Le conseil de l’Europe adopte la directive NIS 2
La directive NIS2 sur la cybersécurité adoptée par le Conseil de l’Union européenne (UE) doit améliorer la résilience et les capacités de réponse aux incidents dans l’UE. Elle remplace la directive Network and Information Security (NIS) actuelle sur la sécurité des réseaux et des systèmes d’information. Elle servira de base de référence aux mesures de gestion des risques de cybersécurité et des obligations de déclaration dans tous les secteurs, la directive NIS2 vise à harmoniser les exigences en matière de cybersécurité et la mise en œuvre des mesures dans les différents États membres.
3 axes forts :
- Renforcer la coopération de l’UE en matière de gestion des incidents
« NIS2 établira la base de référence pour les mesures de gestion des risques en matière de cybersécurité et les obligations de déclaration dans tous les secteurs couverts par la directive, comme l’énergie, les transports, la santé et les infrastructures numériques », peut-on lire dans un communiqué du Conseil de l’UE. « La directive révisée a pour objectif d’harmoniser les exigences et les mesures en matière de cybersécurité dans les États membres en établissant des règles minimales pour un cadre réglementaire et en définissant des mécanismes pour une coopération efficace entre les autorités compétentes ». « Elle met à jour la liste des secteurs et des activités soumises à des obligations en matière de cybersécurité et prévoit des voies de recours et des sanctions pour en assurer l’application ». Elle mentionne également la création de l’European Cyber Crises Liaison Organization Network (EU-CyCLONe), un réseau européen d’organisations de liaison en cas de cyber-crises pour soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle.
- Des règles pour identifier les entités réglementées
NIS2 introduit une « règle de taille » pour identifier les entités réglementées, ce qui signifie que « toutes les entités de taille moyenne et grande opérant dans les secteurs ou fournissant des services couverts par la directive entreront dans son champ d’application ». Son texte comprend des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères de criticité bien définis pour permettre aux autorités nationales de déterminer d’autres entités couvertes.
- Rationaliser les obligations de déclaration
En outre, la nouvelle directive a été alignée sur la législation sectorielle, en particulier la loi sur la résilience opérationnelle numérique Digital Operational Resilience Act (DORA) pour le secteur financier et le Center for European Reform (CER) [ think tank basé à Londres…] qui a pour objectif d’améliorer la qualité du débat sur l’Union Européenne – sur la résilience des entités critiques, afin de fournir une clarté juridique et d’assurer la cohérence entre la directive NIS2 et ces actes ». Un mécanisme volontaire d’apprentissage par les pairs renforcera la confiance mutuelle et l’apprentissage des bonnes pratiques et des expériences dans l’Union, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité. Cette législation rationalisera également les obligations de déclaration afin d’éviter de provoquer une surdéclaration et de créer une charge excessive pour les entités couvertes.
