La France a fait intégrer la directive européenne de cybersécurité NIS 2 dans sa législation nationale ce 17 octobre. Cette nouvelle norme oblige les organismes exerçant des activités essentielles pour la sécurité nationale à mettre en place des mesures de sécurité informatique robustes. De nombreuses PME seront également concernées par ces exigences.
Cette initiative vise à améliorer la résilience face aux cybermenaces et à garantir la protection des infrastructures critiques.
Qu’est-ce que le NIS ?
L’Union européenne a adopté en 2016 la directive sur les réseaux et systèmes d’information (NIS) comme première législation dédiée à la cybersécurité. Son principal objectif est d’améliorer la cyber-résilience des États membres de l’Union européenne. Pour ce faire, elle vise à identifier les opérateurs de services essentiels et à imposer des mesures de cybersécurité adaptées. Un des éléments clés de cette directive est l’obligation de signaler les incidents de sécurité. Cela vise à renforcer la réactivité face aux menaces numériques.
Néanmoins, peu de temps après son adoption, il est devenu évident que la mise en œuvre de la directive variait considérablement d’un État membre à l’autre. Cette incohérence a créé un système fragmenté. Certaines entreprises et organisations étaient reconnues comme essentielles dans certains pays, mais pas dans d’autres. Cette disparité soulève des préoccupations quant à l’efficacité globale de la directive et à la protection des infrastructures critiques au sein de l’Union européenne.
Pour remédier à cela, la Commission européenne a décidé de réviser la directive NIS afin de définir clairement les organisations couvertes et leurs exigences spécifiques.Un plan qui s’est concrétisé en 2021 sous la forme de la directive sur la sécurité des réseaux et de l’information (NIS2).
NIS2 : Une nouvelle étape vers une cybersécurité renforcée
Face à ces problèmes, la Commission européenne a décidé de réviser la directive NIS. La directive NIS actualisée corrige les lacunes de son prédécesseur et accroît considérablement sa portée. Plus spécifiquement, elle apporte les modifications suivantes :
- Élargissement du champ d’application à d’autres secteurs : Services postaux, gestion des déchets, produits chimiques, recherche, alimentation, fabrication et fournisseurs numériques
- Sanctions plus sévères imposées en cas de non-conformité : sanctions non monétaires, amendes administratives et sanctions pénales à l’encontre des organismes de gestion
- Exigences plus strictes en matière de cybersécurité : gestion des risques, gouvernance d’entreprise, signalement d’incident et continuité des activités.
Sources : NIS2 DIRECTIVE