Directive NIS-2 et cybersécurité

Ou comment l'Europe renforce la cybersécurité pour protéger les entreprises et les infrastructures critiques.

La cybersécurité est devenue une préoccupation majeure pour les entreprises, les gouvernements et les citoyens dans un monde “hyper-inter-connecté”. Les cyberattaques se multiplient, mettant en péril des infrastructures critiques, des données sensibles et la confiance du public dans le numérique. En réponse à ces défis croissants, l'Union Européenne a adopté la directive NIS2 (Network and Information Security 2) afin de renforcer la résilience et la sécurité des réseaux et des systèmes d'information. Cette directive vise à mettre à jour et à élargir le cadre législatif existant pour mieux protéger les infrastructures essentielles contre les cybermenaces.

Quelques définitions

Directive NIS2 : il s’agit d’une révision de la directive NIS (Network and Information Security) initiale, adoptée en 2016. Elle a été publiée au Journal Officiel de l'UE en décembre 2022 et entrera en vigueur en France au plus tard au deuxième semestre 2024.
Elle vise à améliorer les normes de cybersécurité dans l'UE en élargissant le champ d'application aux nouvelles technologies et en imposant des obligations de sécurité plus strictes pour les opérateurs de services essentiels et les fournisseurs de services numériques.

Cybersécurité : La cybersécurité désigne l'ensemble des pratiques, technologies et processus visant à protéger les réseaux, les systèmes informatiques, les données et les utilisateurs contre les cyberattaques, les intrusions, les destructions ou les accès non autorisés.

Comment la directive NIS2 contribue-t-elle à renforcer la cybersécurité en Europe et quelles sont ses implications pour les entreprises et les infrastructures critiques ?

NIS-2, la réponse européenne aux menaces numériques

Renforcement des exigences de sécurité

La directive NIS2 élargit le champ d'application par rapport à la directive NIS initiale, en incluant de nouveaux secteurs tels que les services publics, les fournisseurs de services cloud, les services de santé et les administrations publiques. En 2020, 39% des entreprises européennes ont déclaré avoir subi au moins une cyberattaque significative. En imposant des exigences de sécurité plus strictes, NIS2 vise à réduire ce chiffre et à améliorer la résilience globale.

Obligations de signalement des incidents

NIS2 impose des obligations de signalement des incidents de sécurité plus rigoureuses. Les entreprises doivent notifier les autorités compétentes dans les 24 heures suivant la détection d'un incident. Selon un rapport de l'Agence Européenne pour la Cybersécurité (ENISA), seulement 30% des incidents étaient signalés dans les délais prévus par la directive NIS. NIS2 cherche à augmenter ce taux pour permettre une réaction plus rapide et coordonnée aux incidents.

Collaboration et partage d'informations

La directive encourage la coopération entre les États membres et le partage d'informations sur les menaces et les incidents de cybersécurité. ENISA joue un rôle clé en facilitant cette collaboration. En 2021, plus de 80% des entreprises européennes considéraient le partage d'informations comme essentiel pour améliorer la cybersécurité. NIS2 renforce cette approche collaborative en créant des réseaux de centres de cybersécurité dans toute l'UE.

Exemples et chiffres

Cyberattaque sur colonial Pipeline

L'attaque par ransomware sur Colonial Pipeline aux États-Unis en mai 2021 a perturbé la distribution de carburant sur la côte est pendant plusieurs jours. Cet incident a souligné l'importance de protéger les infrastructures critiques contre les cybermenaces. En Europe, NIS2 vise à prévenir de telles perturbations en imposant des normes de sécurité élevées aux opérateurs de services essentiels.

Quelques chiffres

Selon un rapport de Cybersecurity Ventures, les coûts mondiaux des cybercrimes atteindront 10,5 trillions de dollars par an d'ici 2025. En Europe, les cyberattaques ont coûté environ 400 milliards d'euros en 2021. En réponse, NIS2 prévoit des amendes allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel, pour les entreprises ne respectant pas les obligations de sécurité.

cadenas implanté sur un circuit électronique pour symboliser la cybersécurité

La directive NIS2 représente une étape cruciale dans l'amélioration de la cybersécurité en Europe. En élargissant le champ d'application, en imposant des exigences de signalement plus strictes et en encourageant la collaboration entre les États membres, NIS2 vise à créer un environnement numérique plus sûr et plus résilient. Les entreprises et les infrastructures critiques doivent se préparer à ces nouvelles obligations pour se protéger efficacement contre les cybermenaces, garantir la continuité de leurs activités et la sécurité des données personnelles qui leur sont confiées.