Cybersécurité : l’UE renforce à juste titre ses exigences envers les entreprises et le secteur public
Publié le 19 09 2022 | Mis à jour le 06 11 2024
En 2018, l’entrée en vigueur de la Directive NIS (Network and Information System Security) fixait des obligations de cybersécurité aux Opérateurs de Services Essentiels au sein de l’UE. En 2022, NIS-2 élargit nettement le champ des entités concernées et fixe des obligations de protection et de déclaration d’incidents qui contribueront à hausser la sécurité collective. Explications.
La législation ne peut pas tout, certes. Mais elle permet de fixer des cahiers des charges, des régimes de responsabilité et un agenda de déploiement de dispositions qui sans elle resteraient trop souvent à l’état de concepts théoriques. Cette 2ème version de la Directive NIS illustre précisément la contribution vertueuse de l’approche normative. En effet, si la V1 adoptée en 2016 a établi les obligations de sécurisation qui s’imposent désormais aux gestionnaires d’infrastructures critiques, les Opérateurs de Services Essentiels, cette nouvelle mouture est plus qu’une simple mise à jour.
Plus de cybersécurité pour plus d’entités privées et publiques
Pour commencer, elle s’appliquera à plus de 150 000 entreprises contre quelques centaines aujourd’hui. Au-delà de la douzaine de secteurs d’activités préalablement définis comme le traitement de l’eau, l’énergie, les télécommunications, l’alimentation ou les services financiers, des domaines supplémentaires sont concernés tels la gestion des déchets, la grande distribution, les services postaux, les fournisseurs d’accès à internet, les prestataires de datacenters, les secteurs de l’espace et de la recherche ou les entreprises de services numériques (ESN). Même les collectivités locales, avec une modulation laissée à chaque Etat membre, sont désormais incluses dans le champ de la directive. Assez logiquement, les administrations publiques sont officiellement déclarées comme relevant de ce dispositif plus exigeant.
Cette systématisation de la sécurité numérique contribue à envisager la protection de chaînes économiques prises dans leur globalité, afin de limiter l’action des attaquants qui exploitaient les faiblesses d’entités connectées à de grands donneurs d’ordres mais non soumises aux mêmes exigences en matière de cybersécurité. Soient autant de possibles points d’entrée.
Lire la suite (L'Usine Digital)