La Directive NIS2 marque une avancée significative dans la sécurité cybernétique des infrastructures critiques, en élargissant les exigences de sécurité et en impactant un plus grand nombre d’organisations par rapport à sa prédécesseure. Ci-dessous, les changements les plus pertinents sont mis en évidence et comment les organisations peuvent se préparer à respecter les nouvelles réglementations.

Qu’est-ce que la Directive NIS2 ?

La Directive NIS2 (Réseau et Système d’Information 2) établit des exigences minimales de cybersécurité pour les infrastructures critiques dans l’Union Européenne. Son objectif est de renforcer le niveau de sécurité cybernétique en Europe et d’encourager la coopération entre les pays membres pour combattre les cyberattaques. La directive est entrée en vigueur le 16 janvier 2023 et les États membres doivent l’intégrer dans leur législation nationale avant le 17 octobre 2024.

Principales Implications de NIS2

La Directive NIS2 implique des changements substantiels comparée à sa prédécesseure, incluant :

• Plus grande portée : Elle s’étend à 18 secteurs, en y incorporant sept nouveaux secteurs importants.
• Chaîne d’approvisionnement : Les organisations doivent évaluer le risque cybernétique sur l’ensemble de leur chaîne d’approvisionnement.
• Gestion de risques obligatoire : La gestion des risques cybernétiques devient une exigence obligatoire.
• Formation et audits : La formation des employés et des audits complets en matière de cybersécurité sont requis.
• Responsabilité de la direction : Les dirigeants seront personnellement responsables des manquements liés à la gestion des risques cybernétiques.
• Sanctions : Diverses sanctions sont imposées en cas d’infraction.
• Déclaration : Des exigences strictes en matière de déclaration doivent être respectées auprès de l’autorité de surveillance.
• Équipes de réponse : Chaque État membre doit désigner un CSIRT national (Équipe de Réponse aux Incidents de Sécurité Informatique).

Secteurs Essentiels et Importants

NIS2 touche directement aux organisations faisant partie des secteurs essentiels suivants :

• Énergie, Santé, Transport, Banque et Finances, Eau potable, Eaux usées, Infrastructure numérique, Gestion des services TIC, Espace et Administration publique.

En outre, elle englobe des secteurs importants tels que les services postaux, la gestion des déchets, la chimie, l’alimentation, la fabrication, les services numériques et la recherche.

Responsabilité des Directeurs

La directive souligne l’importance de la gestion des risques cybernétiques comme faisant intégralement partie de la gestion d’entreprise. Les directeurs exécutifs doivent superviser et mettre en œuvre des mesures pour assurer que les risques soient identifiés et bien gérés.

Exigences pour les Directeurs de Conformité

Les personnes en charge de la conformité normative dans leurs organisations doivent être familières avec les réglementations, documenter les mesures prises et vérifier leur efficacité. De plus, ils doivent mettre en œuvre des procédures pour signaler les incidents à la BSI dans les 24 heures en cas d’attaque.

Sanctions en cas de Non-Conformité

Les sanctions en cas de non-conformité avec la NIS2 varient selon le secteur :

• Infractions courantes : Des amendes allant jusqu’à 2 millions d’euros.
• Secteurs importants : Des amendes pouvant aller jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel.
• Fournisseurs d’infrastructure critique : Des amendes jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.

La Directive NIS2 redéfinit le cadre de la cybersécurité en Europe, imposant des obligations plus strictes pour protéger les infrastructures critiques. Les organisations doivent évaluer leur situation actuelle, identifier les risques et s’assurer de mettre en œuvre les mesures nécessaires pour se conformer à cette nouvelle réglementation.