Retour sur les nouvelles priorités de la directive européenne sur la sécurité des réseaux et des systèmes d'information (NIS2) en ce qui concerne la gestion des risques et la stratégie de résilience

Les récentes mises à jour de la directive NIS 2 visant à coordonner la cybersécurité à l'ensemble de l'Union européenne définissent de nouveaux termes et règlementations à destination des États membre

Ces nouvelles directives chargent les dirigeants d’appliquer toutes les considérations et exigences en matière de cybersécurité aux entités fournissant des services à une grande partie de la population mondiale.

  • Qui est concerné par la directive NIS 2 ?

Ces entités sont réparties en deux catégories : les « entités essentielles » sous-entendu au bon déroulement de l’économie (l’énergie, les transports, le secteur bancaire, etc…) et les « entités importantes », comme les services postaux, la production alimentaire, les fournisseurs de service numérique, etc... La législation espère ainsi renforcer la cyberdéfense à l’échelle européenne dans la mesure du possible.  

  • Quels sont les changements apportés par l’adoption de la directive NIS 2 ?

La directive NIS 2 intègre une structure de signalement des incidents en deux phases. Elle exige que tout incident grave soit signalé dans les 24 heures suivant son apparition et soit complété par des informations détaillées dans les 72 heures. Elle demande également de recevoir un rapport plus approfondi comme mesure de suivi supplémentaire, un mois après l’apparition de l’incident. Cette structure vise à avoir rapidement connaissance des détails relevés - afin d’éviter que des attaques similaires n’aient un impact trop important - et à fournir a posteriori une analyse approfondie aux chercheurs en cybersécurité pour pouvoir améliorer les futurs plans de résilience.

Un incident grave en matière de cybersécurité est défini comme un incident qui a causé ou qui est susceptible de causer une grave perturbation opérationnelle des services, ou engendrer une perte financière pour l’entité concernée et/ou qui a affecté d’autres personnes physiques ou morales en causant des dommages matériels ou non matériels. Les entités doivent également indiquer si elles soupçonnent que l’incident en question est le résultat d’une activité illégale ou malveillante et qu’il peut entraîner des répercussions à l’échelle internationale.

  • Article 7 : adopter une stratégie nationale de cybersécurité

L’article 7 de la directive NIS 2 rend obligatoire pour tous les États membres de l’EU d’adopter une stratégie nationale de cybersécurité impliquant des objectifs et des priorités très encadrés pour anticiper, évaluer, analyser, identifier et révéler les cyberattaques.

En outre, l’article 7 prévoit des politiques supplémentaires que chaque État membre doit intégrer dans sa stratégie, notamment des considérations relatives à la chaîne logistique des TIC, des instructions à l’attention des PME, la gestion des vulnérabilités, la sécurité de l’Internet, les exigences relatives à l’adoption de certaines technologies et de certains outils de partage de l’information, la formation et l’éducation, ainsi que des plans visant à améliorer le niveau général de sensibilisation des citoyens à la cybersécurité.

La Commission européenne va continuer à développer les exigences techniques et méthodologiques liées à la directive NIS 2 qui ne représente qu’une partie d’un vaste plan qu’elle est actuellement en train d’adopter. Il est important de réaliser que la directive NIS 2 décrit une approche « multirisques » de la gestion des risques, qui ne se réduit pas uniquement à la cybersécurité mais concerne également 11 domaines du risque, dont les catastrophes naturelles, les attaques terroristes, les menaces internes comme le sabotage, mais également les urgences de santé publique telles que la récente pandémie de COVID-19.

Ces nombreuses considérations ont pour objectif de renforcer la gestion du risque et les politiques de sécurité au niveau européen. Cela contribuera ainsi à créer une résilience commune à tous les États membres et à leurs entités importantes et essentielles.