Avec la directive NIS 2 adoptée jeudi 10 novembre par le Parlement européen, l’Union européenne cherche à renforcer et harmoniser les règles en matière de cybersécurité dans des secteurs clés.
Elle viendra remplacer la directive NIS de 2016. La directive sur la sécurité des réseaux et des systèmes d'information (NIS 2) a été adoptée par le Parlement européen jeudi 10 novembre. Elle introduit de nouvelles règles afin de renforcer les exigences et muscler la cybersécurité dans l'UE, pour les entreprises comme pour les États membres. « Les rançongiciels et autres cybermenaces s'attaquent à l'Europe depuis bien trop longtemps. Nous devons agir pour rendre nos entreprises, nos gouvernements et notre société plus résistants aux cyberopérations hostiles », a justifié dans un communiqué le député européen Bart Groothuis (Renew, NL).
Pour tendre vers cet objectif, la loi va obliger « davantage d'entités et de secteurs à prendre des mesures de gestion des risques de cybersécurité ». Des secteurs jugés essentiels comme l’énergie, les transports, les banque, la santé, les infrastructures numériques de l’administration publique et de l’espace. Ce sont aussi les services postaux, la gestion des déchets, les produits chimiques, l'alimentation, la fabrication de dispositifs médicaux, ou encore les fournisseurs numériques qui devront suivre les nouvelles règles. Au total, Bart Groothuis estime que 160 000 entités auront à renforcer leur sécurité.
Obligation de déclaration
Dans le détail, cette directive doit fixer des obligations de cybersécurité plus strictes concernant la gestion des risques, les obligations de déclaration et le partage d'informations. Les exigences seront revues à la hausse concernant notamment la réponse aux incidents, la sécurité de la chaîne d'approvisionnement, le chiffrement et la divulgation des vulnérabilités. Les sanctions appliquées par les États membres seront harmonisées et la coopération renforcée, « y compris sur les incidents à grande échelle, sous l'égide de l'Agence de l'UE pour la cybersécurité (ENISA) », précise le Parlement. La directive doit encore obtenir le feu vert du Conseil de l’Union européenne. Suite à quoi les États membres auront 21 mois pour la mettre en oeuvre.