NIS2 - Directive européenne sur la sécurité des réseaux et de l'information

En 2016, la directive NIS1 est entrée en vigueur en tant que première législation de l'UE sur la cybersécurité. La directive a ensuite été transposée en législation belge en 2019. La directive NIS1 exige que les États membres développent des stratégies nationales de cybersécurité et collaborent de manière transfrontalière via le groupe de coopération NIS et le réseau CSIRT. Il oblige également les États membres à désigner des fournisseurs de services essentiels dans des secteurs tels que l'énergie, le transport, la banque, les marchés financiers, la santé, l'eau potable et l'infrastructure numérique. Ces fournisseurs doivent prendre des mesures de sécurité minimales et ont l'obligation de signaler les incidents graves. Les fournisseurs de services numériques essentiels doivent également respecter ces exigences.

Depuis l'introduction de la directive NIS1 en 2016, la Commission européenne a examiné son efficacité et constaté que son champ d'application était trop limité. Les menaces cybernétiques ont considérablement augmenté ces dernières années, tandis que notre connectivité économique et sociale et notre dépendance à l'égard du monde numérique ont augmenté. Il y a un manque de clarté sur le champ d'application et les compétences. De plus, il existe de grandes différences entre les approches nationales et il y a un manque général d'échange d'informations.

Pour remédier à ces problèmes, la Commission a proposé d'étendre le champ d'application de NIS1 à davantage de secteurs et d'entités, en particulier pour harmoniser les règles d'identification et étendre les exigences de sécurité. Ces ajustements sont inclus dans la nouvelle directive NIS2.

La directive NIS2 est étendue et s'applique désormais aux entités de taille moyenne et grande dans une gamme de secteurs cruciaux pour l'économie et la société. Cela inclut notamment les fournisseurs de services de communication électronique publics, les services numériques, la gestion des eaux usées et des déchets, la fabrication de produits critiques, les services de courrier et de messagerie, les entreprises alimentaires et médicales.

Les entreprises doivent vérifier elles-mêmes si elles relèvent de la directive. En général, la directive s'applique aux grandes et moyennes entreprises de 50 salariés ou plus ou ayant un total de bilan d'au moins 10 millions d'euros. Initeam conseille également aux (petites) entreprises de mettre en place un plan de cybersécurité et de se protéger contre les menaces numériques croissantes.

La directive NIS2 vise à sensibiliser davantage à la cybersécurité, afin que les gouvernements et les entreprises soient mieux préparés aux menaces croissantes dans ce domaine. En plus de promouvoir la sensibilisation, la directive révisée se concentre également sur la sécurité des chaînes d'approvisionnement et des relations entre fournisseurs. De plus, une responsabilité de gestion plus stricte est introduite pour veiller à ce que les obligations de cybersécurité soient respectées.
Pour garantir la conformité à la directive, les obligations de déclaration sont rationalisées et des mesures de surveillance plus strictes pour les autorités nationales et les exigences de mise en œuvre sont introduites. Les régimes de sanctions sont également harmonisés dans les États membres. Ainsi, la directive NIS2 vise à promouvoir une approche efficace et uniforme de la cybersécurité au sein de l'UE.