Depuis janvier 2023, la directive européenne NIS-2 est en vigueur et doit encore être transposée dans le droit national. Pour savoir ce que cela signifie pour les entreprises et la cybersécurité européenne, cliquez ici.
Que signifie NIS ?
Le terme "directive NIS" est l'abréviation allemande de "The Network and Information Security (NIS) Directive". La directive NIS-2 est une continuation et une extension de la directive NIS initiale. La directive NIS-2 est entrée en vigueur en janvier 2023 et doit être transposée en droit national par les États membres européens d'ici octobre 2024.
La directive a pour objet la cybersécurité européenne et donc la sécurité pour les systèmes de réseau et d'information dans l'UE.
La directive a été élaborée en réponse à l'augmentation des cybermenaces et à la nécessité d'une stratégie de cybersécurité plus forte et plus cohérente dans l'UE. Elle élargit le champ d'application de la directive NIS initiale et couvre désormais un plus large éventail de secteurs et de services numériques essentiels à la sécurité publique et à l'économie.
Quelles sont les nouveautés du NIS-2 ?
Un aspect central de la directive NIS2 est l'élargissement de son champ d'application. Elle couvre désormais des secteurs supplémentaires, notamment l'énergie, les transports, le secteur bancaire, les soins de santé, l'infrastructure numérique et l'administration publique. La directive exige des entreprises et des organisations de ces secteurs qu'elles mettent en œuvre des mesures de sécurité plus strictes et qu'elles procèdent à des évaluations régulières des risques. Les exigences peuvent varier d'un secteur à l'autre. En outre, des règles plus strictes sont prévues pour la notification des incidents de cybersécurité afin de permettre une réaction plus rapide et plus efficace à ces incidents. Le rôle des autorités nationales de surveillance est également renforcé afin de contrôler et de faire respecter la directive.
L'objectif sous-jacent est d'améliorer et d'harmoniser le niveau de protection dans les États membres.
NIS-2 vs. KRITIS
La législation KRITIS a un objectif similaire et continue d'exister en parallèle.
La grande différence entre la NIS-2 et la législation KRITIS réside toutefois dans le cercle des destinataires : Alors que la législation KRITIS s'adresse en particulier aux grandes institutions, la NIS-2 s'adresse à un grand nombre d'entreprises en Europe. Nombre d'entre elles devront peut-être se pencher pour la première fois sur les dispositions légales en matière de cybersécurité et former leurs collaborateurs en conséquence.
Que signifie NIS-2 pour les entreprises ?
La directive NIS-2 a un impact important sur les entreprises et les organisations qui relèvent de son champ d'application. Elles doivent revoir et adapter leurs stratégies de cybersécurité, ce qui implique la mise en œuvre de mesures de sécurité robustes, la formation du personnel aux pratiques de cybersécurité et la mise en place de plans de réponse aux incidents efficaces.
Bien que la mise en œuvre puisse représenter un obstacle organisationnel initial pour de nombreuses entreprises, elle représente un pas décisif vers un avenir numérique plus sûr dans l'Union européenne. Elle permet aux secteurs public et privé d'être mieux armés contre les cybermenaces et contribue à renforcer le marché unique numérique. Bien que sa mise en œuvre présente des défis, elle offre également des opportunités d'innovation et de progrès dans le domaine de la cybersécurité.
Vous avez besoin d'aide dans le domaine de la cybersécurité ou autre ? Contactez-nous ici pour des services de soutien et des formations personnalisés. Notre équipe d'experts se fera un plaisir de vous aider!