Quel est l’impact de la réglementation élargie sur la cybersécurité dans l’UE et quelles sont les conséquences pour les entreprises ?
27 novembre 2024
Dans un monde de plus en plus interconnecté, on ne saurait trop insister sur l’importance de la cybersécurité. Face à des cyberattaques de plus en plus sophistiquées et d’ampleur croissante, les gouvernements du monde entier s’efforcent de protéger leurs infrastructures critiques et les données sensibles. L’Union Européenne répond avec, entre autres, la mise en œuvre de la directive NIS2 (ou SRI2 - Sécurité des Réseaux et des systèmes d’Information), une étape audacieuse pour renforcer la cybersécurité dans les États membres.
OneTrust considère NIS2 comme une étape importante dans l’amélioration de la cybersécurité dans les secteurs critiques dont dépendent les consommateurs.
Mais qu’implique exactement la directive NIS2, et pourquoi est-elle si importante pour les entreprises, les gouvernements et les individus ?
La directive NIS2, ou SRI2, directive sur la Sécurité des Réseaux et des systèmes d’Information, est une mise à jour de la législation conçue pour améliorer le cadre de référence global en matière de cybersécurité au sein de l’Union européenne. Adoptée en 2022, elle s’appuie sur son prédécesseur, la directive NIS originale de 2016. NIS2 introduit une approche plus complète et plus stricte de la cybersécurité, s’adressant à un plus large éventail de secteurs, notamment les infrastructures critiques, l’énergie, la santé et la finance.
L’objectif de la directive NIS2 est simple mais essentiel : il s’agit de créer un environnement numérique résilient dans toute l’Europe en améliorant les capacités de cybersécurité des entités critiques. En définissant des normes claires pour la gouvernance de la cybersécurité, le signalement des incidents, la gestion des risques et la collaboration transfrontalière, la directive s’efforce d’atténuer les risques posés par les cybermenaces.
La directive NIS2 a considérablement élargi le champ d’application des entités concernées par rapport à la directive NIS originale. Beaucoup plus de secteurs et de types d’organisations sont soumis à ses exigences. Notamment :
La directive met également l’accent sur les chaînes d’approvisionnement, reconnaissant que les vulnérabilités en matière de cybersécurité d’une entité peuvent avoir un effet en cascade sur d’autres. Cette approche interconnectée encourage les organisations non seulement à se concentrer sur leur propre défense, mais également à s’assurer que leurs partenaires et fournisseurs maintiennent des standards de cybersécurité élevés.
La directive NIS2 établit un cadre de référence complet pour améliorer la cybersécurité en Europe. Voici quelques unes de ses principales dispositions :
NIS2 exige des organisations qu’elles adoptent une approche de la cybersécurité basée sur les risques. Il faut donc identifier, évaluer et atténuer les risques de manière systématique. Les entités sont également tenues d’établir des structures de gouvernance internes claires pour gérer la cybersécurité et de mettre en œuvre des plans de réponse aux incidents pour traiter rapidement les violations lorsqu’elles se produisent.
NIS2 renforce l’obligation de signaler les incidents de cybersécurité. Les organisations doivent désormais signaler les incidents de sécurité significatifs aux autorités compétentes dans les 24 heures suivant leur détection. Un signalement rapide est essentiel pour garantir que les menaces sont identifiées tôt et atténuées avant qu’elles ne causent de dommages généralisés.
La directive met l’accent sur la sécurisation des chaînes d’approvisionnement. Compte tenu de la complexité et de l’interdépendance croissantes des chaînes d’approvisionnement dans le monde, NIS2 exige que les organisations évaluent et gèrent les risques de cybersécurité posés par leurs fournisseurs et leurs partenaires tiers. Il s’agit d’essayer de neutraliser les vulnérabilités dans la chaîne d’approvisionnement qui peuvent être exploitées par les cybercriminels et qui sont souvent négligées.
Au contraire de la première directive NIS, NIS2 est moins basée sur la bonne volonté des organisations et impose des sanctions financières similaires à celles du RGPD ou de DORA. NIS2 introduit des mécanismes répressifs plus sévères. Les États membres sont tenus de mettre en place des autorités nationales pour la cybersécurité claires avec le pouvoir d’imposer des amendes et des sanctions aux organisations qui ne respectent pas la directive. Ces sanctions peuvent être lourdes - jusqu’à 2 % du chiffre d’affaires annuel de l’entreprise - soulignant l’importance du respect des exigences de cybersécurité énoncées dans la directive. De plus, les cadres dirigeants qui ne respecteraient pas la directive sont susceptibles d’être impliqués.
NIS2 facilite la coopération transfrontalière et le partage d’informations entre les États membres. En renforçant une réponse collective de l’UE vis-à-vis des cybermenaces, la directive garantit que les États membres peuvent partager les bonnes pratiques, mener des exercices de cybersécurité conjoints et réagir rapidement aux incidents qui affecteraient plusieurs pays.
Le contexte numérique évolue à un rythme étonnant, et avec lui, les menaces posées par les cybercriminels. Des attaques de ransomware qui visent les hôpitaux au vol de données sensibles d’agences gouvernementales, les cyber-incidents peuvent paralyser des secteurs entiers. NIS2 répond à cette menace croissante non seulement en renforçant les réglementations, mais également en favorisant une culture de cybersécurité proactive au sein des organisations.
De plus, NIS2 permet de standardiser les pratiques de cybersécurité dans l’ensemble de l’UE. Dans une union européenne qui regroupe des pays ayant des niveaux de maturité numérique divers, des normes uniformisées sont essentielles pour garantir qu’aucun État membre n’est laissé de côté. Cette harmonisation contribue à atténuer les risques associés aux approches de cybersécurité fragmentées, ce qui facilite la gestion des cybermenaces internationales.
La directive rappelle que la cybersécurité n’est pas une tâche ponctuelle, mais un engagement continu. Les organisations doivent investir dans les technologies, la formation et les processus pour protéger leurs réseaux et leurs données contre des cybermenaces qui évoluent continuellement.
À une époque où la transformation numérique est primordiale, NIS2 garantit que l’Europe adopte les nouvelles technologies en s’appuyant sur des bases solides en matière de cybersécurité. La directive est plus qu’un cadre de référence réglementaire, c’est un appel à l’action pour les organisations pour qu’elles renforcent leurs défenses, sécurisent leur infrastructure numérique et contribuent à une Europe numérique plus sûre et plus résiliente.
OneTrust propose des solutions robustes pour améliorer la cyberrésilience et rendre opérationnelle la conformité NIS2 dans toute l’organisation.
Check-list
Découvrez notre check-list en six étapes pour un programme de gestion des risques tiers solide.
Check-list
La loi Digital Operational Resilience Act (DORA) est la première réglementation à contrôler les fonctions de sécurité des entités financières dans l’Union Européenne. Découvrez notre check-list pour assurer votre mise en conformité !
Webinaire
Webinar : comment relever les défis de la gestion des risques tiers tels que : la complexité croissante des réseaux de fournisseurs, la conformité réglementaire changeante et la nécessité de gérer efficacement les relations avec les tiers pour atténuer les risques et maintenir la continuité des activités.
Infographie
Quels sont les principaux défis auxquels les RSSI sont confrontés ? Téléchargez cette infographie pour connaître l'avis d'experts de tous les secteurs d'activité.
Blog
Risques tiers liés à l'IA - Comment rester en contrôle ? Découvrez notre approche complète pour l'évaluation de vos fournisseurs
Blog
Quel rôle les tiers jouent-ils dans votre conformité en matière de confidentialité ? Découvrez les connections entre les deux fonctions et comment garantir la sécurité des données dans votre chaîne d’approvisionnement.