.png)
NIS2 est la directive de l'Union européenne sur la cybersécurité, qui s'appuie sur son prédécesseur pour garantir une protection et une résilience accrues. Dans cet article de blog, nous examinons de plus près la mise en œuvre nationale requise par la directive NIS2, ainsi que les lois locales : lesquelles sont disponibles sur Cyberday et en quoi diffèrent-elles de la directive européenne ?
La directive NIS2 est une version actualisée de la directive NIS initiale, qui en élargit le champ d'application et vise à renforcer la cybersécurité dans l'ensemble de l'Union européenne. La directive NIS2 s'applique à un large éventail de secteurs essentiels au fonctionnement de l'économie, tels que l'énergie, les transports, l'eau, l'alimentation, la santé, la finance, les opérateurs d'infrastructures numériques, l'industrie manufacturière et bien d'autres encore.
Au printemps 2024, nous avons publié un e-book sur NIS2 prêt avec les meilleures pratiques ISO 27001. Dans notre e-book gratuit, nous vous guiderons dans le monde de NIS2, le contenu de la directive et vous donnerons des conseils pratiques sur la façon d'atteindre la conformité. Téléchargez le vôtre ici : cyberday.ai/ebook
.png)
Les États membres de l'UE étaient tenus d'adopter la directive NIS2 en droit national avant le 17 octobre 2024, la mise en œuvre devant suivre peu après. Bien que beaucoup n'aient pas respecté la date limite, les progrès se poursuivent et la plupart des pays devraient bientôt finaliser leur législation. La directive élargit les secteurs couverts et renforce les exigences en matière de gestion des risques, de déclaration des incidents et de mesures de cybersécurité, y compris des normes plus strictes en matière de déclaration des incidents et de sécurité de la chaîne d'approvisionnement.
Les principales décisions prises au niveau national concernent la définition des autorités locales, la mise en œuvre et les détails du contrôle. La directive fixe des méthodes de contrôle minimales et n'autorise que des ajouts au niveau national. Les éléments à prendre en compte sont les suivants :
La NIS2 met l'accent sur le rôle des autorités publiques pour assurer la cybersécurité des services et des infrastructures critiques dans l'Union européenne et souligne la nécessité d'une coopération accrue entre les autorités publiques des États membres de l'UE.
La législation nationale doit préciser quelles sont les autorités chargées de contrôler la mise en œuvre du NIS2 dans le pays concerné et si, par exemple, le contrôle est réparti entre différentes autorités en fonction de leurs domaines de compétence. Les pays doivent désigner des autorités locales chargées de veiller au respect des règles du NIS2 : il s'agit de désigner des autorités de surveillance nationales ou de créer de nouvelles équipes de surveillance pour des secteurs tels que l'énergie, la santé et les transports.
Le NIS2 établit des exigences claires et strictes en matière de mise en œuvre et de suivi afin de garantir le respect des règles par les organisations et les États membres. Les États membres doivent appliquer des mesures de contrôle efficaces, proportionnées et dissuasives à l'encontre des acteurs clés, tout en tenant compte des circonstances spécifiques de chaque cas. Si la surveillance révèle un risque de non-conformité de la part d'un opérateur important, les autorités doivent prendre les mesures qui s'imposent, y compris, si nécessaire, des mesures de contrôle a posteriori. En outre, les pays doivent mettre en place des équipes chargées de gérer les incidents de cybersécurité et d'enquêter sur ceux-ci, le cas échéant.
Selon le NIS2, une organisation doit disposer de politiques bien définies pour gérer les risques liés à la sécurité de l'information, évaluer l'efficacité des mesures de sécurité et identifier les domaines clés à améliorer.
La directive NIS2 identifie spécifiquement les domaines suivants de la sécurité de l'information pour lesquels l'organisme doit documenter et mettre en œuvre ses actions, et la direction de l'organisme est responsable de l'adéquation de ces actions :
Chaque pays doit veiller à ce que les organisations mettent en œuvre des mesures de gestion des risques. Ces mesures consistent notamment à s'assurer que les chaînes d'approvisionnement sont sûres et à examiner soigneusement les risques.
Dans le cadre du NIS2, les incidents importants doivent être signalés à l'autorité de surveillance nationale, de sorte que la législation nationale définit quand et comment signaler les incidents. Le NIS2 fixe donc les normes de base, mais les pays peuvent fixer des règles plus strictes ou plus détaillées en fonction de leurs propres besoins.
Au niveau national, il est également possible d'aller au-delà du champ d'application de la directive NIS2 et de créer des spécifications en fonction des besoins nationaux. Ces accords et actions au niveau national permettront d'adapter la directive NIS2 à la législation de chaque pays tout en maintenant une approche cohérente de la cybersécurité dans l'ensemble de l'UE.
La Belgique a transposé la directive NIS2 de l'Union européenne dans son droit national sous la forme de la loi NIS2. Cette législation s'aligne étroitement sur la directive de l'UE et ne comporte que des adaptations nationales mineures. Elle établit des exigences en matière de cybersécurité pour les entreprises opérant dans des secteurs critiques et enregistrées en Belgique. Les principales mesures nationales comprennent des procédures d'enregistrement spécifiques et des évaluations de la conformité.
Mise en œuvre croate du NIS2 La loi sur la cybersécurité (Zakon o kibernetičkoj sigurnosti NN 14/2024) est entrée en vigueur en février 2024. Elle définit les règles de cybersécurité pour les entreprises croates avec les mêmes critères que le NIS2 à quelques exceptions près, comme l'inclusion de secteurs supplémentaires, la catégorisation détaillée des entités, les délais définis pour la conformité et les pénalités spécifiées.
La "Kyberturvallisuuslaki" finlandaise attend la dernière approbation, mais peut déjà être utilisée dans la mise en œuvre. La loi sur la cybersécurité crée un cadre juridique clair pour la gestion des risques liés à la sécurité de l'information et le signalement des incidents, conformément à la directive NIS2. La nouvelle loi vise à unifier la législation finlandaise actuelle sur la cybersécurité, qui est fragmentée, et à l'harmoniser avec les normes européennes introduites par la directive NIS2. Elle élargit le champ d'application des exigences en matière de gestion des risques et d'établissement de rapports et précise le nombre d'entreprises et d'institutions publiques qui doivent s'y conformer. La loi sur la cybersécurité prend comme point de départ le niveau minimum de la directive et définit principalement les points correspondant au contenu de la directive. La loi sur la cybersécurité n'élargit pas le champ d'application de la directive NIS2, ni les moyens de contrôle.
Le NIS2 a été adopté en tant que "loi nationale sur la cybersécurité" en Lettonie. Elle améliore la sécurité des technologies de l'information et de la communication, notamment en fixant des exigences pour la fourniture et la réception de services essentiels et importants et pour le fonctionnement des technologies de l'information et de la communication. La loi étend son champ d'application aux organisations des secteurs public et privé, qu'elle classe en trois groupes en fonction de leur criticité.
La loi sur la cybersécurité "Kibernetinio Saugumo Įstatymas" met en œuvre la loi NIS2 de l'Union européenne en Lituanie. Elle impose à diverses organisations de renforcer leur gestion des risques liés à la cybersécurité. La loi lituanienne introduit un champ d'application élargi, des délais de mise en œuvre détaillés (12 mois à compter de l'inclusion) et des rôles de supervision définis.
Vous pouvez désormais activer vos lois nationales sur Cyberday! Vous y trouverez la version générale de l'UE de la directive NIS2, ainsi que les lois nationales des pays faisant partie du cadre NIS2. Activez la législation de votre choix en cliquant sur un bouton.
Si vous avez d'autres questions, vous pouvez contacter notre équipe par chat ou par courriel team@cyberday.ai. Nous sommes également heureux de recevoir un retour d'information sur l'utilisation de Cyberday
.png)
