La directive NIS2 (Directive sur la sécurité des réseaux et de l’information, version 2) est une directive européenne adoptée en 2022, visant à renforcer la cybersécurité dans l’Union européenne. Elle remplace et étend la directive NIS1 (adoptée en 2016), qui a été la première législation à l’échelle européenne traitant de la cybersécurité.
NIS2 vise à s’adapter aux changements dans le monde numérique et aux nouvelles menaces de cybersécurité, surtout en tenant compte des récents incidents et de la dépendance croissante des pays de l’UE aux technologies numériques.
Objectifs principaux de la norme NIS2
- Renforcement de la cybersécurité : La directive vise à améliorer la résilience des systèmes critiques dans l’UE en obligeant les entités à renforcer leurs mesures de sécurité pour faire face aux cybermenaces de plus en plus croissantes.
- Extension du champ d’application : Contrairement à NIS1, qui se concentrait sur un nombre limité de secteurs (énergie, transport, banque, santé, etc.), NIS2 élargit ce périmètre à d’autres secteurs critiques et industries, tels que :
- Fournisseurs de services numériques (Cloud, services de datacenters, etc.)
- Fournisseurs d’infrastructures critiques (eau, gestion des déchets, alimentation, etc.)
- Industries des technologies de l’information et de la communication.
- Obligations de cybersécurité renforcées : NIS2 impose des exigences plus strictes aux entreprises et aux organisations en matière de sécurité informatique, y compris des mesures de prévention, détection et réponse aux incidents de sécurité, telles que :
- Mise en œuvre de politiques de gestion des risques.
- Mesures techniques de protection (cryptage, authentification forte, etc.).
- Surveillance continue des menaces et audits réguliers de sécurité.
- Gestion des incidents : Les organisations couvertes par la directive sont tenues de signaler les incidents de cybersécurité graves (attaque par ransomware, violation de données sensibles, Interruption de service, etc) aux autorités compétentes dans un délai spécifique, généralement 24 à 72 heures après la détection de l’incident.
- Améliorer la coordination entre les États membres de l’UE, en créant un cadre commun de partage d’informations et de gestion des risques en matière de cybersécurité.
- Sanctions et responsabilités accrues : NIS2 introduit des sanctions plus sévères en cas de non-conformité, avec des amendes pouvant atteindre des montants importants, similaires au cadre du RGPD (Règlement général sur la protection des données). De plus, les dirigeants des entreprises peuvent être tenus personnellement responsables en cas de manquement grave aux obligations de sécurité.
➡️ En savoir plus sur la directive NIS2
➡️ Ressource de l’ANSSI – « Directive NIS 2 : Elever collectivement notre niveau de cybersécurité »