ISGroup Conseil en Cybersécurité

Quels sont les éléments clés de la directive NIS2 visant à corriger les lacunes de la précédente directive NIS ?

La directive NIS2 a été élaborée pour renforcer la cybersécurité au sein de l’Union européenne, en comblant plusieurs lacunes identifiées dans la directive NIS originale.

[Callforaction-NIS2]

Voici les éléments clés de la NIS2 et la manière dont ils répondent à ces carences :

  1. Élargissement du champ d’application :
  • Secteurs et entités plus largement couverts : La NIS2 étend sa portée en incluant davantage de secteurs jugés cruciaux pour l’économie et la société. Alors que la NIS1 se concentrait sur sept secteurs critiques, la NIS2 inclut des secteurs supplémentaires pour remédier au « niveau insuffisant de résilience cybernétique des entreprises opérant dans l’UE » observé précédemment.
  • Seuil basé sur la taille : La directive introduit une règle de seuil dimensionnel, exigeant que toutes les entreprises moyennes et grandes dans les secteurs sélectionnés respectent ses exigences. Cela garantit que les entités ayant une présence numérique significative et un impact potentiel soient responsables de leur posture de cybersécurité.
  • Élimination de la distinction entre OES et FSD : La NIS2 supprime la distinction entre Opérateurs de Services Essentiels (OES) et Fournisseurs de Services Numériques (FSD), classant désormais les entités comme « essentielles » ou « importantes », avec des niveaux de supervision variables. Cela simplifie la catégorisation et favorise une approche plus cohérente de la supervision.
  1. Exigences de sécurité renforcées :
  • Approche de gestion des risques : La NIS2 introduit une approche basée sur la gestion des risques et impose une liste minimale d’éléments de sécurité fondamentaux que toutes les entreprises concernées doivent traiter.
  • Standardisation des mesures de sécurité : Cela inclut la gestion des incidents, la sécurité de la chaîne d’approvisionnement, la gestion et la divulgation des vulnérabilités, ainsi que l’utilisation du chiffrement. En établissant une base commune de mesures de cybersécurité, la NIS2 vise à corriger les incohérences dans la mise en œuvre des exigences de sécurité sous la NIS1.
  1. Amélioration du signalement des incidents :
  • Approche de signalement en plusieurs étapes :
    • Alerte préliminaire : Les entreprises disposent de 24 heures pour envoyer un premier rapport aux autorités compétentes après avoir pris connaissance d’un incident. Ce système d’alerte précoce permet des temps de réponse plus rapides.
    • Notification de l’incident : Dans les 72 heures, une notification plus détaillée de l’incident doit être envoyée.
    • Rapport final : Un rapport final complet est requis dans un délai d’un mois après l’incident.
  • Équilibre entre rapidité et exhaustivité : Cette approche structurée vise à équilibrer le besoin de partage rapide d’informations avec l’importance d’une analyse approfondie et de l’apprentissage tiré des incidents.
  1. Supervision et exécution plus strictes :
  • Mesures de supervision renforcées : La NIS2 fournit une liste minimale d’outils de supervision pour les autorités nationales, incluant des audits, des inspections sur site, des demandes d’informations et l’accès à la documentation.
  • Supervision différenciée : Elle met en œuvre différents niveaux de supervision pour les entités « essentielles » et « importantes », garantissant une approche plus ciblée et proportionnée.
  • Sanctions harmonisées : Elle établit un cadre pour des sanctions cohérentes dans toute l’UE en cas de violation de la directive, incluant une liste minimale de sanctions administratives qui tiennent compte de la taille de l’entité et de la gravité de l’infraction.
  1. Coopération renforcée :
  • Rôle renforcé du groupe de coopération NIS : La NIS2 renforce le rôle du groupe de coopération NIS pour faciliter la prise de décision stratégique, l’échange d’informations et la coordination entre les États membres en matière de cybersécurité.
  • Amélioration du réseau CSIRT : Elle vise à améliorer la coopération opérationnelle au sein du réseau CSIRT, en promouvant l’échange rapide d’informations et des réponses coordonnées aux incidents de cybersécurité, en particulier ceux ayant des implications transfrontalières. Pour approfondir les obligations spécifiques liées au CSIRT, il est utile de lire également l’obligation de désignation du référent CSIRT pour les entités NIS.
  • Mise en place d’EU-CyCLONe : La création d’EU-CyCLONe, un réseau européen de liaison pour les crises cybernétiques, est un ajout significatif de la NIS2, conçu spécifiquement pour améliorer la préparation et la réponse de l’UE aux incidents et crises de cybersécurité à grande échelle.

La directive NIS2 représente une avancée significative dans la stratégie de cybersécurité de l’UE. En s’attaquant aux lacunes de la NIS1 et en s’adaptant à l’évolution du paysage des menaces, la NIS2 vise à créer un environnement numérique plus sûr et plus résilient pour les entreprises et les citoyens à travers l’Union européenne. Si votre organisation entre dans le périmètre de la directive, évaluer votre niveau de conformité est la première étape concrète : le parcours de conformité à la NIS2 d’ISGroup accompagne les entreprises de l’analyse des écarts jusqu’à la mise en œuvre des mesures requises. Pour comprendre où se situe votre organisation par rapport aux échéances de l’ACN, vous pouvez également consulter la liste des entités NIS2 et les indications de l’ACN concernant le 31 mars.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *