Directive NIS 2 et fournisseurs DNS : consultation publique en cours

Bonjour,

TL;DR : La transposition en droit national de la directive NIS 2 concernera vraisemblablement plusieurs CHATONS. Une consultation publique est organisée par les services de la Commission européene jusqu’au 25 juillet, à laquelle les CHATONS concernés pourraient utilement répondre.

La directive NIS 2

Chez la FFDN et FedeRez (fédération des associations étudiantes d’informatique et de réseau), on suit depuis près d’un an la transposition de la directive (UE) 2022/2555 du 14 décembre 2022, dite « NIS 2 ».

Cette directive vise à améliorer le niveau général de sécurité numérique de l’Union. Pour ce faire, elle permet aux États membres d’imposer à certaines entités « essentielles » (EE) ou « importantes » (EI) de mettre en œuvre des mesures de gestion des risques très diverses (voir l’article 21 de la directive).

L’assujettissement des entités s’appuie sur deux critères : leur activité et leur taille.

S’agissant du critère d’activité, la directive énumère 18 secteurs, eux-même subdivisés en activités (voir les annexes I et II), parmi lesquelles figurent la fourniture de services de communications électroniques accessibles au public et de réseaux publics de communications électroniques ainsi que la fourniture de services DNS (voir la définition à l’article 6, point 20).

S’agissant du critère de taille, dans l’immense majorité des cas, seules les entités dépassant les seuils de moyenne entreprise sont concernées (50 employés ou 10 M€ de CA ou de bilan). Quelques exceptions ont toutefois été aménagées par les colégislateurs. Ainsi les micro et petits opérateurs de communications électroniques sont considérés comme des EI (les autres étant essentiels), tandis que les fournisseurs DNS sont systématiquement des EE.

Cette qualification concernera vraisemblablement certains CHATONS (fourniture de serveurs DNS récursifs ou faisant autorité, de services de courrier électronique, de VPN, d’accès à internet…).

Outre les mesures de gestion des risques qu’elles devront mettre en œuvre (ces mesures concerneront tous les SI des EI et des EE), les entités essentielles et importantes seront tenues de s’enregistrer auprès de l’ANSSI et de déclarer les incidents importants les touchant dans un délai de 24 heures (voir l’article 23). Elles pourront également se voir imposer des audits, suite à un incident ou régulièrement (en principe, les audits réguliers ne peuvent concerner que les EE, mais le projet de loi mentionné ci-dessous semble autoriser l’ANSSI à l’imposer également à des EI).

Projet de loi de transposition

En France, un projet de loi de transposition devait initialement être présenté le 12 juin, mais la dissolution de l’Assemblée nationale est passée par là. En attendant, vous pouvez toutefois consulter une version de travail du texte publiée par L’Informé et Contexte). Vous pouvez également consulter quelques avis publics émis dans le cadre des travaux de transposition par le CyberCercle, la CSNP, Renaissance numérique ou encore des associations de collectivités territoriales.

Règlement d’exécution

Les mesures de gestion des risques que les fournisseurs DNS devront mettre en œuvre seront cependant régies par un texte distinct, élaboré par la Commission européenne. Ce texte précisera aussi les critères permettant de déterminer si un incident est important, i.e. s’il doit être notifié à l’ANSSI.

Les services de la Commission ont débuté il y a quelques jours une consultation publique sur ce texte, ouverte jusqu’au 25 juillet.

Lors d’échanges que nous avons eu avec l’équipe en charge du suivi de la transposition pour la Commission, il est apparu qu’elle prônait une interprétation très large de la notion de « fournisseur de services DNS », englobant notamment des services fournis en l’absence de rémunération.

Pour ces raisons, nous pensons que les membres du collectif (principalement ceux fournissant des services DNS, mais également les autres concernant les critères d’importance des incidents) pourraient utilement jeter un coup d’œil au texte en consultation et envoyer leurs observations à la Commission, en exposant leur situation et en expliquant le cas échéant en quoi certaines des mesures proposées seraient disproportionnées, contreproductives ou inapplicables.

La FFDN et FedeRez répondront également à la consultation (pour l’instant, on a à peine commencé à analyser le texte, mais certains points nous paraîssent assez inadaptés à nos associations).

Si vous avez des questions sur la directive, la position de FedeRez et de la FFDN, la transposition en droit national ou le projet de règlement d’exécution, n’hésitez pas :slight_smile:.