L’objectif de la directive NIS2 est simple mais essentiel : il s’agit de créer un environnement numérique résilient dans toute l’Europe en améliorant les capacités de cybersécurité des entités critiques. En établissant des normes claires pour la gouvernance de la cybersécurité, le signalement des incidents, la gestion des risques et la collaboration transfrontalière, la directive s’efforce d’atténuer les risques posés par les cybermenaces.

La directive NIS2 a considérablement élargi le champ d’application des entités affectées par rapport à la directive NIS originale. Beaucoup plus de secteurs et de types d’organisations sont soumis à ses exigences. Y compris : 

• les fournisseurs d’infrastructures critiques : entités dans des secteurs tels que l’énergie, les transports, la banque et la santé. Ces industries sont de plus en plus ciblées par les cybercriminels en raison de leur importance pour le bon fonctionnement de la société.
• les fournisseurs de services numériques : comprennent les services cloud, les places de marché en ligne et les moteurs de recherche. Alors que les entreprises continuent à déplacer leurs opérations en ligne, la cybersécurité de ces infrastructures numériques devient plus vitale que jamais.
• Organismes d’administration publics : les gouvernements et les organismes gouvernementaux aux niveaux national et local sont aussi soumis à la directive.

La directive met également l’accent sur les chaînes d’approvisionnement, reconnaissant que les vulnérabilités de cybersécurité dans une entité peuvent avoir un effet en cascade sur d’autres. Cette approche interconnectée encourage les organisations non seulement à se concentrer sur leurs propres défenses, mais également à s’assurer que leurs partenaires et fournisseurs maintiennent des standards de cybersécurité élevés. 

La directive NIS2 établit un cadre de référence complet pour améliorer la cybersécurité en Europe. Voici quelques unes des principales dispositions : 

1. Mesures pour la gestion des risques de cybersécurité

NIS2 exige des organisations qu’elles adoptent une approche de la cybersécurité basée sur les risques. Il faut donc identifier, évaluer et atténuer les risques de manière systématique. Les entités sont également tenues d’établir des structures de gouvernance internes claires pour la gestion de la cybersécurité et de mettre en œuvre des plans de réponse aux incidents pour traiter rapidement les violations lorsqu’elles se produisent.

2. Signalement des incidents 

NIS2 améliore l'exigence de notification des incidents de cybersécurité. Les organisations doivent désormais signaler les incidents de sécurité significatifs aux autorités compétentes dans les 24 heures suivant leur détection. Cette notification rapide est essentielle pour garantir que les menaces sont identifiées tôt et atténuées avant qu’elles ne causent de dommages généralisés.

3. Sécurité de la chaîne d’approvisionnement 

La directive met l’accent sur la sécurisation des chaînes d’approvisionnement. Compte tenu de la complexité et de l’interdépendance croissantes des chaînes d’approvisionnement dans le monde, NIS2 exige que les organisations évaluent et gèrent les risques de cybersécurité posés par les fournisseurs et les partenaires tiers. Il s’agit d’essayer de neutraliser les vulnérabilités dans la chaîne d’approvisionnement qui peuvent être exploitées par les cybercriminels et qui sont souvent négligées. 

4. Répression et sanctions plus sévères

Au contraire de la directive NIS initiale, la NIS2 est moins basée sur la bonne volonté des organisations et va imposer des sanctions financières similaires à celles du RGPD ou de DORA. NIS2 introduit des mécanismes répressifs plus sévères. Les États membres sont tenus de mettre en place des autorités nationales pour la cybersécurité claires avec le pouvoir d’imposer des amendes et des sanctions aux organisations qui ne respectent pas la directive. Ces sanctions peuvent être lourdes - jusqu’à 2 % du chiffre d’affaires annuel de l’entreprise, soulignant l’importance de respecter les normes de cybersécurité énoncées dans la directive. De plus, des implications sont possibles pour les cadres dirigeants qui ne respecteraient pas la directive.  

5. Coopération renforcée 

NIS2 facilite la coopération transfrontalière et le partage d’informations entre les États membres. En renforçant une réponse collective de l’UE vis-à-vis des cybermenaces, la directive garantit que les États membres peuvent partager les bonnes pratiques, mener des exercices de cybersécurité conjoints et réagir rapidement aux incidents qui affecteraient plusieurs pays.