NIS2 : zoom sur la nouvelle réglementation européenne sur la cybersécurité

Jeudi 10 novembre, le Parlement européen a adopté la nouvelle directive NIS2 afin de renforcer et uniformiser les politiques de cybersécurité au sein des 27. Voici les trois infos à retenir. 

  • Temps de lecture: 2 min
parlement européen
Parlement européen à Bruxelles

« Les Etat membres devront se doter d’autorités nationales compétentes en matière de cybersécurité ». Telle était la première prérogative de la directive NIS voté en 2016 et mise en place en 2018 au sein de l’Union européenne. Celle-ci exigeait également l’établissement d’un cadre de coopération entre Etats membres via la création d’un réseau européen. La mise à jour de cette directive, déjà bien installé dans le paysage européen, va permettre une uniformatisation et un renforcement des normes mise en place. 

Votée le 10 novembre 2022 et répondant au nom de NIS2, cette nouvelle directive vise à renforcer la résilience de l’Europe face à la cybercriminalité à l’échelle européenne. Avant l’adoption totale de la directive celle-ci a besoin d’un feu vert final des pays membre du conseil de l’UE. Une fois cette dernière validée, les Etats membres auront 21 mois pour la déployer sur leurs territoires respectifs. Voici les informations qu’il ne fallait pas manquer. 

Les apports de NSI2 à la réglementation sur la cybersécurité européenne 

Des champs d’action élargie 

« La présente directive s’applique aux entités publiques ou privées qui constituent des entreprises moyennes et qui fournissent leurs services ou exercent leurs activités au sein de l’Union », voilà ce qu'indique la nouvelle directive NIS2. Jusqu’à maintenant, la directive sur la sécurité des réseaux et de l’information (NIS), votée en 2016, ne concernait que les secteurs des finances, des transports, de la santé, de l’énergie et des réseaux d’eau. NIS2 élargie son champ d’action aux secteurs essentiels que sont la poste, le spatial, les administrations publiques ou les fabricants pharmaceutiques.  

Une gestion des risques accrue 

Sécuriser, analyser et former seront les trois actions majeures que les entreprises auront à mettre en place. Le Parlement européen demande aux Etats membres de veiller à ce que les plus grands groupes prennent des mesures techniques « opérationnelle et organisationnelle appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ». En somme, la nouvelle directive NIS2 impose aux dirigeants une meilleure responsabilisation de leur direction. C’est-à-dire qu'ils devront mettre en place des formations à la cyber-hygiène ainsi qu’à l’utilisation de la cryptographie et au bon contrôle des accès. Sans quoi, ils seront tenus comme responsables de tout problème lié à la sécurité informatique de leur entreprise. 

Mise en place d’amendes 

24h, c'est le temps donné aux entreprises victimes de cyberattaques pour déclarer les faits auprès de l’autorité compétente du pays. En France, il s'agit de l’Agence Nationale de la Sécurité des Systèmes d’information. Ensuite, « les entités concernées devraient soumettre une notification d’incident sans retard injustifié et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l’incident important », détaille la directive NIS2. Cette seconde notification a pour but de mettre à jour les informations transmises dans la première notification d’attaque. Celle-ci va permettre d’évaluer l’importance et la gravité de la cyberattaque.  En cas de non-respect des règles établies par la directive NIS2, les sociétés risquent jusqu’à 10 millions d’euros d’amendes.