Rentrée en vigueur en 2023, la Directive sur la sécurité des réseaux et des systèmes d’information 2 (NIS2), impose des mesures plus strictes et harmonisées de cybersécurité pour protéger les infrastructures critiques et secteurs essentiels en Europe.
Transposée en France par la loi du 26 avril 2024, la directive NIS2 vient remplacer et renforcer la directive NIS rentrée en vigueur en 2016 afin de faire face à l’augmentation des cybermenaces.
Améliorer la sécurité et la résilience en Europe
Alors que la directive NIS originale se concentrait principalement sur les infrastructures critiques et essentielles comme le transport, les secteurs de la santé, de l’eau et des services numériques, la directive NIS2 élargit considérablement son champ d’application. Elle couvre désormais un éventail plus large de domaines, y compris l’alimentaire, l’administration publique ou encore la télécommunication sous certaines conditions de taille d’effectif et de chiffre d’affaires.
Afin de garantir une meilleure stabilité face aux cyber-risques, les mesures de cette nouvelle directive visent à :
- Mettre en place des actions proactives de sécurité : les entités concernées doivent aller au-delà de simples actions de prévention et de réaction, mais mettre en œuvre des mesures de sécurité robustes pour protéger leurs réseaux et systèmes d’information.
- Améliorer la notification des incidents: il s’agit désormais de notifier avec précision les incidents de cybersécurité significatifs aux autorités compétentes, en France à l’ANSSI et dont le rôle a été renforcé, selon plusieurs échelons rapprochés.
- Renforcer la coopération entre les états membres : la directive encourage la création de mécanismes de liaison et de coordination à travers la mise en place du réseau européen CyCLONe (Cyber Crises Link Organisation Network).
En cas de non-respect de ces nouvelles obligations, la directive NIS2 se montre plus stricte, en introduisant des sanctions plus sévères pour garantir l’application effective des règles.
L’adaptation nécessaire des organisations pour une mise en conformité réussie
Pour de nombreuses entreprises, notamment celles qui n’étaient pas soumises à des régulations strictes en matière de cybersécurité, la directive NIS2 représente un défi de taille et impose un changement radical. La complexité de ces exigences peut nécessiter des investissements importants en technologie et en expertise. L’optimisation et l’automatisation des processus d’analyse et de reporting des incidents ainsi que le développement de logiciel avec une approche security by design, mettant en avant la notion de risque et de sécurité dès le stade de la conception, peuvent réduire la pression sur les dirigeants et l’entreprise au profit d’une meilleure confiance en leur système informatique.
Si la Directive NSI2 n’inclut pas la notion de résilience opérationnelle introduite par le Règlement DORA visant également les entités financières, il établit un premier jalon sur la mise en place d’une culture de la résilience poussant le collectif à innover, pour transformer ses stratégies de collaboration en externe mais aussi notablement en interne.