La Directive NIS2 représente une avancée significative dans la réglementation européenne de cybersécurité, étendant sa portée pour inclure davantage de secteurs et d’entreprises, y compris les petites et moyennes entreprises (PME). Cette nouvelle approche souligne l’importance de toutes les entités, quelle que soit leur taille, dans le maintien d’une infrastructure numérique sécurisée et résiliente.

Le Contexte de la Directive NIS2

La Directive NIS (UE 2016/1148), mise en œuvre en Espagne par le Décret Royal-Loi 12/2018, a établi les fondations pour la sécurité des réseaux et des systèmes d’information. Cependant, des lacunes ont été identifiées, conduisant à une application inégale de la cybersécurité au sein de l’Union Européenne. La Directive NIS2 (UE 2022/2555), publiée en décembre 2022, cherche à adresser ces déficiences et doit être intégrée dans la législation nationale avant le 17 octobre 2024.

Principaux Changements dans la NIS2

1. Élargissement de la Portée : NIS2 étend son application à un nombre plus élevé de secteurs et d’entreprises, y compris les moyennes et, dans certains cas, les petites ou micro-entreprises.
2. Secteurs de Haute Criticité et Autres Secteurs Critiques : De nouveaux secteurs et sous-secteurs considérés de haute criticité sont ajoutés, ainsi que l’inclusion d’autres secteurs critiques dans la réglementation.
3. Entités Essentielles et Importantes : La directive classe les entités en essentielles et importantes, établissant différents niveaux de supervision et d’exigences pour chacune.
4. Obligations de Notification et d’Application de Mesures : Toutes les entités affectées doivent adopter des mesures de sécurité et notifier les incidents significatifs.

Implications pour les PME

NIS2 met en évidence l’importance des PME dans l’écosystème numérique. Bien que la directive se concentre sur les entités plus grandes, elle reconnaît également le rôle vital des PME, en particulier celles qui sont des prestataires uniques de services essentiels ou dont les opérations ont un impact transfrontalier significatif.

Préparation pour la NIS2

Pour les entreprises affectées, il est crucial de commencer à se préparer pour se conformer aux exigences de la NIS2. Cela implique d’évaluer les capacités actuelles de cybersécurité, de sensibiliser et de former le personnel, et de se familiariser avec les processus de notification et de gestion des incidents. Les outils et ressources fournis par l’INCIBE peuvent être d’une grande aide dans ce processus.

La Directive NIS2 souligne l’importance d’une cybersécurité robuste et uniforme dans toute l’Union Européenne, mettant en évidence le rôle crucial de toutes les entreprises, y compris les PME. Sa mise en œuvre effective renforcera la résilience des systèmes et réseaux d’information face aux cybermenaces, profitant tant aux entreprises qu’à la société dans son ensemble. La préparation et l’adaptation à cette nouvelle réglementation sont essentielles pour garantir la continuité et la sécurité des activités économiques et sociales dans l’environnement numérique.

via: INCIBE: Partie 1 et Partie 2.