.png)
Dans ce blog, vous découvrirez le contexte et les raisons qui sous-tendent la nouvelle directive de l'UE sur la sécurité des réseaux et de l'information 2 (NIS2). Il s'agit de la première partie d'une série de trois blogs. Vous obtiendrez une meilleure vue d'ensemble de la directive et de la manière dont votre organisation doit y réagir en lisant les trois parties.
Blog connexe : Partie 3 - Se conformer à NIS2 avec Cyberday
La première directive sur la sécurité des réseaux et de l'information (NIS), publiée en 2016, a constitué une étape importante pour la cybersécurité de l'Union européenne. Elle est devenue la première législation européenne consacrée à la lutte contre les menaces qui pèsent sur la cybersécurité. L'objectif premier était de garantir un niveau élevé et cohérent de cybersécurité dans tous les secteurs d'activité concernés et dans tous les États membres.
Si la directive a réussi à renforcer la cybersécurité, elle a également rencontré des difficultés au cours de son processus de mise en œuvre. Ces obstacles ont finalement entraîné des variations dans le niveau de préparation à la cybersécurité entre les États membres. Il est apparu clairement que la mise en place d'un paysage de cybersécurité unifié et résilient dans l'ensemble de l'UE nécessitait des efforts supplémentaires.
En réponse aux défis posés par la directive NIS initiale et aux cybermenaces accrues dues à la numérisation et à la croissance de la cybercriminalité, la Commission européenne remplace la directive NIS. La nouvelle proposition, la directive NIS2, vise à relever les défis de la directive NIS initiale en investissant davantage dans les aspects suivants :
La directive NIS s'applique à deux catégories d'organisations différentes : les opérateurs de services essentiels (OES) et les fournisseurs de services numériques (DSP).
Les OES désignent les organisations qui fournissent des services définis comme essentiels au fonctionnement de l'économie et de la société dans son ensemble. Cela inclut les secteurs d'infrastructures critiques tels que l'eau, les transports et l'énergie, ainsi que des services tels que les soins de santé et l'infrastructure numérique.
Les DSP sont des organisations qui offrent des types spécifiques de services numériques, principalement des moteurs de recherche en ligne, des places de marché en ligne et des services d'informatique en nuage.
Pour être qualifiée de DSP, une organisation doit fournir un ou plusieurs de ces services et entrer dans la catégorie des entreprises de taille moyenne.
Il existe une exemption générale pour les petites entreprises du secteur des services numériques. Si une organisation compte moins de 50 employés et réalise un chiffre d'affaires inférieur à 10 millions d'euros, elle n'est pas considérée comme un prestataire de services numériques et le NIS2 ne s'applique donc pas à elle. Toutefois, si l'organisation fait partie d'un groupe plus important, elle doit évaluer le personnel et le chiffre d'affaires de l'ensemble du groupe.
Nous aborderons plus en détail le champ d'application de NIS2 et les exigences de sécurité dans les prochains articles de cette série.
Blog connexe : Partie 3 - Se conformer à NIS2 avec Cyberday
Mise en œuvre
La mise en œuvre de la directive a varié d'un État membre à l'autre. Chaque État membre a appliqué la directive différemment, ce qui a entraîné des incohérences entre les niveaux de cybersécurité des États membres. Ce manque de cohérence a affaibli l'impact de la directive.
Niveau de préparation
Le degré de préparation à la directive varie d'un État membre à l'autre. Certains États membres disposaient déjà de mesures de cybersécurité cohérentes et solides, tandis que d'autres avaient encore beaucoup de travail à accomplir. Les différences de point de départ ont entraîné des différences dans la réalisation d'un niveau élevé de cybersécurité.
Définition des OES
Les États membres ont dû décider quelles organisations seraient définies comme des OES. Ce processus s'est avéré difficile en raison de la complexité des secteurs. De plus, cela a accentué les différences de niveau de cybersécurité entre les États membres.
Exigences en matière de rapports
La directive a donné aux États membres trop de contrôle sur les exigences relatives à la notification des incidents de cybersécurité.
Champ d'application insuffisant
L'une des premières réactions à la directive NIS a été qu'elle ne couvrait pas tous les secteurs fournissant des services essentiels à l'économie et à la société.
Bien qu'elle soit principalement basée sur la directive NIS originale, la directive NIS2 apportera des changements importants. La directive NIS2 introduit une série d'exigences de sécurité renforcées. La possibilité de personnaliser la conformité à ces exigences a été supprimée, car le NIS original permettait des vulnérabilités en raison de cette flexibilité excessive. Le NIS2 garantit qu'il n'y a pas de place pour de telles vulnérabilités, car il décrit clairement les règles que tout le monde doit suivre.
Le NIS2 exige, par exemple, que les thèmes de sécurité suivants soient bien organisés au sein d'organisations connexes :
- Gestion des risques liés à la sécurité de l'information
- Détection, gestion et signalement des incidents
- Formation à la cybersécurité
- Plan de continuité des activités / gestion de crise
- Sécurité de la chaîne d'approvisionnement
- Cryptage des données
Pour en savoir plus sur ces thèmes et sur le champ d'application du NIS2, voir la deuxième partie : Champ d'application du NIS2 et principales exigences en matière de sécurité
Vous avez d'autres questions, vous avez besoin d'un autre article d'aide ou vous souhaitez nous faire part de vos commentaires ? Contactez notre équipe à l'adresse team@cyberday.ai ou en utilisant la boîte de dialogue située dans le coin inférieur droit.
