La Directive NIS (Network and Information Systems) a été un jalon important dans les efforts de l’Union Européenne. C’est pour le renforcement de la cybersécurité et la résilience des infrastructures critiques qu’elle est créée. La première itération de cette directive, communément appelée NIS1, a été adoptée en 2016 et est entrée en vigueur en mai 2018. Son objectif principal était d’établir un cadre juridique commun pour la sécurité des réseaux et des systèmes d’information au sein de l’UE.
Pour renforcer la cybersécurité dans toute l’Europe, le Parlement européen a voté pour adopter la directive révisée sur les réseaux et les systèmes d’information 2022/0383, plus connue sous le nom de « NIS2 ». La directive européenne NIS 2 est adoptée en janvier 2023, et oblige des milliers d’entreprises à renforcer leurs normes en matière de sécurité.
Renforcement de la Cybersécurité à l’Échelle Européenne
La directive NIS1 est élaborée dans le contexte de la menace croissante des attaques cybernétiques et des cybercrimes. Ceux-ci peuvent avoir des conséquences graves sur la sécurité nationale, l’économie et les services publics.
En reconnaissant l’importance critique des infrastructures essentielles, la directive visait à créer un environnement sûr et résilient pour les réseaux et les systèmes d’information au sein de l’UE.
Qui est concerné par la directive NIS 2 ?
La directive NIS 2 englobe divers secteurs critiques tels que l’énergie, les transports, la santé, les services bancaires et financiers, ainsi que les services numériques.
Initialement, NIS 1 couvrait 19 secteurs et en élargissant son champ d’action, la Directive NIS 2 s’adresse à un plus grand nombre d’entreprises. Ce nouveau périmètre d’application comprend 16 secteurs supplémentaires soit 35. Cela concerne des milliers d’entités, disposant de plus de 50 salariés et réalisant un chiffre d’affaires de plus d’un million d’euros.
Principaux Points de la Directive NIS
Obligations de Sécurité : Les entités concernées doivent mettre en place des mesures de sécurité proportionnées aux risques. Le but est d’assurer ainsi la confidentialité, l’intégrité et la disponibilité de leurs systèmes d’information.
Notification des Incidents : La directive exige la notification obligatoire des incidents de sécurité significatifs aux autorités nationales compétentes. Ces notifications sont bénéfique pour une bonne coordination en cas de cyberattaque majeure. Les entreprises disposent de 24 heures à compté de l’incident pour effectuer un premier signalement auprès de l’ANSSI. Pour cela un rapport préliminaire existe et ce dernier devra être rempli totalement dans un délai d’un mois maximum.
Coopération et Coordination Transfrontalières : De grandes menaces transcendent les frontières nationales. La directive encourage donc la coopération entre les États membres et la coordination avec les autorités de l’UE.
Numériques (FSN) : Les États membres sont chargés d’identifier les Identification des Opérateurs d’Infrastructures Essentielles (OIE) et les Fournisseurs de Services Numériques (FSN) et de veiller à ce qu’ils respectent les exigences de la directive.
Sanctions : La directive prévoit des sanctions en cas de non-respect des obligations, garantissant ainsi la mise en œuvre effective des mesures de sécurité.
Principaux Points de NIS 2
Élargissement de la Portée : NIS 2 étend la portée de la directive pour inclure de nouveaux secteurs et services numériques. Parmi eux, les plateformes en ligne, les moteurs de recherche et les places de marché en ligne, qui jouent un rôle de plus en plus crucial dans l’économie numérique.
Renforcement des Obligations de Sécurité : Comme son prédécesseur, NIS 2 impose des obligations de sécurité plus strictes aux fournisseurs de services numériques et aux opérateurs d’infrastructures essentielles.
Le NIS2 peut déterminer si les organisations sont dites essentielles ou importantes. Celles qui sont soumises aux mêmes exigences de gestion de la cybersécurité et de signalement des incidents dans le cadre du NIS.
Quelle est la différence entre les organisations essentielles et importantes ?
Le contrôle de la conformité. Les organisations essentielles, celles des secteurs vitaux, la surveillance devra être uniquement proactive et parfaitement reflétée dans leurs processus. Cela signifie que les superviseurs vérifient le respect de la directive. Les principaux fournisseurs verront cette surveillance de manière rétrospective seulement s’il existe des indices d’un cyber incident.
Coopération Internationale Renforcée : Avec la nature transnationale des menaces cybernétiques, NIS 2 renforce la coopération internationale entre les États membres de l’UE et avec d’autres partenaires.
Gestion des Incidents et des Risques : La directive contient des dispositions renforcées pour la gestion des incidents et des risques. Des exigences accrues en matière de notification des incidents et de coopération avec les autorités compétentes sont également compris.
Focus sur les Technologies Émergentes : Étant donné l’évolution rapide des technologies, NIS 2 est probablement axée sur la prise en compte des défis liés à l’IA, à l’Internet des objets (IoT) et à d’autres innovations technologiques.
Sanctions et Mesures Correctives : NIS 2 stipule des sanctions plus sévères en cas de non-conformité et définit des mesures correctives spécifiques pour garantir une mise en œuvre efficace des mesures de cybersécurité.
La directive NIS2 devrait être inscrite dans la loi en septembre 2024 au plus tard.
DSI, RSSI, DPO, demandez une démonstration gratuite de la solution totalement automatisée de sensibilisation au phishing et au QRiching :