NIS2 – Réguler pour un avenir plus sûr
NIS2 est la directive européenne sur la cybersécurité qui est entrée en vigueur en octobre 2024. Par rapport à la NIS1, la NIS2 introduit des changements significatifs, qui imposeront également des obligations plus strictes en matière de cybersécurité à un plus grand nombre d’organisations. Les États membres devront adopter de nouvelles dispositions contenant ces mesures de contrôle et d’application plus strictes pour assurer la conformité avec la directive. Le NIS2 remplace la directive NIS1, ce qui entraîne plusieurs différences significatives par rapport au NIS1 : le NIS2 étend le champ d’application à des entités plus importantes, telles que les fabricants de produits chimiques et de dispositifs médicaux, les fabricants de denrées alimentaires et les fournisseurs de réseaux sociaux, qui n’étaient auparavant pas couverts par le NIS1. Le NIS2 remplace la distinction entre « opérateur de services essentiels » et « fournisseur de services numériques » par des « entités essentielles » et des « entités critiques » basées, entre autres, sur la taille et le secteur. Bien que les deux aient des obligations similaires, les entités essentielles sont soumises à des mesures d’application et de contrôle plus strictes. L’autorité de surveillance du secteur doit être responsable des mesures de contrôle.
Le NIS2 impose de nouvelles obligations en matière de cybersécurité aux entités « essentielles » et « critiques », notamment en ce qui concerne la gestion des risques et de la chaîne d’approvisionnement, la notification des cyberincidents et le partage d’informations. Pour se conformer à ces exigences, les entités concernées devront élaborer et mettre en œuvre de nouvelles politiques et procédures. La NIS2 exige des États membres de l’UE qu’ils améliorent leurs stratégies nationales de cybersécurité et qu’ils répondent aux menaces numériques auxquelles ils sont confrontés. Il est important que les organisations se tiennent informées des futures initiatives des États membres dans ce domaine.
Exigences renforcées en matière de sécurité
Le NIS2 améliorera les exigences de sécurité des entreprises en introduisant une méthodologie de gestion des risques et une liste minimale d’éléments de sécurité de base. La directive contient également des dispositions beaucoup plus détaillées sur la notification des incidents, y compris, par exemple, le contenu et le calendrier des rapports. Selon la directive, la notification doit être faite dans les 24 heures suivant l’incident et doit inclure un processus de notification plus détaillé. Le NIS2 exige également que la sécurité de la chaîne d’approvisionnement soit prise en compte. Cela inclut également les risques posés par les relations de co-mesure. La NIS2 met également l’accent sur la responsabilité de la direction en matière de cybersécurité organisationnelle et confère une responsabilité individuelle aux organes directeurs, tels que les conseils d’administration et la direction, afin de garantir une mise en œuvre efficace des exigences en matière de cybersécurité. Les organisations peuvent faire l’objet de diverses mesures d’exécution, et le non-respect de ces mesures peut donner lieu à des amendes substantielles.
