Directive NIS-2

La directive NIS 2 est une directive européenne qui vise à garantir un niveau commun élevé de cybersécurité dans l’Union européenne. Elle remplace la directive NIS initiale de 2016 et renforce les exigences de sécurité, traite de la sécurité des chaînes d’approvisionnement et introduit des sanctions harmonisées. La directive NIS 2 a été adoptée par le Parlement européen et le Conseil de l’Union européenne fin 2022 et doit être appliquée dans l’Union européenne depuis le 18/10/2024. Les États membres doivent transposer la directive dans leur droit national.

La directive NIS 2 traite en premier lieu des exigences des entreprises :

Alors que la directive NIS 1 s’appliquait principalement aux infrastructures critiques et aux fournisseurs de services numériques pertinents, la directive NIS 2 élargit le périmètre des secteurs concernés, entre autres les entreprises manufacturières : construction de machines, fabricants d’équipements de traitement des données, dispositifs électroniques et optiques, équipements électriques, véhicules motorisés et pièces de véhicules motorisés, ainsi que construction de véhicules divers. Dans ces secteurs d’activités, les entreprises comptant plus de 50 employés ou réalisant un chiffre d’affaires ou un résultat annuel supérieur à 10 millions d’euros sont concernées.

Pour se mettre en conformité avec la directive NIS 2, les organisations concernées doivent prendre plusieurs mesures, notamment :

• Gestion des risques : mise en œuvre de processus d’identification et d’évaluation des risques.
• Mesures de sécurité : introduction de mesures techniques et organisationnelles pour réduire les risques.
• Signalement des incidents : mise en place de procédures de signalement des incidents de sécurité aux autorités compétentes.
• Surveillance et audits : contrôle et évaluation réguliers des mesures de sécurité.

L’application de la directive NIS 2 est assurée par les autorités publiques nationales des États membres de l’Union européenne, qui sont responsables de la surveillance et du respect de la directive. En Allemagne, l’autorité compétente est l’Office fédéral de la sécurité des technologies de l’information (BSI).

Mesures d’application :

1. Devoir de signalement : Les entreprises doivent signaler les incidents de sécurité. La directive NIS 2 introduit un système de signalement à trois niveaux afin d’améliorer la transparence et la capacité de réaction.
2. Mesures de surveillance : Le BSI dispose de pouvoirs étendus pour mener des audits et des inspections afin de vérifier le respect des exigences de sécurité.
3. Sanctions : En cas de non-respect de la directive, des sanctions peuvent être prises, qui varient en fonction de la gravité de l’infraction.

Assistance et conseils :
Le BSI offre une assistance et des conseils aux entreprises concernées afin de faciliter la mise en œuvre de la directive NIS 2. Les entreprises devraient prendre des mesures de manière anticipée pour améliorer leur sécurité informatique et ainsi se préparer à ces nouvelles exigences. L’Agence de l’Union européenne pour la cybersécurité (ENISA) propose de nombreuses informations utiles sur le thème de la cybersécurité.

La directive NIS 2, le Cyber Resilience Act et le règlement machines font partie d’un cadre réglementaire global de l’Union européenne visant à renforcer la cybersécurité et la résilience. Alors que la directive NIS 2 se concentre sur la sécurité des réseaux, des systèmes d’information et des exigences au niveau des entreprises, le Cyber Resilience Act a pour objectif d’améliorer la cybersécurité des produits contenant des éléments numériques. Le règlement machines complète ces mesures en définissant des exigences de sécurité pour les machines et les produits industriels.

• Autres prescriptions relatives à la cybersécurité industrielle (notamment la norme CEI 62443)
• Agence de l’Union européenne pour la cybersécurité (ENISA)