La transformation numérique a été bénéfique pour la sécurité des réseaux et des systèmes d’informations, mais elle provoque aussi une forte augmentation des cybermenaces.
La directive NIS 2 est basée sur une évolution naturelle de la réponse de l’UE face aux cybermenaces en hausse. Ses origines remontent à la directive initiale NIS adoptée en juillet 2015, qui constituait la première tentative de l’UE, d’établir un cadre réglementaire concret visant à renforcer la cybersécurité des infrastructures critiques et des services numériques. La première directive représente un pas important dans la reconnaissance de la nécessité d’une action coordonnée au niveau européen pour protéger nos systèmes essentiels contre les cybermenaces.
Face à la pandémie de COVID-19 et la forte hausse de la transformation numérique, il a été nécessaire d’adopter des mesures supplémentaires afin de relever de nouveaux défis en cybersécurité.
La directive NIS 2 est donc plus complète que la précédente, les mesures sont plus strictes et son champ d’application est plus large. La nécessité de cette directive est de s’adapter rapidement à une évolution constante du cyber-environnement ainsi que de protéger les infrastructures contre les menaces en augmentant leur résilience.
Impact et implication de la directive NIS 2 : Qui est concerné ?
Des critères spécifiques sont mis en place pour déterminer la soumission des entreprises à la directive en fonction de leur importance pour les services essentiels.
L’énergie, les transports, la santé et même l’industrie alimentaire font parties de la liste des services essentiels, montrant l’importance de protéger les infrastructures contre les cybermenaces. La manufacture et la recherche sont-elles reprises dans la liste des services importants.
La directive NIS 2 établit différents niveaux d’obligations en fonction du secteur d’activité, de la taille et du chiffre d’affaires de l’entreprise.
Sanctions et risques pour les entreprises en cas de non-conformité
Le non-respect de la directive NIS 2 peut entrainer des sanctions financières et des mesures administratives. Les entreprises ne respectant pas les exigences de cybersécurité énoncées dans la directive peuvent entrainer de lourdes amendes soit 10 millions d’euros ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Les entreprises ne respectant pas ces règles peuvent également être soumises à des mesures administratives, comme des audits supplémentaires ou des inspections régulières.
Il est important de souligner que les différences entre les États membres de l’Union Européenne dans l’application de la directive peuvent augmenter le risque de non-conformité. Certaines juridictions imposent des sanctions plus strictes que d’autres, ce qui rend encore plus important pour les entreprises de comprendre et de respecter les exigences de cybersécurité de la directive partout où elles opèrent.
Vous souhaitez en apprendre plus sur les obligations imposées par la directive et sur les solutions pour être davantage cyber résilient ? Restez connectés sur notre blog !