Dans un monde de plus en plus interconnecté, on ne saurait trop insister sur l’importance de la cybersécurité. Face à des cyberattaques de plus en plus sophistiquées et d’ampleur croissante, les gouvernements du monde entier s’efforcent de protéger leurs infrastructures critiques et les données sensibles. L’Union Européenne répond avec, entre autres, la mise en œuvre de la directive NIS2 (ou SRI2 - Sécurité des Réseaux et des systèmes d’Information), une étape audacieuse pour renforcer la cybersécurité dans les États membres.

OneTrust considère NIS2 comme une étape importante dans l’amélioration de la cybersécurité dans les secteurs critiques dont dépendent les consommateurs. 

Mais qu’implique exactement la directive NIS2, et pourquoi est-elle si importante pour les entreprises, les gouvernements et les individus ?
 

La directive NIS2 : qu’est-ce que c'est ?

La directive NIS2, ou SRI2, directive sur la Sécurité des Réseaux et des systèmes d’Information, est une mise à jour de la législation conçue pour améliorer le cadre de référence global en matière de cybersécurité au sein de l’Union européenne. Adoptée en 2022, elle s’appuie sur son prédécesseur, la directive NIS originale de 2016. NIS2 introduit une approche plus complète et plus stricte de la cybersécurité, s’adressant à un plus large éventail de secteurs, notamment les infrastructures critiques, l’énergie, la santé et la finance.

L’objectif de la directive NIS2 est simple mais essentiel : il s’agit de créer un environnement numérique résilient dans toute l’Europe en améliorant les capacités de cybersécurité des entités critiques. En définissant des normes claires pour la gouvernance de la cybersécurité, le signalement des incidents, la gestion des risques et la collaboration transfrontalière, la directive s’efforce d’atténuer les risques posés par les cybermenaces.

Qui est concerné par NIS2 ?

La directive NIS2 a considérablement élargi le champ d’application des entités concernées par rapport à la directive NIS originale. Beaucoup plus de secteurs et de types d’organisations sont soumis à ses exigences. Notamment :

• les fournisseurs d’infrastructures critiques : entités dans des secteurs tels que l’énergie, l’eau, les transports et la santé. Ces industries sont de plus en plus visées par les cybercriminels en raison de leur importance pour le fonctionnement de la société.
• les fournisseurs de services numériques : comprennent les services cloud, les places de marché en ligne et les moteurs de recherche. Alors que les entreprises continuent à transférer leurs activités en ligne, la cybersécurité de ces infrastructures numériques devient plus vitale que jamais.
• les organismes d’administration publics : les gouvernements et les organismes gouvernementaux aux niveaux national et local sont aussi soumis à la directive.

La directive met également l’accent sur les chaînes d’approvisionnement, reconnaissant que les vulnérabilités en matière de cybersécurité d’une entité peuvent avoir un effet en cascade sur d’autres. Cette approche interconnectée encourage les organisations non seulement à se concentrer sur leur propre défense, mais également à s’assurer que leurs partenaires et fournisseurs maintiennent des standards de cybersécurité élevés.
 

Principales dispositions de la directive

La directive NIS2 établit un cadre de référence complet pour améliorer la cybersécurité en Europe. Voici quelques unes de ses principales dispositions : 
 

1. Mesures de gestion des risques de cybersécurité

NIS2 exige des organisations qu’elles adoptent une approche de la cybersécurité basée sur les risques. Il faut donc identifier, évaluer et atténuer les risques de manière systématique. Les entités sont également tenues d’établir des structures de gouvernance internes claires pour gérer la cybersécurité et de mettre en œuvre des plans de réponse aux incidents pour traiter rapidement les violations lorsqu’elles se produisent.

2. Signalement des incidents 

NIS2 renforce l’obligation de signaler les incidents de cybersécurité. Les organisations doivent désormais signaler les incidents de sécurité significatifs aux autorités compétentes dans les 24 heures suivant leur détection. Un signalement rapide est essentiel pour garantir que les menaces sont identifiées tôt et atténuées avant qu’elles ne causent de dommages généralisés.

3. Sécurité de la chaîne d’approvisionnement 

La directive met l’accent sur la sécurisation des chaînes d’approvisionnement. Compte tenu de la complexité et de l’interdépendance croissantes des chaînes d’approvisionnement dans le monde, NIS2 exige que les organisations évaluent et gèrent les risques de cybersécurité posés par leurs fournisseurs et leurs partenaires tiers. Il s’agit d’essayer de neutraliser les vulnérabilités dans la chaîne d’approvisionnement qui peuvent être exploitées par les cybercriminels et qui sont souvent négligées.

4. Répression et sanctions plus sévères

Au contraire de la première directive NIS, NIS2 est moins basée sur la bonne volonté des organisations et impose des sanctions financières similaires à celles du RGPD ou de DORA. NIS2 introduit des mécanismes répressifs plus sévères. Les États membres sont tenus de mettre en place des autorités nationales pour la cybersécurité claires avec le pouvoir d’imposer des amendes et des sanctions aux organisations qui ne respectent pas la directive. Ces sanctions peuvent être lourdes - jusqu’à 2 % du chiffre d’affaires annuel de l’entreprise - soulignant l’importance du respect des exigences de cybersécurité énoncées dans la directive. De plus, les cadres dirigeants qui ne respecteraient pas la directive sont susceptibles d’être impliqués.

5. Coopération renforcée

NIS2 facilite la coopération transfrontalière et le partage d’informations entre les États membres. En renforçant une réponse collective de l’UE vis-à-vis des cybermenaces, la directive garantit que les États membres peuvent partager les bonnes pratiques, mener des exercices de cybersécurité conjoints et réagir rapidement aux incidents qui affecteraient plusieurs pays. 
 

Pourquoi NIS2 est importante

Le contexte numérique évolue à un rythme étonnant, et avec lui, les menaces posées par les cybercriminels. Des attaques de ransomware qui visent les hôpitaux au vol de données sensibles d’agences gouvernementales, les cyber-incidents peuvent paralyser des secteurs entiers. NIS2 répond à cette menace croissante non seulement en renforçant les réglementations, mais également en favorisant une culture de cybersécurité proactive au sein des organisations.

De plus, NIS2 permet de standardiser les pratiques de cybersécurité dans l’ensemble de l’UE. Dans une union européenne qui regroupe des pays ayant des niveaux de maturité numérique divers, des normes uniformisées sont essentielles pour garantir qu’aucun État membre n’est laissé de côté. Cette harmonisation contribue à atténuer les risques associés aux approches de cybersécurité fragmentées, ce qui facilite la gestion des cybermenaces internationales.
 

La voie à suivre

La directive rappelle que la cybersécurité n’est pas une tâche ponctuelle, mais un engagement continu. Les organisations doivent investir dans les technologies, la formation et les processus pour protéger leurs réseaux et leurs données contre des cybermenaces qui évoluent continuellement.

À une époque où la transformation numérique est primordiale, NIS2 garantit que l’Europe adopte les nouvelles technologies en s’appuyant sur des bases solides en matière de cybersécurité. La directive est plus qu’un cadre de référence réglementaire, c’est un appel à l’action pour les organisations pour qu’elles renforcent leurs défenses, sécurisent leur infrastructure numérique et contribuent à une Europe numérique plus sûre et plus résiliente.

OneTrust propose des solutions robustes pour améliorer la cyberrésilience et rendre opérationnelle la conformité NIS2 dans toute l’organisation.