La directive NIS 2 affecte des milliers d’entreprises ainsi que des institutions publiques.
Qu’il s’agisse des transports, de l’énergie, de la santé ou de la finance, de nombreux aspects de notre vie quotidienne requièrent de plus en plus l’utilisation des technologies numériques. La numérisation offre d’énormes possibilités et des solutions à de nombreux défis – de l’enseignement à distance et du télétravail en période de pandémie aux visites virtuelles chez le médecin généraliste. Cela vaut également pour les démarches administratives telles que les demandes des passeports et d’allocations parentales ou pour les processus de contrôle complexes de la chaîne logistique. Autrement dit, l’internet ne sert plus seulement à surfer. L’infrastructure numérique et le trafic de données forment la base indispensable au fonctionnement de la société et de l’économie et sont désormais essentiels pour de nombreux services publics.
De même, le nombre de cyberattaques est en constante augmentation en Europe. Les hôpitaux, les écoles et les institutions publiques sont également la cible régulière de cybercriminels, parfois avec de graves conséquences. De plus, avec l’augmentation du nombre des appareils connectés à l’internet, le risque est plus élevé que jamais. Cette tendance va encore s’accentuer à l’avenir, notamment en raison des tensions géopolitiques.
La volonté de l’UE de rendre le cyberespace européen plus sûr grâce à des normes uniformes est une démarche logique. La directive NIS2, qui est entrée en vigueur le 16 janvier 2023, va bien plus loin des règlements relatifs à la sécurité des réseaux et l’information, (« Network and Information Security (NIS) »), qui sont en vigueur depuis 2016. À l’avenir, de nombreux autres secteurs et entités seront considérés comme « essentiels » ou « importants » pour l’économie et la société, y compris les institutions publiques. Par ailleurs, les entreprises employant plus de 50 personnes et réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros seront également couvertes par les règlements si elles sont classifiées essentielles ou importantes.
À partir d’octobre 2024 – quand la directive devra être complètement convertie en droit national – toutes les entreprises soumises à la réglementation devront se conformer à certaines exigences minimales en matière de cybersécurité pour leurs systèmes. Ces exigences comprennent des concepts d’analyse des risques, de sécurité informatique et de contrôle d’accès, ainsi que des mesures pour la gestion des incidents de sécurité et pour assurer la continuité d’activité, y compris des exigences en matière de documentation et de rapports. Le changement le plus important est la possibilité d’imposer des sanctions. En cas de non-conformité, les dirigeants et les cadres peuvent être tenus personnellement responsables. Des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial se profilent à l’horizon.
L’UE fait donc de la cybersécurité une priorité absolue. À juste titre, car les enjeux sont considérables : l’infrastructure numérique est indispensable. Des systèmes d’information sûrs et fiables sont un facteur clé de l’indépendance économique et stratégique de l’UE. Au final, il faut aussi renforcer la souveraineté de l’Europe en créant une base numérique sûre.
Toutefois, il ne sera pas facile de se conformer aux exigences plus strictes dans le domaine de la cybersécurité. C’est notamment le cas pour les entreprises qui ne faisaient pas encore partie de cette législation. Ce sont surtout les petites entreprises qui manquent souvent de personnel et de compétences techniques. Il en va de même pour certaines administrations publiques. Pour elles, il sera difficilement possible de répondre aux nouvelles exigences dans les délais impartis, par leurs propres moyens.
Pourtant, avec NIS2, l’UE est claire : étant donné les incertitudes géopolitiques croissantes et l’importance cruciale d’une infrastructure informatique performante pour notre société, sa sécurité doit être une priorité absolue. Le rôle de précurseur que joue aujourd’hui l’UE en élaborant des plans à l’échelle de l’Union est plus que bienvenu.
Cette contribution a été soumise par Ralf Koenzen, fondateur et directeur général de LANCOM Systems. Pour en savoir plus sur les solutions de LANCOM Systems, cliquez ici.