NIS2 : comprendre la nouvelle loi qui vise à renforcer la cybersécurité en Europe

Vendredi dernier, l’Union européenne a accepté l’application de nouvelles normes de sécurité strictes, afin de protéger les secteurs les plus vulnérables face aux cyberattaques – entre autres, les industries de l’énergie, la finance, la santé et les transports.

Les représentants du Conseil de l’UE et le Parlement européen se sont accordés sur des mesures provisoires portées par la directive NIS2.

 

Qu’est-ce que la directive NIS2 ?

Adopté en mai 2016 et mis en œuvre 2018, le NIS a été voté en réponse aux cybermenaces qui, au fil des années, sont devenues de plus en plus fréquentes et omniprésentes en Europe. En 2020, une nouvelle loi a été proposée pour renforcer les efforts en cybersécurité.

Ainsi, la directive NIS2 vise à lutter davantage contre la tendance de cyber-escalade, en répondant au besoin de protection, de manière homogène à long terme. Les efforts de cette nouvelle loi portent notamment sur la mise en service de garanties stratégiques pour chaque État membre et incluent désormais le déploiement de solutions pour de multiples secteurs vulnérables, parmi les fournisseurs de services publics de communications électroniques, de gestion des eaux usées et des déchets, les services postaux et de messagerie, l’administration publique, etc – tant au niveau national que régional.

L’adoption de nouvelles mesures

Une meilleure gestion des risques

La NIS2 comprend également l’adoption de mesures de gestion des risques de cybersécurité pour le secteur de la santé, en particulier pour les fabricants de dispositifs médicaux, afin de répondre aux menaces de sécurité croissantes détectées lors de la pandémie de COVID-19.

Dès lors, la nouvelle directive entend renforcer les exigences de sécurité informatique imposées aux entreprises. La mise en place d’un cadre réglementaire prévoit un mécanisme plus homogène et efficace tant en termes d’exigences que de mesures de sécurité, de coopération en matière de gestion des risques, d’incidents ainsi que pour la rationalisation des obligations déclaratives dans tous les secteurs entrant dans le champ d’application de la directive.

 

La correction des vulnérabilités

Dans le cadre d’EU-CyCLONe, c’est-à-dire le réseau européen organisé pour gérer les cybercrises, la loi NIS2 soutient la gestion coordonnée des incidents de sécurité informatique et encourage le partage des meilleures pratiques aux niveaux national et européen.

En effet, en cas de cyberattaque, les entreprises pourront être averties dans les 24 heures afin d’établir un rapport complet dans les 3 jours. Selon Politician, ces mesures comprennent la mise à jour du logiciel de sécurité, la correction des vulnérabilités et la préparation de mesures de gestion des risques. Si l’entreprise ne répond pas aux besoins, elle se verra créditer d’une amende pouvant aller jusqu’à 2 % de son chiffre d’affaires mondial.

 

Les secteurs concernés par la directive NIS2

L’Union européenne définit comme secteurs essentiels les domaines de l’énergie, la santé, les boissons, les transports, la gestion des eaux usées et des déchets, les infrastructures financières, la banque, la santé, les services postaux et de messagerie, l’administration publique et les services publics de communications électroniques.

Les mesures s’appliqueront également aux fabricants d’ordinateurs et d’équipements, de véhicules, de machines, d’appareils médicaux et d’aliments et aux prestataires qui offrent des services en ligne comme les réseaux sociaux, les moteurs de recherche et le e-commerce.

 

Une politique attendue en Europe

D’après les représentants du Conseil de l’UE :

• Cette directive représente une stratégie révolutionnaire pour s’assurer que les citoyens et les entreprises sont protégés et assurés dans les services essentiels, selon Margrethe Vestager, vice-présidente exécutive de la Commission européenne pour “Une Europe adaptée à l’ère numérique »
• De son côté, Bart Groothuis, député européen libéral néerlandais, a déclaré que la loi fera de l’Europe un endroit plus sûr pour travailler.

 

L’Ukraine, le bon exemple d’un pays compromis par les cyberattaques

L’Union européenne annonce de nouvelles règles pour se prémunir contre les cyberattaques. En effet, le contexte actuel a incité à définir les dernières règles de ce projet de loi. Les cyberattaques se multiplient et ces derniers mois, elles sont devenues courantes dans le cadre de la guerre en Ukraine.

L’invasion de la Russie s’est accompagnée d’une vague de piratages visant à compromettre les services essentiels. Des groupes liés au Kremlin ont attaqué des institutions financières et donc le secteur des télécommunications. Pour cette raison, l’Ukraine a dû recourir à des services comme Starlink pour ne pas être déconnectée.

« Les cybermenaces sont devenues plus audacieuses et plus complexes. Il était impératif d’adapter notre cadre de sécurité aux nouvelles réalités et de s’assurer que nos citoyens et nos infrastructures sont protégés », a déclaré le chef de l’industrie européenne Thierry Breton dans un communiqué.

Comme les autres accords, cette loi doit être formellement approuvée par le Parlement et donc les États membres. Par la suite, les principes vont être définis et mis en œuvre dans chaque pays de l’Union Européenne. Thierry Breton a reconnu que la directive NIS2 allait être soutenue lors d’une avancée pour l’initiative Cyber ​​Resilience Lawan qui introduit des règles communes de cybersécurité pour les fabricants de produits et services numériques.