NIS2 – l’avenir de la cybersécurité dans l’UE : ce que les entreprises doivent savoir maintenant
Dans ce contexte, l’Union européenne a intensifié ses efforts en adoptant la directive sur la sécurité des réseaux et de l’information (NIS2). Dans ce billet de blog, nous allons jeter un regard plus précis sur la NIS2, expliquer ses règles, discuter de qui elle concerne, de la date de son entrée en vigueur et de son impact sur les entreprises.
Qu’est-ce que NIS2 ?
Des règles de cybersécurité ont déjà été introduites par l’UE en 2016, NIS2 (Network and Information Security) est désormais la version actualisée de la directive sur la sécurité des réseaux et de l’information de l’Union européenne. Cette directive vise à garantir un niveau de cybersécurité plus élevé dans les États membres tout en renforçant la coopération entre les pays de l’UE en matière d’incidents de cybersécurité. La NIS2 actualise le cadre juridique existant afin de rester en phase avec la numérisation croissante et un paysage des menaces pour la cybersécurité en pleine évolution, tout en s’appuyant sur le succès de la première directive et en reflétant l’augmentation des menaces dans l’espace numérique.
Quelles sont les dispositions de la NIS2 et qui sont-elles concernées ?
La directive NIS2, officiellement connue sous le nom de directive (UE) 2022/2555, établit des mesures juridiques visant à accroître le niveau global de cybersécurité dans l’Union européenne. Elle garantit que les États membres sont correctement préparés, par exemple en exigeant la mise en place d’une équipe de réponse aux incidents de sécurité informatique (CSIRT) et d’une autorité nationale compétente en matière de réseaux et de systèmes d’information (NIS). En outre, elle encourage la coopération entre les États membres en créant un groupe de coopération qui soutient la coopération stratégique et l’échange d’informations.
La directive NIS2 vise à établir une culture de la sécurité dans tous les secteurs cruciaux qui dépendent fortement des technologies de l’information et de la communication (TIC) et veut avant tout garantir que les entreprises critiques et importantes se protègent mieux contre les cyberattaques, en particulier dans les secteurs clés. Il s’agit de domaines tels que l’énergie, les transports, l’eau, les banques, les infrastructures des marchés financiers, les soins de santé et l’infrastructure numérique. Les entreprises qui remplissent certains critères et sont considérées par les États membres comme des opérateurs de services essentiels doivent adopter et mettre en œuvre des mesures de sécurité appropriées. Elles doivent également informer les autorités nationales des incidents de sécurité graves. De même, les principaux fournisseurs de services numériques, y compris les moteurs de recherche, les services d’informatique en nuage et les marchés en ligne, sont tenus de se conformer aux exigences de sécurité et de notification de la directive.
Quand la norme NIS2 entrera-t-elle en vigueur ?
En janvier 2023, la directive NIS2 à l’échelle de l’UE est entrée en vigueur et a remplacé les règles de cybersécurité introduites en 2016 par une version plus stricte.
Les entreprises concernées par la NIS2 devront mettre en œuvre des mesures de sécurité strictes à partir de l’automne 2024. Celles-ci comprennent une défense renforcée contre les cyberattaques, le respect de normes de sécurité spécifiques et la garantie que leurs systèmes sont constamment à la pointe de la technologie. En outre, des obligations de notification sont prévues en cas d’incidents de sécurité.
Quel est l’impact de NIS2 sur les entreprises ?
L’objectif de la directive est de renforcer la cyber-résilience des entreprises critiques et importantes. Par rapport à la situation antérieure, les exigences s’étendent désormais à un nombre beaucoup plus important d’entreprises, même indirectement, si elles ne font partie que d’une chaîne d’approvisionnement.
Elle a un impact considérable sur ces entreprises, en particulier celles qui opèrent dans des secteurs clés. La nécessité de mettre en œuvre des mesures de sécurité robustes peut entraîner des coûts supplémentaires, mais elle fournit en même temps un cadre clair pour la protection contre les cybermenaces. Les entreprises devraient examiner leurs pratiques de sécurité actuelles pour s’assurer qu’elles sont conformes aux nouvelles normes et procéder à des ajustements si nécessaire. Les infractions aux dispositions de la NIS2 peuvent entraîner de lourdes sanctions.
Quelles conséquences votre entreprise doit-elle tirer ?
Dans l’ensemble, NIS2 représente un pas important de l’UE dans le domaine de la cybersécurité. Elle contribuera sans aucun doute à renforcer la résilience des infrastructures numériques et à encourager la coopération entre les États membres. Les entreprises concernées par la NIS2 doivent être proactives et s’assurer, pendant la période de transition jusqu’à l’automne 2024, qu’elles sont en conformité avec la directive, qu’elles adaptent leurs systèmes aux exigences et qu’elles protègent correctement leurs actifs numériques contre les cyberattaques afin d’éviter des sanctions potentielles. Une gestion des identités et des accès des clients comme cidaas peut vous être utile à cet égard.