Depuis plus de 10 ans, l’Union européenne structure sa stratégie cyber pour favoriser la coopération entre les états membres et renforcer leurs capacités. 

En effet, dans un monde où le numérique est devenu omniprésent, les menaces se multiplient et la cybersécurité est compromise : vols de données, espionnage des utilisateurs, désactivations, manipulations, chantage… les attaques visent à la fois des personnes, des organisations, des pays. Elles détériorent l’équilibre et la stabilité des territoires et peuvent nuire à l’État de droit, aux droits de l’homme et aux valeurs démocratiques. 

Pour contrer ces dérives, la stratégie de l’UE comporte trois axes :  

• la résilience, la souveraineté technique et le leadership, 

• la capacité opérationnelle de prévenir, de décourager et d’intervenir, 

• la coopération pour faire progresser un cyberespace mondial et ouvert. 

L’objectif est de réduire la surface d’attaque des systèmes et des réseaux d’information tout en augmentant le niveau global de sécurité de l’ensemble des acteurs. C’est dans ce cadre que la directive NIS 2 (Network and Information Security) est entrée en vigueur en janvier 2023 et qu’elle devra être transposée par chaque état membre en droit national, au plus tard en octobre 2024.  

Dans la lignée de la directive NIS 1, NIS 2 élargit son champ d’application et impose à un grand nombre d’entités et de secteurs de mettre en place un cadre complet de gestion des risques. Près de 600 types d’entités regroupant plus de 10 000 ETI et groupes du CAC40 répartis en 18 secteurs sont concernés. Ces secteurs sont divisés en deux catégories :  

• les services essentiels comprenant ceux dont une perturbation significative impacterait sérieusement la santé, la sécurité, l’économie ou le fonctionnement social de l’UE ou de ses États membres (eau potable, santé, transports, énergie, services bancaires et financiers…) ;  

• les services importants, qui ont une portée économique ou sociétale notable (services administratifs, gestion des déchets, agroalimentaire…). 

NIS 2 impose à ces acteurs de garantir un niveau de sécurité de base sur toute la chaîne d’approvisionnement, incluant fournisseurs et sous-traitants, et à déclarer rapidement les incidents susceptibles d’avoir un impact sur la continuité ou la qualité de leurs services. La directive prévoit des sanctions en cas de non-conformité, notamment des sanctions pénales à l’encontre des membres de direction des entités essentielles.  

Dans l’attente de l’aboutissement du processus législatif et la précision des exigences, certains se diront qu’il est urgent d’attendre… les organisations ont pourtant tout à gagner à anticiper : s’engager dans une démarche de cybersécurité aujourd’hui, c’est en effet réduire son risque cyber et éviter la réglementation demain. 

Les nombreuses PME et ETI pour qui l’acculturation à la cybersécurité est encore balbutiante peuvent se faire accompagner pour initier une démarche d’amélioration continue. Sensibiliser leur direction et leurs collaborateurs, mener une analyse de risque pour évaluer sa menace et ses risques, maintenir leur infrastructure au niveau recommandé par l’ANSSI, recenser et formuler les exigences envers leurs fournisseurs, sont des exemples concrets permettant de gagner en maturité cyber et donc de se préparer à NIS2. Pour être accompagnés, contactez-nous ! 

Pour savoir si votre entreprise est concernée par la directive NIS 2, vous pouvez faire le test ici : MonEspaceNIS2 – Accueil (cyber.gouv.fr)