La directive NIS (Network and Information Security), entrée en vigueur en 2016, était la première loi sur la cybersécurité à l’échelle de l’UE. Son objectif était d’atteindre un niveau de sécurité plus élevé et plus uniforme des systèmes de réseau et d’information dans l’ensemble de l’UE (Union européenne). À ne pas confondre avec le NIST (Institut national des normes et de la technologie, entité américaine).

Compte tenu de la croissance considérable de la numérisation depuis lors, il a été décidé que la norme devait être rafraîchie. D’où le NIS2 dont l’adoption formelle est prévu au 2e semestre 2022.

« Un accord provisoire sur la révision de la directive NIS a été obtenu sur l’ensemble des dispositions normatives lors d’un trilogue politique le 12 mai dernier » confirmait il y a peu le service communication de l’ANSSI.

La croissance de la numérisation s’accompagne en effet de cyber-menaces toujours plus importantes, comme en témoignent les quelques chiffres ci-dessous.

En 2017, Cybersecurity Ventures prévoyait que les coûts mondiaux des dommages causés par les ransomwares atteindraient 20 milliards de dollars d’ici 2021, soit 57 fois plus que le montant de 2015. Le marché mondial de la sécurité vaut actuellement environ 150 milliards de dollars, un chiffre qui, selon de nombreuses prévisions, passera à 208 milliards de dollars en 2023 et à 400 milliards de dollars en 2026. Les données montrent que les organisations de l’UE consacrent en moyenne 41 % de moins à la cybersécurité que leurs homologues américains.

Les changements apportés à NIS pour devenir NIS2 :

Il s’agit d’une bonne avancée dans la définition des exigences que les organisations de l’UE devront respecter pour être plus cyber-résilientes dans les années à venir. Elle détaille également clairement les règles de notification et les conséquences d’une mauvaise application de ces règles.

Comme l’écosystème de l’industrie de la cybersécurité, NIS2 s’efforce de renforcer la coopération dans l’UE. La mise en place du réseau européen d’organisations de liaison en cas de cyber-crises (EU-CyCLONe) pour soutenir la gestion coordonnée des incidents de cybersécurité à grande échelle au niveau de l’UE est la bienvenue.

Des exigences de sécurité renforcées et des mesures ciblées sont à prévoir, notamment la réponse aux incidents et gestion de crise, le traitement et divulgation des vulnérabilités, les politiques et procédures visant à évaluer l’efficacité des mesures de gestion du risque de cybersécurité ou encore de bonnes pratiques d’hygiène informatique de base et des formations à la cybersécurité.

Par exemple, les entreprises de services numériques (ESN) devront désormais prévenir l’ANSSI sous 24h si elles subissent une cyberattaque. Les extensions des obligations de cybersécurité du NIS2 incluent également une utilisation efficace de la cryptographie, une sécurité renforcée des ressources humaines et des politiques de contrôle d’accès et de la gestion des actifs. Le nombre de secteurs couverts dans NIS2 s’est élargi pour inclure 8 secteurs supplémentaires, ce qui porte le total à 15.

En vue du NIS2, nombre d’ESN devront certainement reprioriser leurs budget 2022 pour adresser en urgence cette directive. Le non-respect des nouvelles mesures sera puni par une amende pouvant représenter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise. Seules les sociétés de plus de 50 employés sont concernées.

La norme NIS2 permet de rendre le niveau sécurisé plus élevé et adaptée à l’évolution du paysage des menaces de cybersécurité et de la numérisation accrue. Avec des exigences de sécurité renforcées, la norme NIS2 cherche à renforcer les réponses aux incidents et gestions de crise, le traitement et la divulgation des vulnérabilités, la mise en place des politiques et procédures pour évaluer l’efficacité de mesures de gestion du risque de cybersécurité, la sécurisation des ressources humaines, etc. NIS2 est une norme complète qui fait évoluer l’efficacité de la cybersécurité.