La Directive NIS2 Renforce la Cybersécurité de l’UE

La Directive NIS2 (Directive (UE) 2022/2555) marque un tournant décisif dans la stratégie de cybersécurité de l’Union Européenne. Elle élargit son champ d’application pour inclure un plus grand nombre de secteurs et d’entreprises, y compris les petites et moyennes entreprises (PME). Cette réglementation vise à renforcer la résilience des infrastructures critiques tout en garantissant un niveau élevé de sécurité pour les réseaux et les systèmes d’information.

Qui est concerné par la NIS2 ?

La NIS2 s’applique aux entités publiques et privées œuvrant dans des secteurs jugés essentiels ou importants. Cela inclut des domaines tels que l’énergie, le transport, la banque, la santé, l’eau potable, l’infrastructure numérique, les services postaux, la gestion des déchets, et la fabrication de produits critiques. Les PME opérant dans ces secteurs ou faisant partie de leur chaîne d’approvisionnement sont également soumises aux dispositions de la NIS2.

Obligations pour les PME selon la NIS2

Les PME concernées par la NIS2 doivent mettre en œuvre plusieurs mesures techniques et organisationnelles pour gérer les risques liés à la cybersécurité. Ces mesures incluent :

• Développement de politiques de sécurité de l’information.
• Mise en place de programmes de formation et de sensibilisation à la cybersécurité pour le personnel.
• Établissement de procédures de gestion des incidents et de plans de continuité des activités.
• Garantie de la sécurité de la chaîne d’approvisionnement ainsi que lors de l’acquisition, le développement et la maintenance des systèmes.
• Adoption de mesures de protection telles que le chiffrement des données et l’authentification multifactorielle.

De plus, les PME doivent notifier les autorités compétentes de tout incident de sécurité significatif dans un délai déterminé, généralement entre 24 et 72 heures, suivant la gravité de l’incident.

Préparation et défis pour les PME

Malgré l’importance de ces mesures, de nombreuses PME rencontrent des défis considérables pour se conformer à la NIS2. D’après le « Rapport sur la Cybersécurité en Espagne 2023 » réalisé par Hiscox, 43 % des PME admettent ne pas disposer d’un plan formel de réponse aux incidents. De plus, une étude de l’INCIBE révèle que 70 % des PME espagnoles n’ont pas de budget alloué à la cybersécurité.

Ces statistiques mettent en lumière un écart marqué entre les exigences de la NIS2 et la réalité du tissu entrepreneurial, en particulier en ce qui concerne les ressources financières et humaines dédiées à la cybersécurité.

Étapes recommandées pour les PME

Pour s’adapter à la NIS2, il est conseillé aux PME de :

1. Réaliser un audit de cybersécurité pour identifier les vulnérabilités et évaluer les risques.
2. Développer et implémenter des politiques et procédures de sécurité adéquates.
3. Former le personnel aux bonnes pratiques en matière de cybersécurité et de sensibilisation aux risques.
4. Établir des protocoles de gestion des incidents et des plans de continuité des activités.
5. Surveiller et gérer la sécurité dans la chaîne d’approvisionnement.

Les PME peuvent également envisager l’adoption de normes reconnues telles que l’ISO 27001 ou le Schéma National de Sécurité (SNS) pour structurer leurs efforts de conformité.

Conclusion

La NIS2 impose de nouvelles obligations en matière de cybersécurité qui touchent un large éventail d’entreprises, y compris les PME. Bien que l’adaptation puisse représenter un défi, notamment en termes de ressources, elle est essentielle pour protéger l’intégrité des systèmes d’information et garantir la continuité des activités dans un environnement de plus en plus numérisé et exposé aux menaces cybernétiques.