La cybersécurité est devenue un enjeu majeur à l'échelle mondiale, avec des attaques de plus en plus sophistiquées ciblant non seulement les entreprises, mais aussi les gouvernements et les infrastructures critiques. Dans ce contexte, l'Union européenne (UE) a élaboré la directive sur la sécurité des réseaux et des systèmes d'information (NIS), visant à renforcer la résilience de l'Europe face aux cybermenaces.
Alors que la NIS a posé les bases d'une collaboration accrue entre les États membres de l'UE en matière de cybersécurité, la NIS2 représente une évolution significative pour faire face aux nouveaux défis.
La NIS2 est la proposition de révision de la directive NIS, élaborée dans le but de renforcer encore davantage la résilience de l'UE face aux cybermenaces. Cette nouvelle directive vise à améliorer la coopération et la coordination entre les États membres, à renforcer les obligations des acteurs du secteur numérique et à promouvoir une culture de la cybersécurité plus robuste.
Renforcement de la coopération transfrontalière
L'un des principaux objectifs de la NIS2 est de renforcer la coopération transfrontalière entre les États membres de l'UE en matière de cybersécurité. Cela se traduit par la mise en place de mécanismes plus efficaces de partage d'informations et de coordination des actions en cas d'incidents cybernétiques majeurs.Par exemple, la directive encourage la création de CERT (Computer Emergency Response Teams) nationaux, chargés de surveiller et de répondre aux incidents de sécurité informatique. Ces équipes devront collaborer étroitement avec leurs homologues dans d'autres pays de l'UE pour garantir une réponse coordonnée aux cyberattaques.
Obligations accrues pour les acteurs du secteur numérique
La NIS2 impose des obligations plus strictes aux acteurs du secteur numérique, notamment aux fournisseurs de services essentiels (FSE) et aux fournisseurs de services numériques (FSN). Ces entreprises seront tenues de mettre en place des mesures de sécurité proportionnées à leurs risques, ainsi que de signaler les incidents de sécurité majeurs aux autorités compétentes.Par exemple, les FSE opérant dans des secteurs critiques tels que l'énergie, les transports, la santé ou la finance devront élaborer des plans de gestion des incidents et des plans de continuité d'activité pour assurer la résilience de leurs infrastructures face aux cybermenaces.
Promotion d'une culture de la cybersécurité
Enfin, la NIS2 s'attache à promouvoir une culture de la cybersécurité plus robuste au sein de l'UE. Cela passe par la sensibilisation accrue du public aux risques cybernétiques, ainsi que par le renforcement des capacités en matière de formation et d'éducation en cybersécurité.Par exemple, la directive encourage la collaboration entre les États membres et les institutions éducatives pour développer des programmes de sensibilisation à la cybersécurité dès le plus jeune âge. De plus, elle incite les entreprises à investir dans la formation de leur personnel afin de renforcer leurs compétences en matière de sécurité informatique et de promouvoir les bonnes pratiques en matière de gestion des risques.
La NIS2 et l'avenir de la cybersécurité en Europe
La NIS2 représente une étape importante dans la consolidation de la cybersécurité européenne. En renforçant la coopération entre les États membres, en imposant des obligations accrues aux acteurs du secteur numérique et en promouvant une culture de la cybersécurité plus robuste, cette nouvelle directive vise à renforcer la résilience de l'UE face aux menaces numériques croissantes.À l'heure où la sécurité des réseaux et des systèmes d'information est devenue essentielle pour la stabilité et la prospérité de l'Europe, la NIS2 offre un cadre solide pour relever ces défis avec détermination et efficacité.
La directive NIS2 a été publiée au Journal officiel de l'UE le 27 décembre 2022 et est entrée en vigueur le 16 janvier 2023. Les États membres de l'UE doivent la transposer en droit national d'ici octobre 2024.
Le nouveau cadre impose aux entreprises de réaliser des évaluations des risques, d'élaborer des plans de continuité des activités et de surveiller les chaînes d'approvisionnement. En cas de non-respect des obligations, les entreprises risquent des sanctions élevées et des enquêtes qui pourraient être rendues publiques.
La mise en œuvre de la NIS2 peut représenter un fardeau économique pour certaines organisations, avec une augmentation des coûts prévue de 22 % pour celles qui n'étaient pas couvertes par la directive NIS précédente. La directive exige également l'implémentation de systèmes de gestion de la sécurité de l'information (ISMS) et de solutions techniques permettant une détection active des menaces, comme les systèmes de gestion des événements et des informations de sécurité (SIEM).
Pour les entreprises ne disposant pas de ressources internes suffisantes, l'externalisation à un fournisseur de services de sécurité gérés (MSSP) pourrait être une solution viable.
En conclusion, bien que la NIS2 introduise des défis significatifs, elle est essentielle pour améliorer la cybersécurité à travers l'Europe. Les entreprises doivent se préparer à ces nouvelles exigences pour protéger non seulement leurs propres infrastructures, mais aussi l'ensemble de la société contre les cybermenaces croissantes.
Par Jérôme Vosgien, Head of Marketing South EMEA chez Logpoint
