En établissant des normes plus strictes pour la sécurité et la gestion des risques, la directive NIS2 reflète une prise de conscience croissante des vulnérabilités dans le cyberespace européen. Cette mise à jour réglementaire est cruciale pour la protection des infrastructures critiques et offre une approche globale pour améliorer la résilience face aux menaces numériques persistantes.
La directive NIS2 représente une étape importante dans l’évolution de la réglementation en matière de cybersécurité au sein de l’Union européenne. Avec l’augmentation continue des cybermenaces auxquelles sont confrontées à la fois les infrastructures critiques et les organisations de toute taille, la nécessité d’une réglementation plus stricte et plus cohérente dans le domaine de la cybersécurité est devenue plus évidente que jamais. Succédant à la directive NIS originale, NIS2 vise à combler les lacunes et les défis apparus lors de la mise en œuvre de la réglementation initiale et à s’adapter au paysage changeant de la cybersécurité.
Evolution de la directive : de NIS à NIS2
La première directive NIS (NIS 1148) a été établie en 2016, marquant une avancée dans l’unification des efforts de cybersécurité au sein de l’UE. Cependant, sa mise en œuvre a révélé plusieurs difficultés, notamment l’incohérence des efforts de cybersécurité des États membres. Ce scénario a conduit la Commission européenne à proposer la directive NIS2, officiellement adoptée le 16 janvier 2023. Les États membres ont donc jusqu’en octobre 2024 pour transposer les mesures NIS2 dans leur législation nationale, avec l’obligation de se conformer à cette directive avant le 17 octobre 2024.
Les changements clés de la directive NIS2
La directive NIS2 introduit des changements significatifs dans quatre domaines clés :
Gestion des risques et mesures de sécurité : des exigences plus strictes sont imposées pour que les mesures de contrôle soient basées sur des évaluations détaillées des risques, garantissant ainsi que les organisations adoptent une approche proactive dans l’identification et l’atténuation des cyber-risques.
Obligations de notification des cyberincidents : la directive établit des exigences uniformes concernant le moment et les destinataires des notifications de cyberincidents, dans le but d’améliorer la rapidité et l’efficacité de la réponse aux incidents.
Engagement de la direction : NIS2 accorde une importance particulière à la responsabilité des chefs d’entreprise dans la prévention et la gestion des cyberincidents, qui pourraient être tenus directement responsables des failles de sécurité.
Surveillance, application et sanctions : comme le RGPD, NIS2 permet d’imposer des amendes importantes en cas de non-conformité, avec des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel pour les entités essentielles, et jusqu’à 7 millions d’euros pour les entités importantes.
Qui est dans la ligne de mire de NIS2 ?
Le NIS2 classe les organisations en « entités essentielles » et « entités importantes », élargissant ainsi la réglementation au-delà des infrastructures critiques. Cela englobe une variété de secteurs et de services cruciaux pour l’économie et la société de l’UE.
Il comprend toutes les entités publiques et privées fondamentales pour l’économie et la société, ainsi que celles comptant plus de 250 salariés et un chiffre d’affaires annuel supérieur à 50 millions d’euros. Il couvre également celles comptant de 50 à 250 salariés et un chiffre d’affaires annuel d’au moins 10 millions d’euros.
Il existe des exceptions à la règle de taille, comme les fournisseurs de réseaux ou de services de communications électroniques, les registres de noms de domaine ou les fournisseurs de services DNS, ainsi que les fournisseurs uniques d’un service essentiel dans un État membre. De plus, les entités dont l’interruption de service pourrait avoir un impact significatif sur la sûreté publique, la sécurité publique ou la santé publique, ainsi que les entités de l’administration publique, sont prises en compte dans cette catégorie.
Gestion des risques et mesures de sécurité
La directive NIS2 met la barre plus haute en matière de gestion des risques et de mesures de sécurité que les organisations doivent adopter au sein de l’Union européenne. Cette approche globale vise non seulement à protéger les infrastructures des organisations, mais également à renforcer la résilience des entreprises et de l’économie européenne contre les cybermenaces. Voici les éléments clés de cette approche :
-
- Ensemble minimum de mesures de sécurité
- Évaluations des risques et politiques de sécurité des systèmes d’information
- Procédures de sécurité pour les employés ayant accès à des données sensibles ou importantes
- Utilisation de l’authentification multifacteur
- Gestion des incidents pour la prévention, la détection et la réponse aux cyber-incidents
- Continuité des activités et gestion des crises
- Test et audit des mesures de sécurité
- Sécurité de la chaîne d’approvisionnement
- Formation en cybersécurité
Les entreprises sont-elles vraiment prêtes pour NIS2 ?
La directive NIS2 représente une avancée significative en matière de cybersécurité au sein de l’Union européenne, répondant aux défis croissants dans un environnement numérique de plus en plus complexe. Avec des critères clairs et des exigences plus strictes, ce règlement renforce non seulement la protection des infrastructures critiques et des organisations essentielles, mais promeut également une culture de cybersécurité plus solide et plus consciente dans toute la région. La date limite de mise en œuvre étant fixée à octobre 2024, les États membres et les entités concernées doivent agir rapidement pour s’adapter à ces nouvelles réglementations et garantir un environnement numérique plus sûr pour tous. Êtes-vous prêts ?
____________________________
Par Eric Gatrio, CRO chez WALLIX