Face à l’escalade des cyberattaques, la directive NIS2 apporte une réponse stratégique
La directive (Network and Information Security 2) NIS2, adoptée en 2022 et transposée en France par la loi du 26 avril 2024, renforce les précédentes réglementations sur la cybersécurité mises en place en 2016. Elle élargit le champ d’application pour inclure davantage de secteurs critiques et a pour objectif d’améliorer la résilience des systèmes face à la hausse des cyberattaques et de garantir une protection renforcée des infrastructures essentielles en Europe, s’inscrivant dans un cadre plus large de la réponse de l’Union européenne face aux cybermenaces.
Un cadre réglementaire pour contrer les cybermenaces croissantes
Selon le rapport Hiscox 2023, 53 % des entreprises ont subi une cyberattaque, avec une hausse de 5 points comparativement à l’année précédente, alors que les cyberattaques sont également en constante évolution, avec des menaces variées qui mettent les entreprises à l’épreuve. Les attaques par déni de service distribué, le phishing ciblé, et les malveillances par ransomware connaissent aussi une hausse, selon les estimations de 70 % des entreprises d’un rapport Deloitte, mais aussi les réseaux basés sur le cloud, qui ont augmenté de 48 %, selon le 2023 Security Report de Check Point Research.
Face à cette intensification des cyber-risques, pour garantir une meilleure protection contre les cyber-risques, la directive NIS2 impose aux entités concernées de mettre en place des mesures de sécurité robustes et proactives, au-delà de la simple prévention, afin de mieux protéger leurs systèmes d’information. Elle prévoit également une notification des incidents auprès des autorités compétentes, tout en renforçant la coopération entre les États membres grâce à des mécanismes de coordination européens pour une réponse plus efficace aux cyberattaques transfrontalières.
NIS2, entre opportunités et défis pour les entreprises
La directive NIS2 présente des opportunités concrètes pour améliorer la cybersécurité en Europe, mais elle ne vient pas sans défis majeurs, notamment pour les petites et moyennes entreprises (PME). Une étude de France Invest révèle que 68 % des PME en France n’ont pas les capacités nécessaires pour répondre aux exigences croissantes en matière de cybersécurité, un décalage qui pourrait accentuer les inégalités entre les grandes entreprises et les PME.
En outre, au-delà de mettre en place des actions proactives de sécurité, la mise en œuvre de la directive impose des exigences accrues de notifications pour une réaction rapide ; elle pourrait engendrer une certaine lourdeur administrative en raison de délais rapprochés. Par exemple, les entreprises doivent informer l’ANSSI dans les 24 heures suivant une cyberattaque significative et fournir un rapport détaillé dans les 5 jours suivant la première notification. Selon ce rapport Futur of Cyber, 45 % des entreprises françaises estiment que ces délais imposent une pression supplémentaire, notamment en cas d’attaques complexes qui nécessitent plus de temps pour évaluer les dommages.
Ainsi, bien que la directive NIS2 soit une réponse appropriée à l’augmentation des cyberattaques en Europe, son succès dépendra de la capacité des entreprises à s’adapter. Une approche qui pourrait allier réglementation et assistance pourrait mieux garantir que la directive atteigne ses objectifs sans entraver l’innovation et la compétitivité des entreprises européennes.