Après la mise en œuvre de la directive sur la sécurité des réseaux et des systèmes d’information (SRI) en 2016, l’Union européenne a décidé d’adopter une position plus stricte, d’étendre le décret adapté et d’impliquer davantage d’entités dans ses tentatives d’accroître le niveau de cybersécurité en Europe. Que peut-on attendre de SRI 2 ? Voici quelques questions que vous pourriez vous poser, et leurs réponses.
Quel était l’objectif de la première directive SRI ?
La directive NIS adoptée en 2016 a été la première législation sur la cybersécurité concernant tous les États membres de l’Union européenne. Elle se concentrait principalement sur des organisations appartenant à deux groupes : les opérateurs de services essentiels (OSE), tels que la santé, les transports, l’énergie, etc., et les fournisseurs de services numériques (FSN), notamment les moteurs de recherche en ligne, les places de marché sur Internet et les services dans le Cloud. La directive NIS exigeait de ces organisations qu’elles se conforment aux mesures de sécurité appropriées et qu’elles signalent tout incident majeur de cybersécurité subi. Elle permettait également aux États de tenir compte de leur situation nationale.
Son principal objectif était d’améliorer la cybersécurité des entreprises européennes, notamment en mettant en place une autorité SRI nationale, en exigeant des entreprises qu’elles disposent d’une équipe d’intervention en cas d’incidents de sécurité informatique (CSIRT) et en établissant des communications stratégiques dans le cadre d’un Groupe de coopération comprenant les États membres de l’UE, la Commission européenne et l’Agence de l’UE pour la cybersécurité (ENISA).
Qu’est-ce que la NSI 2 ?
SRI 2 étend la directive initiale, inclut une plus grande variété d’organisations de différentes sphères et, pour la première fois, prend en compte la sécurité de la chaîne d’approvisionnement des technologies de l’information et de la communication. Sa création a été motivée par des années de développement dans le domaine de la cybersécurité européenne ainsi que par les défis récents en matière de cybersécurité.
Pendant la pandémie de COVID-19, le nombre de cyberattaques a augmenté de 220 % dans les États membres de l’UE, ce qui montre que le champ d’application de la directive SRI initiale était peut-être trop limité. L’objectif de SRI 2 est de renforcer la cybersécurité des différents États européens, de favoriser une meilleure connaissance conjointe de la situation et d’améliorer la capacité de l’UE à faire face collectivement aux problèmes de sécurité en améliorant le processus de partage des informations entre les différents secteurs et les différents pays.
NSI 2 devrait minimiser les différences entre les nombreux États et secteurs, et présenter un plan stratégique unifié concernant une grande variété de menaces pour la cybersécurité. Par rapport à SRI 1, la directive SRI 2 introduit des mesures de surveillance plus sévères pour les autorités nationales ainsi que des exigences plus strictes pour la mise en application.
Quelles entreprises seront incluses dans NSI 2 ?
NIS 2 couvrira presque toutes les moyennes et grandes entités commerciales opérant sur le marché intérieur de l’Union européenne. Cela inclut non seulement les États membres de l’UE, mais aussi les organisations extérieures à l’UE qui sont essentielles sur son marché.
Quels secteurs étaient inclus dans la directive NIS 1?
Santé
Infrastructure numérique
Transports
Approvisionnement en eau
Fournisseurs de services numériques
Infrastructure des banques et des marchés financiers
Énergie
Quels secteurs ont été ajoutés par la directive NIS 2 ?
Fournisseurs de réseaux ou de services publics de communication électronique
Gestion des eaux usées et des déchets
Fabrication de certains produits critiques (par ex. produits pharmaceutiques, dispositifs médicaux et produits chimiques)
Nourriture
Services numériques (par ex. plateformes de réseaux sociaux et services de centres de données)
Espace (par ex. aérospatiale)
Services postaux et de messagerie
Administration publique
Source: Cyberpilot, 2022
Quelles sont les exigences introduites par NIS 2 ?
La directive se compose de sept points qui doivent être suivis par les entreprises et les secteurs concernés. Les exigences comprennent le traitement des incidents, la sécurité de la chaîne d’approvisionnement, le chiffrement, la communication des vulnérabilités, ainsi qu’une approche en deux étapes pour la notification des incidents, selon laquelle les organisations doivent signaler un incident dans les 24 heures suivant sa première occurrence, puis soumettre un rapport final au plus tard un mois après.
Quelles sont les conséquences pour les entreprises qui ne se conforment pas à la directive ?
Lorsque les entreprises négligent les exigences de NIS 2, différentes mesures exécutoires peuvent s’ensuivre, notamment des instructions contraignantes, la recommandation d’un audit de sécurité et des amendes administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’entreprise au cours de l’exercice précédent.
Quand la directive sera-t-elle mise en œuvre ?
La version finale de la directive est encore en cours d’élaboration par les autorités compétentes, mais sa mise en œuvre est prévue pour 2024.
Comment les entreprises devraient-elles se préparer ?
La directive n’étant pas encore applicable, il n’est pas nécessaire de suivre d’exigence spécifique pour le moment. Néanmoins, il existe certaines mesures que vous pouvez prendre pour que votre organisation soit mieux préparée aux changements à venir. Par exemple, NIS 2 exigera des organisations qu’elles évaluent leurs risques en matière de cybersécurité, ce que vous pouvez faire à l’avance pour avoir une meilleure idée de vos points forts et de vos points faibles.
Étant donné que le chiffrement fera également partie de la directive, vous pouvez examiner la manière dont vous protégez et chiffrez vos données à l'heure actuelle, et voir si vous pouvez y apporter des améliorations.
