Cybersécurité : ce qui va changer pour les entreprises avec NIS 2
Publié le 08/09/2023
Adoptée en janvier 2023, la directive européenne NIS 2 vise à renforcer les normes en matière de cybersécurité des entreprises. Si son entrée en vigueur est attendue pour le deuxième semestre 2024, les entreprises concernées doivent déjà commencer à se pencher sur cette question de plus en plus cruciale.
NIS : qu’est-ce que c’est ?
En juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive « Network and Information Security » (ndlr : sécurité des réseaux et de l’information). L’objectif de ce premier volet réglementaire : augmenter à l’échelle européenne le niveau de cybersécurité dans les secteurs fortement dépendant des technologies de l'information et de la communication. La place prépondérante du numérique et la dématérialisation des échanges ont en effet généré de réelles opportunités pour les cybercriminels. Et, le phénomène s’est accéléré avec la crise sanitaire et le développement du télétravail.
Avec la directive européenne NIS 2, adoptée en janvier 2023, les normes vont devenir plus drastiques, obligeant des milliers d’entreprises à renforcer leur stratégie en matière de cybersécurité, afin d’améliorer leurs réponses et leur résilience face aux cyberattaques.
Les États membres de l’Union Européenne devront intégrer ses nouvelles dispositions dans leur droit national d’ici octobre 2024.
Il est donc important que les entreprises françaises concernées s'y préparent.
Quels sont les enjeux de la cybersécurité ?
Le directive NIS a été adoptée dans un contexte où la cybersécurité des entreprises est devenue une problématique majeure.
La transformation numérique des entreprises et l’interconnexion des pays de l’Union européenne ont en effet été accompagnées par l’émergence de nouveaux risques très concrets pour les entreprises : vols de données, atteinte à l’image, infiltration et espionnage, sabotage, cybercriminalité. Ces cyberattaques peuvent coûter très chers aux entreprises visées et mettre gravement en péril leur activité et leur pérennité.
Quelles sont les obligations pour les entreprises liées à la directive NIS 2 ?
La directive NIS 2 implique de nouvelles obligations :
- Évaluation des risques cyber pour chaque structure concernée
- Mise en place d’outils technologiques pour améliorer la cybersécurité (cryptage des données, solutions d’authentification renforcées, contrôle d’accès, etc.)
- Tests réguliers pour évaluer l'efficacité des mesures de sécurité déployées
- Mise en place de mesures pour garantir la continuité des activités en cas d’incident cyber
- Formation des salariés aux bonnes pratiques en matière de cybersécurité
- Signalement de tout incident cyber sous 24h à l’ANSSI
En cas de non-respect, d’importantes sanctions financières sont prévues (jusqu’à 2% du chiffre d’affaires monde).
Quelles sont les entreprises concernées ?
La directive NIS 2 continuera de s’appliquer aux secteurs déjà concernés par NIS 1 (la santé, le secteur bancaire, les marchés financiers, le transport, l’énergie, etc.), et s’étendra à de nouveaux secteurs d’activité : les administrations publiques, les télécommunications et fournisseurs de services numériques, les services postaux, le secteur spatial, entre autres.
Autre nouveauté : les entreprises seront classées en deux catégories en fonction de leur niveau de criticité en cas d’incidents de cybersécurité (essentielles et importantes).
Comment s’y préparer ?
Pour les structures concernées par NIS 1 depuis 2018, il sera nécessaire de poursuivre les efforts engagés et d’approfondir au cours des prochains mois les points potentiellement encore fragiles.
Pour celles qui seront nouvellement concernées par la directive NIS 2, des audits peuvent d’ores et déjà être engagés afin de faire le bilan sur la stratégie de cybersécurité déjà en place, ses points forts, ses faiblesses et les pistes d’amélioration. Les entreprises peuvent, dans cette mission, se faire accompagner par des acteurs spécialisés en cybersécurité. Une manière pertinente de faire les bons choix et de se conformer à cette nouvelle directive.
A lire aussi :
(1) Baromètre de la CESIN (Club des Experts de la Sécurité de l’Information et du Numérique).
Sources :
« Directive NIS 2 : ce qui va changer pour les entreprises et l’administration françaises » (www.ssi.gouv.fr)
« De NIS 1 à NIS 2 : l’évolution (majeure) du cadre législatif européen en matière de cybersécurité » (www.provigis.com)
« Le Conseil de l'UE adopte la directive NIS2 » (www.lemondeinformatique.fr)
