Créée en 2016, cette directive européenne vient de faire l’objet d’un rafraichissement pour apporter une réponse plus adaptée aux cybermenaces actuelles.
Alors que la croissance du numérique explose, le niveau des cybermenaces s’intensifie. Pour s’en prémunir, l’Union européenne (UE) renforce sa réglementation. Ainsi la directive NIS (Network and Information Security), entrée en vigueur en 2016, vient-elle d’être réactualisée. Considérée comme la première réglementation européenne sur la cybersécurité, celle-ci devient désormais la norme NIS2. Plus adaptée aux cybermenaces actuelles, cette nouvelle norme a pour but de renforcer les réponses aux incidents avec des exigences de sécurité plus adéquates.
Réponse aux incidents et gestion de crise
« Il s’agit d’une bonne avancée dans la définition des exigences que les organisations de l’UE devront respecter pour être plus cyber-résilientes dans les années à venir » estime Claire Loffler, ingénieure en sécurité chez la société américaine de cybersécurité Vectra AI. Il faut dire que la norme établit des règles de notifications pour de nombreux enjeux : réponses aux incidents et gestions de crise, le traitement et la divulgation des vulnérabilités, la mise en place des politiques et les procédures pour évaluer l’efficacité de mesures de gestion du risque de cybersécurité, la sécurisation des ressources humaines, etc.
Les ESN visées
Autant de mesures qui devront se traduire par des actions plus musclées qu’auparavant : « Par exemple, les entreprises de services numériques (ESN) devront désormais prévenir l’ANSSI sous 24h si elles subissent une cyberattaque » précise Claire Loffler. À travers cette directive, la NIS2 cible les sociétés de plus de 50 employés. Dans le cas d’un non-respect des nouvelles mesures, ces dernières seront passibles d’une amende pouvant représenter jusqu’à 2 % de leur chiffre d’affaires.
Vers un réseau européen de gestion de crise
En toile de fond, la norme a pour but d’encourager la coopération européenne en créant un écosystème de l’industrie de la cybersécurité. « La mise en place du réseau européen d’organisations de liaison en cas de cyber-crises (EU-CyCLONe) pour soutenir la gestion coordonnée des incidents de cybersécurité à grande échelle au niveau de l’UE est la bienvenue », conclut l’ingénieure.
Ségolène Kahn
Commentez