L’UE est souvent aussi considérée comme un leader mondial en matière de cybersécurité. Et la directive NIS2, une nouvelle norme de l’UE en cours d’élaboration, n’est que la dernière d’une série de mesures visant à protéger les infrastructures critiques et les citoyens de l’UE contre les risques de cyberattaques.
Tous les États membres de l’UE devront se conformer à la directive NIS2 d’ici 2024. Cette nouvelle norme implique de suivre des stratégies de cybersécurité spécifiques, d’établir des autorités compétentes et de mettre en œuvre des mécanismes de signalement des incidents. La directive NIS2 exige également que les États membres de l’UE coopèrent au partage d’informations afin de protéger les ressources vitales contre les cyberattaques.
Dans cet article, nous allons examiner de plus près la mise à jour de cette directive et ses implications au niveau de la cybersécurité de l’UE.
Comment l’UE a-t-elle géré la cybersécurité jusqu’à ce jour ?
L’Agence de l’Union européenne pour la cybersécurité (ENISA), a été fondée en 2004 pour améliorer la cybersécurité de l’UE. Puis, en 2016, l’UE a adopté la directive NIS, définissant des lignes directrices pour les États membres de l’UE concernant la manière d’améliorer leur cybersécurité.
La directive NIS a depuis été révisée et remplacée par la directive NIS2.
Qu’est-ce que la directive NIS2 ?
La norme NIS2 s’appuie sur les exigences de la directive d’origine. Elle vise toujours à protéger les infrastructures et les organisations critiques au sein de l’UE contre les cybermenaces et à atteindre un niveau élevé de sécurité commune au niveau de l’ensemble de l’UE.
Pour atteindre cet objectif, la directive NIS2 demande aux États membres de prendre un certain nombre de mesures supplémentaires, notamment :
- Établir un plan de réponse aux incidents qui se coordonne avec les plans des autres États membres.
- Mettre en place un CERT (Computer Emergency Response Team) au niveau national.
- Renforcer la coopération entre les entités des secteurs public et privé.
- Améliorer le partage d’informations entre les États membres.
En travaillant avec les États membres pour les aider à améliorer leurs défenses contre les cyberattaques, et en fournissant un soutien et des conseils aux entreprises et aux particuliers, l’UE s’assure que ses citoyens soient protégés contre le risque croissant que représentent les menaces en ligne.
Les secteurs impactés par la directive NIS2
La directive NIS d’origine a été introduite pour protéger :
- Le secteur de la santé
- L’infrastructure numérique
- Le secteur du transport
- L’approvisionnement en eau
- Les fournisseurs de services numériques
- L’infrastructure des marchés bancaires et financiers
- Le secteur de l’énergie
À présent, la directive NIS2 inclut aussi :
- Les fournisseurs de réseaux ou de services publics en matière de communications électroniques.
- La gestion des eaux usées et des déchets.
- La fabrication de certains produits critiques (par exemple, des produits pharmaceutiques, dispositifs médicaux et produits chimiques).
- L’industrie alimentaire,
- Les services numériques tels que les plateformes de réseaux sociaux et les services de datacenter.
- L’espace et l’aérospatiale.
- Les services postaux et de messagerie.
- L’administration publique.
Les 4 principaux objectifs de la directive NIS2 : comment changera-t-elle la cybersécurité de l’UE ?
Augmentation de la cyber-résilience des fournisseurs de services essentiels
Comme mentionné ci-dessus, le champ d’application des fournisseurs de services qui doivent se conformer à la directive NIS2 est plus important que celui de la directive NIS d’origine. En élargissant le champ d’application de la directive, l’UE veille à ce que tous les fournisseurs de services essentiels soient bien protégés contre les cybermenaces.
Normes de sécurité renforcées et sanctions afin d’uniformiser la résilience
La directive NIS d’origine permettait aux entreprises d’adapter leur adhésion aux exigences en matière de cybersécurité. Cette flexibilité a finalement conduit à des vulnérabilités, car certaines organisations n’ont pas pris les mesures nécessaires pour se protéger contre les cybermenaces.
La directive NIS2 renforce les exigences en matière de sécurité et introduit des sanctions pour les entreprises qui ne se conformeraient pas à cette réglementation.
La solution SAP Security and Compliance de Logpoint fournit une visualisation complète des opérations de sécurité de bout en bout d’une entreprise, permettant ainsi aux organisations de détecter et de répondre aux cybermenaces en temps réel. Il s’agit d’un outil conforme à la directive NIS2 afin de renforcer les normes de cybersécurité pour chaque utilisateur et mieux protéger les systèmes critiques d’une entreprise.
Augmentation de la capacité à anticiper et à répondre aux cyberattaques
En améliorant la coordination et la communication entre les États membres, l’UE sera mieux équipée pour répondre aux cyberattaques. L’UE a reconnu que la cybersécurité était un effort collectif et qu’en travaillant ensemble, les autorités de l’UE et des États membres pouvaient améliorer leurs défenses contre les cybermenaces.
Un plan de réponse aux incidents à l’échelle de l’UE
La directive NIS2 prévoit également le signalement obligatoire des incidents.
Dans la directive NIS d’origine, les entreprises n’étaient tenues de signaler que les incidents ayant eu un impact significatif sur leurs activités. Ainsi, certaines entreprises ne signalaient pas les incidents, choisissant de ne pas admettre qu’elles avaient été ciblées par une attaque.
Avec la directive NIS2, toutes les organisations doivent signaler tout incident qui se serait produit, que ce dernier ait eu ou non un impact significatif sur leurs activités. Cette nouvelle exigence garantit que tous les incidents soient suivis et surveillés et que les autorités puissent identifier et répondre à toute menace potentielle.
L’UE s’est engagée à améliorer la cybersécurité, et la directive NIS2 ne représente qu’une partie de cet effort. Pour en savoir plus sur les exigences précises de cette directive concernant votre entreprise, visitez le site Web EU NIS2 ou bien contactez une agence de cybersécurité ayant une expérience en matière de réglementations de l’UE, comme Logpoint par exemple.