Avec l’essor des transactions à distance et du télétravail, le contexte est plus que jamais propice aux cybermenaces.
Dans son « Panorama de la menace informatique » (édition 2022), l’Anssi constate une hausse de 37 % du nombre d’intrusions avérées dans des systèmes d’information en 2021 par rapport à 2020.
Face à l’accroissement des risques, la Commission européenne s’est attachée à réviser la directive NIS de 2016 – le premier texte européen de régulation de la cybersécurité – afin d’élargir le champ des organisations concernées et d’harmoniser toujours plus le cadre normatif pour les États membres.
Cette révision, approuvée en juin 2022, c’est la directive NIS2.
NIS1, un texte fondateur en matière de cybersécurité et de régulation
Parce qu’elle fait partie du paysage de la cybersécurité depuis son entrée en vigueur en 2018, on a tendance à oublier combien la directive NIS (Network and Information System Security) est novatrice.
Il s’agit de la première tentative pour renforcer le niveau global de la cybersécurité au sein des 27 et déterminer un socle de garanties visant à développer un écosystème de confiance.
Cela, en mettant l’accent sur les Opérateurs de Services Essentiels : ces entreprises qui, selon la définition de l’Anssi, « fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société ».
En d’autres termes, NIS premier du nom a établi une norme commune de défense contre les cybermenaces dans l’Union européenne.
Transposée dans le droit national des États membres, la directive a permis l’apparition d’outils réglementaires et l’accroissement incontestable du niveau de sécurité pour les acteurs essentiels du marché.
Néanmoins, face à la transformation de la menace, une évolution du texte était incontournable, en particulier pour élargir le champ d’application et préparer les entreprises aux défis actuels et futurs de la cybersécurité.
C’est ce constat qui a amené la Commission à proposer une révision de la directive, sous le nom de NIS2.
NIS2, un socle législatif mieux adapté aux nouveaux défis cyber
La révision de NIS découle de la volonté de mettre à jour les mesures de régulation prévues par la première version du texte, en s’appuyant sur les connaissances acquises, et en intégrant les nouveaux défis cyber dans un contexte d’interconnexion toujours plus poussée.
C’est pourquoi le champ d’application de la directive NIS2 a été élargi à plus de 150 000 entités (contre une centaine seulement pour la NIS1) afin de couvrir des secteurs comme les services d’accès au web, les prestations de datacenter, la grande distribution, la recherche, les services postaux ou la gestion des déchets.
Auparavant, les mesures se focalisaient sur les secteurs des télécommunications, de l’alimentation, du transport, de la santé, de l’énergie, du traitement des eaux et des services financiers.
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Au rayon des nouveautés, NIS2 étend aussi l’obligation de déclaration d’incidence, lorsque les sinistres (cyberattaques, pertes de données, etc.) présentent des risques opérationnels ou financiers importants.
Enfin, des sanctions sont prévues pour les entités qui ne respectent pas les mesures organisationnelles et techniques, avec une amende pouvant aller jusqu’à 2 % du chiffre d’affaires mondial annuel de l’entreprise fautive.
Un cadre normatif plus strict pour une coopération plus poussée
En contraignant davantage d’entreprises à intégrer des mesures de cybersécurité, la nouvelle directive NIS2 vise à renforcer le cadre normatif établi à l’occasion de NIS1 pour tenir compte du développement du marché intérieur et de la diversification de la menace.
L’objectif étant d’accroître la cyber-résilience au sein de l’Union européenne en s’assurant que les acteurs critiques ont bien pris conscience des risques, et qu’ils ont mis en place les mesures nécessaires pour faire face aux menaces informatiques.
Ce n’est pas tout. Car, en marge du volet « régulation », NIS2 vise également à consolider les actions de coopération au sein de l’Union.
C’est l’ambition du réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui réunit, au niveau opérationnel, les agences nationales des pays de l’UE en charge de la gestion de crise.
Ce réseau a été créé en 2020 dans le but de contribuer à la mise en œuvre d’un plan d’action en cas de cyberattaque ou de crise transfrontalière, et de permettre aux entreprises de mieux partager l’information relative aux menaces.
La directive NIS2 marque donc un nouveau pas en avant dans l’établissement d’un cadre normatif harmonisé pour l’ensemble des pays européens en matière de cybersécurité.
Mais cette avancée législative reste limitée aux grandes structures. Autrement dit, les TPE-PME ne sont pas intégrées au processus, alors même qu’elles les moins armées face aux cybermenaces (en Europe, une entreprise sur deux victimes d’un ransomware est une TPE-PME, selon le « Baromètre Anozr Way »).
Il revient donc aux instances nationales de sensibiliser les petites structures aux risques cyber et aux bonnes pratiques à adopter pour s’en prémunir.