Cybersécurité : la directive européenne NIS 2 est là, ce qu'elle change pour les États membres

Harmonie et félicité
Droit 2 min
Cybersécurité : la directive européenne NIS 2 est là, ce qu'elle change pour les États membres
Crédits : BlackJack3D/iStock

La nouvelle directive européenne sur la cybersécurité, dite « NIS 2 » (ou « SRI 2 » en français), entrera en vigueur dans quelques jours. Elle remplacera la première directive NIS en l’améliorant sur tous les points. Harmonisation, réponse en cas de crise, partage des compétences : panorama des changements les plus importants.

La première directive concernait des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union est arrivée en 2016. Elle a représenté une évolution importante des pratiques en Europe en matière de cybersécurité, mais cette dernière a profondément été transformée durant les dernières années, s’adaptant sans cesse aux nouvelles menaces dans un éternel jeu du chat et de la souris.

Le phénomène s’est particulièrement renforcé depuis le début de la pandémie de COVID-19 et la guerre en Ukraine. De plus, son application était fragmentée en Europe. La France avait même été épinglée pour défaut de transposition intégrale du texte. Cette première directive a cependant fait bouger les lignes en proposant une approche cohérente et institutionnelle de la cybersécurité et en propulsant le rôle prépondérant des États.

Ces derniers devaient non seulement renforcer leurs propres infrastructures face aux menaces, mais également établir un socle pour les entités aussi bien publiques que privées dans sept secteurs cruciaux : énergie, transports, banque, marchés financiers, santé, distribution de l’eau et infrastructures numériques. Elle a aussi imposé aux opérateurs jugés essentiels (ou vitaux) et services numériques des exigences, tant pour la cybersécurité que le signalement des incidents.

Avec le temps, plusieurs carences sont apparues, notamment le faible niveau constaté des entreprises dans l’Union européenne en matière de résilience. « En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité », peut-on lire dans le nouveau texte.

La résilience était de plus variable d’un État membre à un autre. En outre, et en dépit des efforts engendrés par la directive, il existait des écarts importants entre les pays, sans réelle prise de conscience conjointe ni mécanismes appropriés de réponse concertée face aux crises pouvant se présenter. Un pays pouvait par exemple imposer aux établissements de santé une déclaration et une communication sur les incidents cyber et pas un autre.

La nouvelle directive NIS 2, publiée au journal officiel le 27 décembre, ambitionne de combler ces lacunes et d’aller plus loin dans d’autres domaines. Elle étend notamment le nombre de secteurs essentiels, propose des règles et définitions harmonisées et mises à jour pour la défense de l’Union européenne et prévoit des stratégies nationales de résilience, ainsi qu’une meilleure communication transfrontalière. Enfin, elle crée un groupe de coopération stratégique et d’échange d’informations entre États membres, CyCLONe.

Un champ d’application élargi

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !