Retour au Blog
ETI Editeur logiciel

Directive NIS 2

Publié le 25 septembre 2024
3 mn
Nicolas KARP - Directeur Telecom & CyberSécurité

Directive NIS 2 : clé de la cybersécurité européenne

Dans un contexte de numérisation croissante, la protection des infrastructures numériques et des systèmes d'information représente un enjeu majeur pour les entreprises et les États. C'est dans cette optique que l'Union européenne met régulièrement à jour sa législation pour encadrer et renforcer la cybersécurité au sein de ses membres. La seconde version de la directive Network and Information Security (NIS 2) s'impose donc comme un outil essentiel pour faire face aux nouvelles menaces du cyberespace.
 
Cet article décrypte les principales avancées apportées par la Directive NIS 2, notamment en matière d'extension du périmètre d'application, de nouvelles obligations pour les acteurs concernés et de coopération européenne renforcée.

 

Une extension significative du périmètre d'action de la Directive NIS

La première version de la directive NIS, adoptée en 2016, avait pour objectif la mise en place de mesures de sécurité destinées à maintenir un niveau élevé de résilience face aux risques de cybersécurité. Cependant, il est rapidement apparu nécessaire d'étendre son périmètre pour répondre efficacement aux nouveaux défis inhérents à l'évolution rapide de la technologie et des usages numériques.
 
NIS 2 élargit ainsi considérablement le champ d'application de la Directive, qui inclut désormais :
 
  • Une large gamme d'acteurs économiques, allant des fournisseurs de services numériques aux plateformes en ligne et aux opérateurs de réseaux essentiels.
  • De nouveaux secteurs considérés comme étant d'importance systémique, tels que les services financiers, les transports ou encore l'énergie.
  • Des acteurs publics ou privés jouant un rôle central dans l'écosystème informatique, à l'image des registres de noms de domaine ou encore des fournisseurs de certificats électroniques.

L'inclusion de nouveaux types de menaces et d'événements

Bien loin de se limiter à la mise à jour de son champ d'application, la Directive NIS 2 élargit également le périmètre des cyber incidents qu'elle vise à prévenir. Ainsi, le texte prend désormais en compte, entre autres :
 
  1. Les attaques contre les systèmes de traitement des données personnelles.
  2. Les actes de sabotage ayant pour but de perturber ou de dégrader les infrastructures numériques critiques.
  3. Les événements liés à la sécurité physique (comme les incendies ou inondations) pouvant avoir un impact sur la continuité des services et la résilience des infrastructures numériques.

De nouvelles obligations et mesures pour renforcer la cybersécurité

La Directive NIS 2 se caractérise également par l'introduction de nouvelles exigences en matière de sécurité pour les acteurs concernés. Parmi ces obligations figurent :
 
  • L'élaboration, par les organisations, d'un plan de gestion des risques propre à leur pratique.
  • La mise en place de mesures techniques et organisationnelles visant à atteindre un haut niveau de cybersécurité.
  • Le renforcement du reporting interne portant sur les incidents ayant un impact significatif sur la sécurité des réseaux et des systèmes d'information.
  • L'intégration de mécanismes garantissant aux utilisateurs le respect de leurs droits fondamentaux (vie privée, liberté d'expression, etc.).

Focus : le renforcement de la coopération européenne

Enfin, l'un des grands axes de la Directive NIS 2 est le renforcement de la coopération entre les membres de l'Union européenne. Ce faisant, la nouvelle réglementation prévoit :
 
  1. La création d'un véritable régime juridique commun, basé sur une série de mesures harmonisées au sein du marché unique.
  2. La reconnaissance mutuelle des certifications de sécurité élaborées dans différents États membres, afin de faciliter la circulation des produits et services numériques au sein du bloc.
  3. Le développement d'un réseau de coopération interétatique, permettant l'échange de bonnes pratiques, la réalisation d'audits et le renforcement de l'assistance technique en matière de cybersécurité.
  4. La création de structures ad hoc pour favoriser la collaboration entre les autorités nationales compétentes, notamment en cas d'urgence ou d'attaque de grande ampleur.
Ainsi, avec un périmètre étendu, de nouveaux acteurs intégrés, une réponse plus adaptée face aux nouvelles menaces et une coopération européenne renforcée, la Directive NIS 2 repose sur des bases solides pour répondre aux défis sécuritaires que doit relever l'Union européenne. Les entreprises et organismes impactés par cette réglementation doivent donc prendre toutes les dispositions nécessaires pour se mettre en conformité et assurer ainsi leur protection et celle de leurs clients face aux risques du cyberespace.

S'abonner à la newsletter
Nicolas KARP - Directeur Telecom & CyberSécurité

Nicolas KARP - Directeur Telecom & CyberSécurité

50 personnes au sein du pôle réseaux et cybersécurité : SOC 24x7 avec EDR, gestion des vulnérabilités et profils CSIRT / MCO & MCS solution de firewalls, MFA, Bastion, sensibilisation utilisateurs

Vous souhaitez en savoir plus sur HEXANET ?
Découvrir Hexanet