La Directive NIS 2 renforce la coopération entre les États membres de l’Union européenne en matière de gestion des crises cybernétiques. Elle formalise également le réseau CyCLOne (Cyber Crisis Liaison Organisation Network).
Ce dernier implique l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ainsi que ses homologues européens pour une coordination plus efficace. Son objectif ? Contribuer à la mise en œuvre du plan d’action de la Commission européenne en cas d’incident cyber d’ampleur ou de crise transfrontalière.
La Directive NIS 2 élargit le périmètre des secteurs et des entreprises qui doivent se conformer à ses exigences. Certaines, qui n’étaient pas précédemment couvertes par la directive NIS 1, devront désormais adopter des mesures de cybersécurité conformes. Cela représente au total plus de 600 types d’entités différentes : administrations, PME, groupes du CAC 40, etc.
Toutes les organisations concernées par la Directive NIS 2 devront mettre en place des mesures de sécurité plus strictes pour protéger leurs réseaux et leurs systèmes d’information :
- mise en œuvre de politiques de sécurité ;
- réalisation d’audits de sécurité réguliers ;
- mise en place de mesures de prévention et de défection des cyberattaques, etc.
Globalement, la directive exige une meilleure gestion des incidents de cybersécurité. Les entreprises devront disposer de procédures claires pour détecter, signaler et répondre aux incidents de sécurité. Cette mesure pourra conduire, par exemple, à la généralisation pour toutes les sociétés d’un Plan de Reprise d’Activité. (un lien interne pourra être ajouté vers le livre blanc dès publication sur le blog).
Globalement, la directive exige une meilleure gestion des incidents de cybersécurité. Les entreprises devront disposer de procédures claires pour détecter, signaler et répondre aux incidents de sécurité. Cette mesure pourra conduire, par exemple, à la généralisation, pour toutes les sociétés, d’un Plan de Reprise d’Activité.
Elles seront tenues de notifier rapidement les autorités compétentes en cas d’incidents majeurs. Les sociétés auront également pour consigne de démontrer leur conformité avec la Directive NIS 2. Le cas échéant, des amendes pourraient s’appliquer.