La directive NIS2, en vigueur à partir de 2024, représente un tournant majeur dans la régulation de la cybersécurité au sein de l’UE. Elle impose aux États membres des mesures de sécurité renforcées et élargit son périmètre d’application à de nouveaux secteurs, visant à contrer des cyberattaques de plus en plus sophistiquées. Une mise en œuvre aux multiples impacts pour nombre d’organisations…
En 2022, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) aurait enregistré près de 831 intrusions avérées en France. La montée en puissance des cyberattaques – dont les méthodes sont plus sophistiquées et massives que jamais – confronte les organisations à des menaces de plus en plus complexes, aux conséquences parfois dévastatrices.
Pour contrer ces menaces, les députés européens ont voté une nouvelle directive visant à harmoniser et renforcer la cybersécurité au sein du marché européen. Adoptée en janvier 2023, la directive NIS2 impose l’adoption de mesures de sécurité plus performantes afin de lutter contre les nouvelles menaces cyber. Cette directive s’appliquera à de nombreux secteurs des 27 pays membres de l’UE, à l’horizon 2024.
Une nouvelle étape dans la régulation de la cybersécurité
Véritable défi pour les États membres, la mise en place de la Directive NIS2 est une opportunité sans précédent en matière de protection et de coopération face aux cyberattaques. L’augmentation significative des menaces en ligne, exploitant les failles de sécurité et les services sensibles, appelle à la mise en œuvre d’actions proactives. Succédant à la directive NIS1, la Directive NIS2 répond à ces nouveaux enjeux en élargissant son champ d’action à un plus grand nombre de secteurs et en renforçant ses objectifs.
Cette nouvelle directive intègre notamment un mécanisme de proportionnalité visant à distinguer deux catégories d’entités selon leur niveau de criticité : les entités essentielles et les entités importantes. Selon la catégorie, l’ANSSI définira des exigences proportionnées en fonction de leurs enjeux respectifs.
35 secteurs concernés à l’échelle européenne
En élargissant son champ d’action, la Directive NIS2 s’adresse à un plus grand nombre d’entreprises. Ce nouveau périmètre d’application concerne des milliers d’entités, disposant de plus de 50 salariés et réalisant un chiffre d’affaires de plus d’un million d’euros. Couvrant initialement 19 secteurs, la Directive NIS2 s’appliquera à 16 nouveaux secteurs, soit un total de 35.
Les secteurs couverts par la directive actuelle incluent les infrastructures numériques, les fournisseurs de services numériques, l’énergie, le secteur bancaire, les infrastructures des marchés financiers, les transports, la santé, les administrations publiques et le secteur aérospatial. À ces domaines, viendront s’ajouter de nouveaux secteurs tels que : la fabrication, la production et la distribution de produits chimiques, la gestion des déchets, les services postaux et d’expédition, l’industrie, le e-commerce, les moteurs de recherche, les réseaux sociaux ou encore l’agroalimentaire.
Les sous-traitants sont également inclus dans cette nouvelle directive. Disposant d’un accès aux systèmes sensibles ou aux données critiques, les entreprises sous-traitantes deviennent des cibles de choix lors des attaques. L’intégration de ces dernières vise à prévenir et limiter les risques de cyberattaques, ainsi que les préjudices qui en découlent au sein de la chaîne d’approvisionnement.
Investir dès maintenant pour se conformer à la nouvelle directive
Les États membres de l’Union européenne doivent incorporer les nouvelles réglementations dans leurs législations nationales avant le 17 octobre 2024. Les organisations françaises disposent donc d’un peu plus d’un an pour mettre en place les mesures nécessaires afin d’être en conformité avec cette nouvelle directive. Une démarche proactive sera donc nécessaire pour améliorer le niveau de cybersécurité des secteurs concernés. Une enveloppe budgétaire devra aussi être anticipée par les directeurs financiers pour l’acquisition de technologies permettant de réduire les risques de cyberattaques ainsi que pour la formation des collaborateurs, cible numéro un des cybercriminels.
Au-delà d’une simple mise en conformité, cette nouvelle directive devrait permettre avant tout de protéger de nombreuses organisations. Les cyberattaques ont un impact important sur l’activité : perte de chiffre d’affaires dû à l’immobilisation de l’activité, coûts de remédiation, incidence sur la réputation, augmentation des assurances, etc. Dans certains cas, l’impact peut s’avérer irréversible : les petites entreprises dépensent en moyenne 955 429 dollars pour rétablir leurs activités à la suite d’une cyberattaque réussie, et 60 % d’entre elles font faillite dans les six mois suivant l’attaque.
La nouvelle directive NIS2 pousse les organisations à investir dans l’amélioration de leur cybersécurité et, par extension, dans leur pérennité. Face aux risques grandissants qui touchent les petits comme les grands acteurs, ne pas mettre en place de mesures pour réduire sa vulnérabilité cyber reviendrait à se jeter dans la gueule du loup.
____________________________
Par Cassie Leroux, Directrice Produit chez Mailinblack.