La Directive NIS 2 entrera en vigueur en octobre 2024. Son objectif ? Renforcer la sécurité des systèmes d’information en Europe pour contrer les menaces croissantes. Cette nouvelle directive présente certaines différences avec son prédécesseur. Elle implique de nouvelles obligations et s’étend à davantage d’entreprises. Explications.
La Directive NIS 2 instaure un cadre réglementé renforcé
La Directive NIS 2 constitue une réponse directe à l’augmentation des menaces cybernétiques et à la vulnérabilité persistante de nombreux systèmes d’information. Elle a été publiée au Journal officiel de l’Union européenne en décembre 2022.
La Directive NIS 2 s’appuie sur les fondements de la directive NIS 1, mais va encore plus loin. Elle élargit ses objectifs et son périmètre d’application pour offrir une protection renforcée face à des cyberattaques de plus en plus sophistiquées et fréquentes. Cette extension s’avère inédite en matière de réglementation cybernétique.
Plus largement, la directive vise à unifier les pratiques de sécurité à travers l’Union européenne, assurant ainsi une approche cohérente et efficace en matière de cybersécurité.
Les nouveautés de la Directive NIS 2
La Directive NIS 2 renforce la coopération entre les États membres de l’Union européenne en matière de gestion des crises cybernétiques. Elle formalise également le réseau CyCLOne (Cyber Crisis Liaison Organisation Network).
Ce dernier implique l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ainsi que ses homologues européens pour une coordination plus efficace. Son objectif ? Contribuer à la mise en œuvre du plan d’action de la Commission européenne en cas d’incident cyber d’ampleur ou de crise transfrontalière.
La Directive NIS 2 élargit le périmètre des secteurs et des entreprises qui doivent se conformer à ses exigences. Certaines, qui n’étaient pas précédemment couvertes par la directive NIS 1, devront désormais adopter des mesures de cybersécurité conformes. Cela représente au total plus de 600 types d’entités différentes : administrations, PME, groupes du CAC 40, etc.
Toutes les organisations concernées par la Directive NIS 2 devront mettre en place des mesures de sécurité plus strictes pour protéger leurs réseaux et leurs systèmes d’information :
- mise en œuvre de politiques de sécurité ;
- réalisation d’audits de sécurité réguliers ;
- mise en place de mesures de prévention et de défection des cyberattaques, etc.
Globalement, la directive exige une meilleure gestion des incidents de cybersécurité. Les entreprises devront disposer de procédures claires pour détecter, signaler et répondre aux incidents de sécurité. Cette mesure pourra conduire, par exemple, à la généralisation pour toutes les sociétés d’un Plan de Reprise d’Activité. (un lien interne pourra être ajouté vers le livre blanc dès publication sur le blog).
Globalement, la directive exige une meilleure gestion des incidents de cybersécurité. Les entreprises devront disposer de procédures claires pour détecter, signaler et répondre aux incidents de sécurité. Cette mesure pourra conduire, par exemple, à la généralisation, pour toutes les sociétés, d’un Plan de Reprise d’Activité.
Elles seront tenues de notifier rapidement les autorités compétentes en cas d’incidents majeurs. Les sociétés auront également pour consigne de démontrer leur conformité avec la Directive NIS 2. Le cas échéant, des amendes pourraient s’appliquer.
Se préparer à l’arrivée du NIS 2 pour être en parfaite conformité
Les dirigeants d’entreprises doivent prendre dès maintenant des mesures proactives pour se préparer efficacement à l’arrivée de la Directive NIS 2. Les PME nouvellement incluses dans le périmètre de la NIS 2 peuvent s’appuyer sur des ressources telles que le guide des TPE/PME pour assurer leur conformité. Ce guide offre des conseils pratiques et des stratégies durables pour renforcer la cybersécurité des organisations.
Les entités déjà couvertes par la Directive NIS 1 doivent maintenir leurs efforts de mise en conformité. Jusqu’à l’entrée en vigueur de NIS 2, les exigences de NIS 1 restent en place et continueront à être contrôlées par l’ANSSI.
En anticipant et en adaptant leurs pratiques de sécurité dès maintenant, les entreprises pourront s’assurer qu’elles répondent aux exigences réglementaires. Cela leur évitera toute précipitation à cause d’une date butoir approchant à grands pas. Ce travail, accompagné par des experts, leur permettra, en parallèle, de renforcer leur résilience face aux menaces cybernétiques, et de gagner en sérénité.
6 mars 2024
Découvrez également
