Alors que les cybermenaces ne cessent de croître, l'Europe, dont l'économie est fortement numérisée, est devenue une cible de choix. En effet, le nombre de cyberattaques contre les entreprises européennes a atteint des sommets sans précédent, avec une augmentation de 108 % des attaques contre des secteurs clés depuis 2020. Pour lutter contre cette tendance alarmante, le Parlement européen a introduit NIS2, une nouvelle directive sur la cybersécurité visant à renforcer la cyber-résilience de l'Union.
La directive NIS2 renforce les exigences et met l'accent sur la gestion des risques et la réponse aux incidents, ce qui changera à jamais la façon dont les entreprises de l'UE abordent la cybersécurité. Dans cet article de blog, nous nous pencherons sur les conséquences considérables de la NIS2 pour la cybersécurité européenne et fournirons des informations essentielles pour aider les entreprises à s'adapter et à prospérer dans ce nouveau paysage réglementaire.
Décortiquer la directive NIS2
NIS2, abréviation de Network and Information Security Directive, est une nouvelle directive européenne sur la cybersécurité visant à améliorer la cybersécurité dans l'Union européenne. Adoptée et entrée en vigueur le 16 janvier 2023, la directive définit de nouvelles exigences en matière de cybersécurité pour les organisations classées comme infrastructures critiques.
S'appuyant sur son prédécesseur NIS1, qui a été adopté en 2016, NIS2 élargit sa couverture pour inclure des secteurs tels que l'énergie, les transports, les soins de santé, la finance, l'administration publique, l'approvisionnement en eau, et bien d'autres encore. Alors que la directive précédente se concentrait uniquement sur les services dits essentiels et les fournisseurs de services numériques, la NIS2 élimine cette distinction et divise plutôt les entités affectées en deux catégories : les entités essentielles et les entités importantes, où la taille, la fonction sociétale/le secteur et le chiffre d'affaires annuel sont les facteurs déterminants pour savoir si la NIS2 s'applique à une organisation donnée.
En outre, le NIS2 renforce les exigences en matière de gestion des risques, de signalement des incidents et de coopération entre les États membres de l'UE en cas de cyberincidents. Dans l'ensemble, le NIS2 représente une avancée significative dans la réglementation de l'UE en matière de cybersécurité, et les organisations qui entrent dans son champ d'application devraient prendre note des nouvelles exigences pour assurer leur conformité.
L'impact du NIS2 sur la cybersécurité de l'UE
Le NIS2 devrait avoir un impact significatif sur la cybersécurité de l'UE en imposant des mesures de sécurité de grande envergure pour améliorer la gestion des risques et les pratiques de réponse aux incidents, en renforçant la surveillance réglementaire et en introduisant un élément sans précédent de responsabilité en matière de conformité de la gestion. Voici quelques-uns des changements que le NIS2 apportera à la cybersécurité de l'UE :
Nouvelles exigences en matière de cybersécurité pour les entreprises :
- NIS2 introduit un ensemble de 10 mesures minimales que les organisations doivent mettre en œuvre pour gérer les risques, y compris des mesures telles que le contrôle d'accès, la gestion des incidents et la gestion de la continuité des activités.
- Les entreprises sont tenues de faire preuve de diligence raisonnable en ce qui concerne la sécurité des chaînes d'approvisionnement afin de s'assurer que les fournisseurs tiers adhèrent également aux normes de sécurité NIS2.
- Les rapports d'alerte précoce doivent être soumis dans les 24 heures suivant un incident.
L'accent est mis sur la gestion des risques et la réponse aux incidents :
- Les entreprises doivent élaborer des plans de réponse aux incidents qui couvrent différents scénarios et procéder à des évaluations régulières de la sécurité afin d'identifier les vulnérabilités et les faiblesses.
- La notification des incidents aux autorités compétentes est obligatoire et doit inclure toutes les informations pertinentes, telles que la portée et l'impact de l'incident, les systèmes et les données affectés, et les mesures prises pour contenir et atténuer l'incident.
Renforcement de la surveillance et de l'application de la réglementation :
- Les autorités nationales désignées seront chargées de veiller au respect de la directive par le biais d'audits et d'inspections.
- Les autorités auront le pouvoir de demander des informations, de mener des enquêtes et d'infliger des amendes ou des sanctions en cas de non-respect de la directive.
Responsabilité personnelle des organes de direction :
- Les organes de direction, y compris les directeurs et les cadres supérieurs, peuvent voir leur responsabilité personnelle engagée en cas d'incidents de cybersécurité résultant de leur incapacité à mettre en œuvre des mesures de sécurité ou à réagir de manière adéquate à une cybermenace.
- Cela signifie qu'ils peuvent être tenus pour responsables et subir les conséquences juridiques ou financières de leurs actions ou inactions en matière de cybersécurité.
- L'exigence de responsabilité personnelle vise à encourager les organes de direction à prendre la cybersécurité au sérieux et à donner la priorité à la mise en œuvre de mesures de sécurité appropriées pour protéger les données personnelles des citoyens de l'UE.
NIS2 et les entreprises de l'UE : Implications et opportunités
L'impact global de NIS2 sur les entreprises de l'UE sera considérable.
Avec environ 160 000 entités affectées dans 15 secteurs différents, les organisations d'infrastructures critiques de toute l'Europe devront faire face à cette nouvelle réalité réglementaire.
De plus, tous les fournisseurs tiers qui fournissent des services à ces organisations doivent également répondre aux nouvelles exigences, ce qui multiplie le nombre réel d'entreprises concernées. Pour ajouter à la gravité de ce changement politique majeur, les équipes dirigeantes seront obligées d'inscrire la cybersécurité à l'ordre du jour du conseil d'administration en raison de l'introduction sans précédent de la responsabilité de conformité de la direction, qui rend les organes de direction personnellement responsables en cas de non-conformité.
Ces changements entraîneront sans aucun doute une augmentation des investissements dans la cybersécurité, des conseils en matière de conformité et des formations à la cybersécurité, car les conseils d'administration prendront conscience des conséquences juridiques potentiellement désastreuses de la négligence et du non-respect des règles.
La NIS2 sera un test de réalité pour les organisations qui ont négligé leurs efforts en matière de sécurité. La directive introduira une nouvelle norme de sécurité qui, si elle est largement mise en œuvre, renforcera la capacité des entreprises européennes à résister aux effets destructeurs des cybermenaces de demain.
Comment se préparer à NIS2
Pour se préparer à la mise en conformité avec la norme NIS2, les opérateurs européens d'infrastructures critiques et les fournisseurs de leur chaîne d'approvisionnement doivent d'abord procéder à une évaluation complète des risques. Cela permettra d'identifier les vulnérabilités et les faiblesses qui doivent être corrigées conformément aux nouvelles normes NIS2. Cette évaluation permettra également d'évaluer l'efficacité des mesures de sécurité existantes, ce qui constitue un autre élément essentiel des nouvelles exigences.
Les États membres ont jusqu'au 17 octobre 2024 pour transposer la directive en droit national. Les organisations concernées ont donc 16 mois pour s'assurer que leur niveau de cyberdéfense est conforme aux exigences de la directive.
Uniqkey, une solution de gestion des mots de passe pour les entreprises basée au Danemark, a publié le site nis2directive.eu, qui offre au public des informations accessibles sur la directive NIS2. Le site comprend toutes les informations relatives à la directive NIS2, provenant de sources officielles et publiques, et classées de manière à en faciliter la consultation. Il propose également un livre blanc pratique sur le sujet, destiné à tous ceux qui recherchent des suggestions tangibles et spécifiques à des outils pour se conformer à la directive NIS2.
Les entreprises européennes opérant dans l'un des 15 secteurs couverts – ou fournissant des services à l'une de ces organisations – devront se familiariser avec les exigences de la directive pour survivre à la transition réglementaire à venir.
