La croissance exponentielle de la cybermenace, les nouveaux enjeux de souveraineté post-Covid, et la guerre en Ukraine ont rendu nécessaire une mise à jour massive de la directive NIS 1 pour être à la hauteur des défis actuels. C’est ainsi qu’est née la NIS 2, publiée au Journal officiel de l’Union européenne le 27 décembre 2022, qui apporte des améliorations structurelles significatives.
🟠 Une extension du Champ d’Application
La grande nouveauté de la NIS 2 réside dans l’extension de son champ d’application pour inclure un plus grand nombre d’entreprises privées, des PME aux groupes du CAC40, qui remplissent les conditions suivantes :
- Opèrent dans les secteurs d’activité listé par la directive
- Effectif de plus de 250 salariés
- CA d’au moins 50 millions d’euros
🟠 7 Changements importants
- Stratégies nationales de résilience
Les États membres sont désormais tenus d’établir des stratégies nationales de résilience pour chaque secteur essentiel. Cette démarche vise à renforcer la préparation et la réponse face aux incidents de cybersécurité.
- Mise en Place du CyCLONe
La NIS 2 introduit le CyCLONe (Cyber Crises Link Organisation Network), un réseau européen d’organisations de liaison en cas de crises de cybersécurité. Son objectif principal est de soutenir la gestion coordonnée lors des crises et incidents majeurs en matière de cybersécurité dans l’Union.
- Renforcement du rôle des autorités compétente
La NIS 2 vise à assurer une coopération transfrontalière efficace avec les autorités des autres pays membres, la Commission européenne et l’ENISA.
- Cadre national de gestion de crise
Les États membres doivent créer un cadre national de gestion de crise en cybersécurité et produire un rapport sur l’état de la cybersécurité dans l’Union tous les deux ans, rédigé par l’ENISA.
- Système d’évaluation par les pairs
La NIS 2 met en place un système d’évaluation par leurspairs pour les États membres souhaitant soumettre leurs politiques de cybersécurité à des fins d’examen collégial, sur une base volontaire.
- Pouvoir d’infliger des amendes
Les autorités compétentes se voient accorder le pouvoir d’infliger des amendes ou d’en demander l’exécution. Cela vise à renforcer la conformité et la responsabilisation des entreprises concernées.
- Promotion de la Cybersécurité active et de la cyberhygièn
La directive insiste sur la promotion de la cybersécurité active et de la cyberhygiène, auprès des petites et moyennes entreprises. Cela inclut des initiatives de sensibilisation et de formation pour renforcer la sécurité au quotidien.
- Obligations pour les décideurs
Les organes de direction des entreprises et les organismes concernés doivent approuver les mesures de gestion des risques cyber adoptées par les entreprises. De plus, les dirigeants doivent suivre une formation en cybersécurité pour mieux comprendre les enjeux et les réponses appropriées.