Javascript is required
logo-dastralogo-dastra

Renforcement de la cybersécurité en Europe par la Directive NIS 2

Renforcement de la cybersécurité en Europe par la Directive NIS 2
Maëva Vidal
Maëva Vidal
25 janvier 2023·3 minutes de lecture

La Directive Network and Information Security 2 (NIS 2) sur la cybersécurité, adoptée par le Conseil de l'Union européenne (UE) et publiée au Journal officiel le 27 décembre 2022, vise à harmoniser les règles nationales en matière de cybersécurité et à établir un cadre réglementaire commun pour lutter contre les cyberattaques.

Elle vient remplacer la Directive NIS 1 actuelle sur la sécurité des réseaux et des systèmes d'information.

Une évolution conséquente du droit communautaire

La Directive NIS 1 a été publiée en 2016 et a été l'une des premières législations européennes visant à garantir la sécurité des systèmes et des réseaux. Cependant, à mesure que les technologies et les méthodes de cyber-attaque se sont développées, il devenait évident que la directive NIS 1 ne pouvait plus répondre aux exigences de sécurité.

Son réexamen a montré que certaines insuffisances l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité.

Également, elle laissait un large pouvoir d’appréciation aux États membres en ce qui concerne la mise en œuvre des obligations qu’elle prévoyait en matière de sécurité et de notification des incidents. De ce fait, ces obligations ont été mises en œuvre de manières considérablement différentes au niveau national.

La Directive NIS 2 a alors été conçue pour remplacer la Directive NIS 1 et pour mieux garantir la sécurité des systèmes et des réseaux à l'échelle de l'UE.

L'apport de la Directive NIS2

La Directive NIS 2 apporte de nombreuses innovations et améliorations à la Directive NIS 1.

① Tout d'abord, elle élargit le champ d'application des exigences de sécurité à de nouvelles organisations. De ce fait, elle s'applique à toute entreprise moyenne ou dépassant un certain plafond, mais également à certaines entités, dont :

  • les fournisseurs de services numériques (tels que les fournisseurs de cloud computing, les fournisseurs de services d'hébergement web et les fournisseurs de services financiers en ligne) ;
  • les fournisseurs d'infrastructures essentielles (tels que les opérateurs d'utilités et les fournisseurs de services de transport) ; et
  • les organisations qui exploitent des systèmes et des réseaux critiques pour leurs activités.

② Elle prévoit également des exigences plus strictes en matière de notification des incidents de sécurité et de coopération entre les autorités nationales et l'ENISA.

③ De plus, la Directive NIS 2 offre un cadre plus précis et plus détaillé pour la mise en œuvre de mesures de sécurité des systèmes et des réseaux dans l'UE. En effet, elle exige que les États membres de l'UE mettent en place des mesures pour améliorer leur résilience et leur sécurité contre les cyberattaques. Celles-ci comprennent des exigences en matière de sécurité des réseaux et des systèmes d'information, des plans de sécurité et des procédures de réponse à des incidents.

Elle doit être transposée pour le 17 octobre 2024 au plus tard dans chaque État membre.


A propos de l'auteur
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.