'est bien d'élever le niveau de cybersécurité.
52:53 Et puis, les mesures de sécurité elles-mêmes
52:57 qui seront discutées et co-construites.
53:01 Alors, l'objectif pour nous, vous l'imaginez bien,
53:05 quand on fait une co-construction de cette ampleur-là,
53:09 l'objectif pour nous, c'est de couvrir l'ensemble
53:12 des secteurs, mais pour autant, on ne va pas être en mesure
53:15 d'entrer en relation directe avec des milliers d'opérateurs.
53:20 Donc, la manière dont on va s'organiser le travail,
53:23 pour nous, ce sera d'interagir avec les fédérations professionnelles,
53:28 s'agissant des acteurs privés concernés.
53:32 Et du coup, je ne peux que, dès à présent,
53:37 pour les entités qui sont aujourd'hui dans le webinaire
53:42 et qui souhaitent prendre part à cette co-construction,
53:45 je ne peux que les inviter, vous inviter à vous rapprocher
53:49 de vos fédérations professionnelles ou sectorielles,
53:52 de manière à être directement embarqués
53:55 dès que les échanges démarreront de manière effective.
53:59 Et sur ce, je passe la main à Florian,
54:02 qui va vous donner un petit peu de détails
54:04 sur les consultations à venir.
54:06 Merci Yves.
54:09 Je vais donner un petit peu de détails, mais assez rapidement,
54:11 parce que je vois que l'heure tourne un petit peu.
54:14 Donc, si je reviens sur la première consultation,
54:17 sur le périmètre, comme disait Yves, l'objectif est vraiment
54:20 de clarifier le périmètre.
54:22 Ce que je pourrais rajouter, ce sera aussi l'objectif
54:28 de cette consultation, de clarifier les cas particuliers,
54:31 notamment les entreprises à structure complexe,
54:34 à savoir, je suis une entreprise avec une filiale
54:38 dans tel secteur, mais mon autre filiale
54:41 est dans un autre secteur.
54:43 Du coup, est-ce que l'une est E, est-ce que l'autre est EI,
54:47 est-ce que le groupe entier est EI, etc.
54:50 Donc, ce sera aussi l'occasion de clarifier ces sujets-là
54:55 et également l'aspect juridiction à l'échelle européenne.
55:01 Pour compléter sur les interactions en termes de thématiques,
55:05 aujourd'hui, on envisage d'échanger sur tout ce qui est
55:10 mécanique de notification, les transmissions,
55:12 les mises à jour des contacts, sous quelle forme,
55:16 sous quel format, sous quelle fréquence,
55:19 la déclaration des incidents aussi, qui sera un des sujets à échanger,
55:24 notamment au regard des différents rapports,
55:28 mais aussi de la notion d'incident majeur.
55:31 Et enfin aussi les modalités de redescente d'informations
55:35 de l'ANSI vers les entités régulées, que ce soit dans le cadre
55:38 de la régulation avec les injonctions, mais peut-être aussi
55:40 dans le cadre de l'accompagnement sur des communications,
55:45 notamment au regard de la menace, de vulnérabilité,
55:48 qui pourraient être mis en place.
55:50 De manière générale, on en parlera au sein
55:55 de cette deuxième consultation.
55:57 Et donc la dernière sur les mesures de sécurité,
55:59 l'objectif c'est bien de construire la déclinaison
56:01 des mesures de sécurité pour les EUs et pour les EIs,
56:05 en intégrant pleinement le principe de proportionnalité.
56:10 Et les échanges nous amèneront à discuter sur la méthode
56:15 d'extinction des objectifs, la notion de temporalité
56:19 et de délai de mise en œuvre, et enfin la mécanique
56:23 de présomption de conformité qu'on souhaite explorer.
56:28 Petite information concernant les mesures de sécurité,
56:30 en parallèle de cette consultation, ou plutôt en préambule
56:33 de cette consultation, on a également lancé
56:35 une consultation un peu ciblée avec les experts
56:38 du secteur de la cybersécurité, avec notamment
56:41 les prestataires qualifiés, pour prendre un retour
56:45 d'expérience sur le modèle actuel, et notamment
56:48 les règles qui sont présentes dans l'ICR.
56:52 Donc pour finir, un calendrier prévisionnel,
56:56 juste pour mettre un peu de visuel sur le séquençage
57:00 des consultations, et on reviendra plus en détail
57:05 prochainement pour les informations logistiques.