Récemment, la nouvelle directive NIS2 a été adoptée par le Parlement. Pour rappel, cette dernière a été créée afin d’harmoniser la cybersécurité au sein de l’Union européenne. Après avoir été présenté par la Commission européenne, le nouveau texte NIS2 donne des changements concrets en matière de sécurité. Cette législation apporte des normes plus strictes dans la gestion des risques. Ces nouveaux impératifs impliquent une coopération et un partage d’informations entre les différentes autorités. L’objectif est d’harmoniser et de renforcer les exigences en matière de sécurité au sein de l’Union européenne.
NIS2 et champs d’action élargis
Jusqu’à ce jour, la directive NIS (directive sur la sécurité des réseaux et de l’information) datant de 2016, concernait uniquement les secteurs des transports, de l’énergie, des finances, réseaux d’eau, santé et quelques infrastructures numériques. La NSI2 élargit considérablement son champ d’action aux secteurs dits « essentiels », tels que le secteur spatial, postal, alimentaire, administrations publiques, produits chimiques, fabricants pharmaceutiques, fournisseurs numériques… Chaque secteur sera classé sous une entité dite « essentielle » ou « importante ». En fonction de l’entité sous laquelle il sera défini, cela impactera le niveau de conformité aux nouvelles règles en vigueur.
NIS2 et gestion des risques
En fonction du niveau de gravité, de probabilité et de l’impact du dysfonctionnement que pourrait avoir la société suite à une cyberattaque, les mesures de sécurité seront ajustées au regard des risques encourus. Ces mesures qu’elles soient organisationnelles, opérationnelles ou techniques seront adaptées au risque. On parle ici d’analyse, de sécurisation, de procédures, de formation, de cryptographie et d’identification à plusieurs facteurs afin de protéger les réseaux et systèmes d’information des différentes sociétés. Cette conduite sera également appliquée aux sous-traitants. La méthode de sécurisation de l’entreprise restera sous la responsabilité de la direction, qui en cas de non-conformité sera tenue pour responsable.
Signalements et amendes
Un délai de 24 heures est accordé aux entreprises pour informer l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qu’une action malveillante ou illicite a été détectée au sein de leur système. Ensuite, il lui est accordé un délai de 72h pour remettre un compte rendu détaillé de l’évaluation de l’impact de l’incident. En cas de non-respect des règles, les sociétés risquent jusqu’à 10 millions d’euros d’amende.
Mise en place des nouvelles règles
Pour de nombreuses sociétés, ces nouveaux dispositifs de sécurité vont être compliqués à mettre en place. Pour les grosses sociétés, pas trop de souci, les frais engendrés devraient pouvoir facilement absorber. D’autres entreprises ont déjà intégré ces nouvelles obligations dès leur création, donc pas d’inquiétude. Mais pour celles qui ont déjà des problèmes financiers ou techniques, elles auront besoin de plus de temps pour se mettre en conformité.