L’évolution de la menace toujours plus importante et la dimension internationale de la cybercriminalité, comme tendent à le démontrer les dernières attaques d’ampleur, ainsi que l’interconnexion entre les secteurs de l’économie mondiale nécessitaient une harmonisation des législations et une coopération accrue entre les États membres de l’Union européenne. Avec cet objectif, la directive NIS 1.0 sur la cybersécurité de 2016 a été révisée en opérant un réel changement de paradigme, donnant ainsi naissance à la directive NIS 2.0 qui vise à assurer un niveau élevé commun de cybersécurité des réseaux et des systèmes d’information en Europe, ainsi qu’à renforcer la résilience des infrastructures informatiques de l’Union européenne face aux cyberattaques.
Au travers de cette directive, l’Union européenne a pris le parti d’harmoniser les règles de sécurité applicables aux secteurs selon leur niveau de criticité. La directive NIS 2.0 élargit en effet ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection. Cette extension du périmètre prévue par la directive NIS 2.0 est sans précédent en matière de réglementation cyber. La directive impose aux entreprises des normes de sécurité renforcées et élargit considérablement le nombre de secteurs couverts par rapport à la première version de la directive, engendrant un accroissement considérable du nombre d’entités concernées. En effet, le nombre de secteurs passe de 9 secteurs critiques à 11 secteurs hautement critiques et 7 autres secteurs critiques. Si l’objectif poursuivi par la directive est louable, il faut néanmoins garder à l’esprit que cela n’empêchera malheureusement pas une cyberattaque de se produire, mais instaure des mécanismes de protection et des moyens pour les détecter au plus tôt.
Si l’ensemble des États membres de l’Union européenne doit avoir transposé la directive en loi nationale d’ici le 17 octobre 2024, les entreprises concernées devront elles aussi mettre en place d’ici-là le set minimal de règles listées pour être en conformité avec les exigences de sécurité. Il ne suffira pas d’adopter des mesures techniques, ces dernières doivent également être opérationnelles et organisationnelles. Par ailleurs, la responsabilité des dirigeants s’en voit engagée en cas de violation des obligations. Les membres des organes de direction des entités concernées doivent suivre des formations, approuver les mesures de gestion des risques entreprises et superviser leur mise en œuvre. Les entreprises doivent donc investir dans la cybersécurité à plusieurs niveaux pour mieux se protéger.
Dans la mesure où le processus de désignation des opérateurs de services essentiels par les États membres est supprimé, il est difficile de connaitre le nombre d’entités tombant dans le champ d’application de la directive. En effet, les entreprises de taille moyenne ou les grandes entreprises appartenant à un secteur hautement critique de l’annexe I ou à un autre secteur critique de l’annexe II sont automatiquement classées comme « entité essentielle » ou « entité importante », selon un mécanisme de proportionnalité en fonction de leur niveau de criticité. Dès lors, il incombe à chaque entité de réaliser un travail d’évaluation pour déterminer si elle tombe dans le champ d’application de la directive. Chaque entité devra ensuite s’auto-enregistrer auprès des autorités compétentes.
Si la directive introduit un mécanisme de notification obligatoire des incidents en deux étapes, certes, pour pouvoir récupérer le plus rapidement possible toutes les informations pouvant permettre d’enrayer la diffusion d’attaques du même type et enrichir les plans de résilience futurs, ce processus de notification doit être facilité pour réduire la charge administrative pour les entités qui donneront la priorité à limiter les impacts de l’incident.
Au regard de tout ce qui précède, il est important que les entreprises débutent d’ores et déjà le travail d’appréhension des exigences de la directive ainsi que le travail de mise en conformité. Néanmoins, malgré la charge administrative et les coûts engendrés, la directive NIS 2.0 doit être perçue comme une opportunité sous plusieurs aspects. Une stratégie de cybersécurité solide permet aux entreprises de réagir rapidement face aux menaces tout en maintenant leurs processus opérationnels. De plus, si l’on considère que le coût de la reprise après une cyberattaque peut être élevé, l’amélioration de la cybersécurité peut contribuer à réduire ces coûts en limitant les dommages et en minimisant la nécessité d’une reprise coûteuse. Par ailleurs, les clients font confiance aux entreprises qui ont une stratégie de cybersécurité solide. Lorsque les entreprises améliorent leur cybersécurité, elles montrent à leurs clients qu’elles protègent leurs données et respectent leur vie privée. Dès lors, l’amélioration de la cybersécurité peut constituer un avantage concurrentiel. Les clients préfèrent de plus en plus les entreprises qui protègent leurs données et leurs informations et considèrent leur stratégie de cybersécurité comme fiable et sûre.
La FEDIL collabore étroitement avec les autorités compétentes afin d’avoir une règlementation nationale pratique pour les entreprises. En effet, les procédures de mise en conformité et les démarches administratives ne doivent pas être contraignantes outre mesure que ce soit, par exemple, lors de l’auto-enregistrement des entités auprès des autorités compétentes ou encore lors de la notification d’incidents.
De plus, dans son approche de soutien à la préparation des entreprises, la FEDIL continue d’accompagner ses entreprises membres dans l’appréhension de la directive ainsi que des exigences de mise en conformité mais aussi sa collaboration avec les autorités compétentes en termes de supervision.