La directive NIS 2 : renforcer la résilience cyber dans tous les secteurs de l'UE

Les cybermenaces sont de plus en plus omniprésentes et sophistiquées. Pour contrer ces menaces, l'UE a pris plusieurs mesures pour harmoniser et renforcer la cybersécurité dans les secteurs critiques, créant ainsi une économie numérique plus sûre et plus résiliente. Pour le secteur financier, Loi sur la résilience opérationnelle numérique (DORA) a été introduit pour garantir la résilience opérationnelle des entités financières. Pour d'autres secteurs critiques, la directive NIS 2 a été mise en œuvre pour renforcer la cybersécurité et améliorer la réponse aux incidents et la coopération au sein de l'UE. Ensemble, ces initiatives visent à protéger l'infrastructure numérique essentielle à l'économie et à la société européennes.

Melissa Parsons
Rédactrice technique
NIS 2 - C-Risk

Renforcer la cybersécurité et la résilience à l'échelle de l'UE

La Directive sur la sécurité des réseaux et de l'information (NIS2) vise à renforcer les capacités de cybersécurité des organisations opérant en Europe. La directive définit trois principaux piliers qui aideront les organisations et les États membres à améliorer la gestion des risques de cybersécurité, à améliorer le signalement des incidents et à faciliter la communication transfrontalière sur les cybermenaces et les mesures à prendre.

 

La Cour des comptes européenne a publié un brief en 2019 qui a abordé 10 défis auxquels l'UE est confrontée lors de la création d'une politique de cybersécurité pour l'Europe. L'un des défis concernait les lacunes de la législation de l'UE et sa transposition inégale. Le NIS 2 comble plus efficacement certaines des lacunes du NIS 1 en publiant une version plus prescriptive de la directive initiale.

 

NIS 2 améliore la directive NIS précédente en relevant la barre en matière de protection des infrastructures critiques dans les pays de l'UE, en élargissant le nombre de secteurs concernés et en fixant des amendes en cas de non-conformité.

 

Les trois piliers de la directive NIS 2

Gestion des risques liés à la cybersécurité

Les organisations sont tenues de mettre en œuvre des mesures complètes de gestion des risques. Cela inclut la réalisation d'évaluations régulières des risques, la mise en œuvre de politiques de sécurité appropriées et la garantie que des mesures techniques et organisationnelles sont en place pour gérer et atténuer les menaces potentielles à la cybersécurité. L'objectif est de créer une approche proactive de la cybersécurité, dans laquelle les risques sont identifiés et traités avant qu'ils ne causent des dommages importants.

 

Signalement des incidents

Le signalement rapide et précis des incidents de cybersécurité est crucial dans le cadre du NIS 2. Les entités doivent signaler rapidement les incidents importants aux autorités compétentes, en veillant à ce que les réponses puissent être coordonnées efficacement au niveau national et au niveau de l'UE. Ce pilier met l'accent sur la transparence et la responsabilité, en aidant à atténuer l'impact des cyberincidents et en favorisant une culture de vigilance et de préparation.

 

Partage d'informations

La directive encourage un meilleur partage d'informations entre les secteurs public et privé, ainsi qu'entre les différentes organisations du même secteur. En partageant les informations sur les menaces, les meilleures pratiques et les leçons tirées des incidents passés, les organisations peuvent mettre en place une défense collective contre les cybermenaces. Cette approche collaborative vise à améliorer la résilience globale et à créer une communauté de cybersécurité mieux informée et connectée.

 

Le pouvoir d'une directive dans l'UE

Il existe plusieurs types d'actes législatifs dans l'UE, et les distinctions sont importantes pour comprendre comment ils sont appliqués et mis en oeuvre.

 

NIS 2 est une directive européenne adoptée par le Parlement européen et le Conseil en novembre 2022 et s'applique aux organisations opérant en Europe.

 

Au sein de l'UE, une « directive » est un acte législatif qui « fixe un objectif que les pays de l'UE doivent atteindre ». Cela se fait par le biais du processus de transposition, qui est un « processus d'intégration des directives de l'UE dans les lois nationales des États membres de l'UE ».

 

Contrairement à un règlement, une directive n'est pas directement applicable dans tous les États membres. Elle impose plutôt à chaque État membre de transposer les mesures de la directive dans son droit national dans un délai donné. Pour le NIS 2, la date limite de transposition de la directive est le 17 octobre 2024.

 

Le processus de transposition est surveillé par la Commission européenne. La Commission confirmera que chaque État membre a respecté le délai requis pour transposer la nouvelle directive en droit national et que le texte de la nouvelle législation nationale répond aux objectifs de la directive.

 

Si un État membre ne respecte pas le délai de transposition, la Commission pourrait lui infliger une amende ou une astreinte.

 

Alors que les gouvernements de toute l'Europe élaborent une nouvelle législation, les entreprises opérant en Europe dans des secteurs relevant des catégories « essentielles » ou « importantes » de la directive NIS 2 se préparent à répondre aux exigences de conformité basées sur le texte de la directive.