LEBIGDATA.FR I.A, Cloud & Cybersécurité
L'Union européenne vote en faveur de la nouvelle directive NIS2 pour renforcer la cybersécurité. Il s'agit d'une mise à jour de la directive NIS (directive sur la sécurité des réseaux et de l'information) adoptée en 2016.
NIS2 : un accord provisoire du Parlement européen
NIS a été adoptée en 2016. Cette directive était la première législation européenne sur la cybersécurité. Grâce à ce cadre, les fournisseurs d'infrastructures et de services critiques sont tenus de mettre en place des mesures de sécurité appropriées. Ceci, afin de gérer le cyber-risque et maintenir la résilience en cas d'incident.
Le NIS permettait une meilleure gestion de la sécurité, d'optimiser la protection contre les cyberattaques, de mieux détecter les menaces et de minimiser l'impact des attaques. Cette première version comporte quelques lacunes.
En effet, la transformation numérique (migration vers le cloud, boom de l'IoT, travail en ligne impulsé par la Covid-19 …) a fait émerger de nouveaux risques. D'où la mise à jour de la directive NIS. La nouvelle version a obtenu l'accord provisoire du Parlement européen avant l'adoption définitive.
Un cadre d'application plus large, des exigences de sécurité renforcées
La directive NIS2 couvre de nouveaux secteurs, notamment celui de l'énergie, des transports, des marchés financiers, de la santé et des infrastructures numériques. Les propositions visent à renforcer les exigences de sécurité en imposant une approche de gestion des risques.
Cela implique entre autres la réponse aux incidents et la gestion des crises. Les organisations doivent signaler les incidents de cybersécurité aux autorités dans les 24 heures. Les nouvelles dispositions encadrent également la gestion et la divulgation des vulnérabilités, les tests de cybersécurité et l'utilisation efficace du chiffrement. La NIS2 vise aussi à assurer la sécurité des chaînes d'approvisionnement.
NIS2 inclut par ailleurs des mesures de surveillance plus exigeantes pour les autorités nationales. La directive impose des exigences d'application plus strictes et vise à harmoniser les régimes de sanctions dans les États membres de l'UE.
Exception prévue pour la Défense et la sécurité nationale
La nouvelle directive stipule que « les solutions d'accès légal aux informations dans les communications cryptées de bout en bout doivent maintenir l'efficacité du cryptage dans la protection de la confidentialité et de la sécurité des communications, tout en offrant une réponse efficace à la criminalité ».
Néanmoins, en termes de champs d'applications, le Conseil européen propose d'exclure de la directive les organisations opérant dans les domaines de la défense, la sécurité nationale et la sécurité publique. L'exception concerne aussi l'application de la loi, le pouvoir judiciaire, les parlements et les banques centrales.
Dès que la directive entrera en vigueur, les États membres de l'Union européenne ont 21 mois pour intégrer les dispositions dans leur législation.
- Partager l'article :
