Les pirates informatiques criminels, les États-nations et d’autres acteurs malveillants changent constamment leurs cibles et leurs méthodes. La législation, cependant, prend souvent des années à rédiger, ce qui met les forces de l’ordre en retrait lorsqu’il s’agit de suivre le rythme des menaces émergentes en matière de cybersécurité.
L’Union européenne (UE), cependant, évolue relativement rapidement vers de nouvelles réglementations communes en matière de cybersécurité pour le bloc. La Directive Réseaux et Systèmes d’Information (NIS2) a été proposé par la Commission européenne en décembre 2020. Ce mois-ci, les règles proposées ont gagné approbation provisoire du Parlement européen et des États membres de l’UE (par l’intermédiaire du Conseil des ministres).
NIS2 ouvre la voie à « des mesures pour un niveau commun élevé de cybersécurité dans toute l’Union », selon la Commission européenne. Une fois la NIS2 approuvée par le Conseil de l’Europe et le Parlement européen, les pays du bloc auront 21 mois pour transformer la directive en droit national.
La NIS2 complétera la directive originale sur les réseaux et les systèmes d’information, qui est entrée en vigueur en 2018. Les mesures comprennent l’obligation pour les États membres de l’UE d’adopter une stratégie nationale de cybersécurité et l’obligation d’appliquer les réglementations en matière de cybersécurité aux entreprises couvertes par la réglementation, y compris une 24 Obligation de rapport d’incident d’une heure.
NIS2 appelle également à une coopération et un échange d’informations améliorés entre les États membres et à davantage de partage d’informations entre les entreprises couvertes par la directive. NIS2 couvre deux catégories d’organisations, ou « entités » : les entités « essentielles », comprenant l’énergie, les transports, la santé, l’eau, l’espace, l’administration publique, les infrastructures numériques et les marchés bancaires et financiers, et les entités « importantes », qui couvrent les services postaux. , la fabrication et la production alimentaire, entre autres.
Bien que les petites entreprises soient exclues du règlement, la plupart des entreprises des secteurs essentiels et importants seront couvertes, ce qui donnera à NIS2 un champ d’application beaucoup plus large que son prédécesseur.
L’évolution vers NIS2 est largement saluée par le secteur de la cybersécurité. La gorgée quotidienne a interrogé une sélection d’experts pour connaître leur point de vue.
Jon France, RSSI de (ISC)2
« NIS2, en tant qu’évolution évolutive par rapport à NIS, est la bienvenue, en particulier à la lumière de la numérisation rapide de nombreuses industries et de leur dépendance accrue à l’infrastructure des communications. NIS2 met les choses à jour, avec l’inclusion d’un certain nombre de technologies supplémentaires, telles que les télécommunications et les secteurs, le tout à l’appui de bons résultats en matière de sécurité.
Son adoption dans la législation des différents États membres de l’UE dans les mois et les années à venir intégrera davantage les considérations et les exigences en matière de cybersécurité au profit de tous les citoyens de l’UE.
Steve Cottrell, CTO EMEA chez Vectra, société de détection et de réponse aux menaces
«En vertu de la précédente directive NIS, les États individuels pouvaient exercer un certain pouvoir discrétionnaire lors de la définition des organisations entrant dans la catégorie des opérateurs de services essentiels. Cela a conduit les États à adopter et à appliquer des interprétations différentes, ce qui a rendu difficile la réalisation d’un niveau de référence standard de cybermaturité dans l’ensemble de l’UE. La directive NIS2 aborde directement ce problème en énonçant et en détaillant un critère de taille maximale pour garantir que les moyennes et grandes organisations sont dans le champ d’application.
« Lors de tout cyberincident à grande échelle, il est essentiel que les autorités des États de l’UE et de tout le continent aient la capacité de coordonner efficacement les efforts et de partager les informations en temps réel aussi proche que possible. Il est extrêmement positif de voir que la directive demande la mise en place de UE-CyCLONe [a cyber crisis management hub]qui coordonnera la gestion efficace des cyberincidents paneuropéens majeurs dans ses États membres.
Le Parlement européen a accordé l’approbation provisoire de NIS2 au début du mois
Phil Robinson, fondateur de Prism Infosec
« [The] La directive NIS2 étendra la législation d’origine pour inclure [organizations] essentiels au maintien d’une économie saine et d’une société qui fonctionne. NIS2 se concentrera également sur l’amélioration de la résilience des chaînes d’approvisionnement et des relations avec les fournisseurs en veillant à ce que les risques soient gérés au sein de ces processus.
« L’évolution de la législation sur la cybersécurité est à saluer. Il stimulera la réglementation et la conformité et garantira que l’identification et la gestion des risques figurent parmi les priorités des conseils d’administration. Cela dit, il est important de s’assurer que le processus de conformité est approprié et pragmatique et qu’il continue d’évoluer pour répondre aux menaces de cybersécurité changeantes auxquelles les organisations sont confrontées.
Martin Walsham, directeur de la cybersécurité chez AMR CyberSecurity
« La proposition NIS2 apporte un changement systématique et structurel à la directive NIS, élargissant le champ des organisations relevant de sa compétence. Il assure un meilleur encadrement et une plus grande cohérence dans sa mise en œuvre dans le but d’améliorer la cyber-résilience de l’Union.
« Les mérites de NIS2 doivent être clairement visibles au niveau national pour les États membres et pour l’industrie dans les secteurs concernés, [creating a] un écosystème numérique stable, sécurisé et résilient pour contrer un contexte de cybermenace de plus en plus hostile.
« En regardant la mise en œuvre initiale du NIS à travers le Royaume-Uni, il est clair qu’il y a eu des différences significatives dans l’efficacité de la mise en œuvre, dans divers secteurs. Cela dépend du régulateur spécifique et de son approche adoptée pour les contrôles, l’évaluation et l’audit de conformité.
« Cependant, nous nous attendons à ce que l’industrie soit prudente quant à l’adoption de cette nouvelle législation, en particulier compte tenu des nombreux défis commerciaux auxquels de nombreux secteurs sont déjà confrontés. Les domaines spécifiques où l’industrie est susceptible d’être touchée comprennent les coûts supplémentaires et les charges administratives, les incohérences dans la mise en œuvre entre les États membres et les amendes trop lourdes.
Trevor Dearing, directeur EMEA des infrastructures critiques chez Illumio
« Il est encourageant de voir les pays et les législateurs de l’UE reconnaître l’impact catastrophique des cyberattaques réussies dans tous les secteurs, en acceptant des règles de cybersécurité plus strictes pour les entreprises allant des grandes entreprises d’énergie et de transport aux fournisseurs numériques et aux fabricants de dispositifs médicaux.
« Maintenant que la directive NIS2 a été adoptée, la prochaine étape consiste à la transposer dans la législation de chaque État membre. Cela ne devrait pas prendre trop de temps car en théorie cela ne nécessite qu’une mise à jour de la stratégie de cybersécurité de chaque pays. Cependant, étant donné que le NIS2 peut ne pas entrer en vigueur dans tous les pays en même temps, il existe un risque d’application temporairement incohérente des nouvelles réglementations, que les pays devront naviguer.
« Sur une note positive, NIS2 inclut de rendre la haute direction plus responsable de la cybersécurité au sein de leurs organisations et de s’assurer qu’une analyse des risques appropriée est effectuée. Le fait de culpabiliser chaque organisation individuelle devrait encourager un respect plus strict des réglementations en raison des amendes et des atteintes à la réputation qui en résultent pour avoir négligé de le faire.
« De plus, alors que NIS2 est un Européen [Union] directive, le Royaume-Uni met à jour ses règles en parallèle.
Chris Dimitriadis, directeur de la stratégie mondiale chez ISACA
« L’accord provisoire du Parlement européen et du Conseil est une étape très positive vers la finalisation du texte législatif d’une nouvelle directive à la fois modernisée et élargie.
« L’élargissement du champ d’application sur la base d’une règle de proportionnalité permet à la fois de mettre en œuvre une approche plus globale couvrant des secteurs supplémentaires et leurs chaînes d’approvisionnement et, en même temps, de maintenir un équilibre vers une mise en œuvre réaliste de la directive.
L’harmonisation des États membres par l’établissement de règles minimales pour un cadre réglementaire, ainsi que le renforcement du mécanisme de coopération entre ces États membres sont essentiels à la fois pour la mise en œuvre et, surtout, pour le suivi de la maturité de la mise en œuvre dans toute l’Europe. Il est également important de souligner que, selon NIS2, l’inspection et la supervision doivent être effectuées par des professionnels formés.
« En pratique, et pour que la législation soit efficace, l’Europe a besoin d’une main-d’œuvre hautement qualifiée pour exercer les tâches désignées par le SNI2. Des audits de sécurité internes et indépendants ciblés, l’évaluation des risques, la conception et la mise en œuvre de l’architecture de cybersécurité, ainsi que la gestion et le signalement des incidents doivent être effectués par des professionnels certifiés en matière de risques, de cybersécurité et d’audit qui comprennent à la fois les technologies émergentes mais aussi comment mesurer la cybermaturité dans un manière continue.
« J’attends avec impatience l’achèvement du cadre de sécurité global qui intègre toutes les réglementations et directives mises à jour, y compris NIS2, DORA, CER et le Cyber Resilience Act, qui contribuent à une UE plus sûre. »
