L’heure tourne ? Au 17 octobre 2024, les 27 devront avoir adopté des lois de transposition permettant d’adapter à leur spécificité les principes généraux présents au texte de NIS2. Pour rappel, le 16 janvier 2023, le Parlement européen et le Conseil européen approuvent la directive (UE) 2022/2555 sur les mesures destinées à assurer un niveau élevé commun de cybersécurité à l’ensemble des 27 États membres.
NIS2, la France ne sera pas prête au 17 octobre 2024
Aujourd’hui, nous avons la certitude que la France ne parviendra pas à tenir la date butoir du 17 octobre. Et pour cause, la récente dissolution de l’Assemblée nationale le 9 juin 2024 à la suite de la défaite du camp présidentiel aux européennes, ne rend plus possible l’examen et le vote du projet de loi dans les temps. La France n’est pas seule concernée ! A ce jour, seuls quelques pays ont achevé la transposition du texte : l’Espagne, la Hongrie et la Croatie.
Avons-nous des raisons de nous inquiéter ? Lors du traditionnel discours d’ouverture des Assises de Monaco, Vincent Strubel, directeur général de l’ANSSI (agence nationale de la sécurité des systèmes d’information), indiquait que compte tenu de la situation politique en France, une adaptation de NIS2 au droit français prendra du temps. L’ANSSI, chargée de faire appliquer la directive, laissera trois ans aux entités concernées pour se conformer ; en se montrant toutefois intransigeante devant quelques obligations simples, comme le fait de montrer les investissements menés dans des solutions de cybersécurité…
Comprendre NIS2
NIS2 marque un véritable changement par rapport au premier texte. Dans sa nouvelle version, NIS2 est étendu à 18 secteurs contre 12 en 2016 (répartis en secteurs dits critiques ou hautement critiques), NIS2 englobe un champ élargi visant 600 types d’entités différentes (plus de 1000), fournisseurs de services numériques et communes de plus de 30.000 habitants. Elle vise à renforcer les mesures de sécurité des entités régulées sur plusieurs sujets dont la prévention, la détection, la réponse aux incidents de cybersécurité, la continuité d’activité et gestion de crise et la gestion de risques liés aux tiers. Non seulement NIS2 s'accompagne d'un périmètre élargi et d'exigences de sécurité renforcées, mais il introduit également un nouvel état d'esprit dans l'industrie de la cybersécurité. Alors que NIS1 adoptait une approche réactive, pénalisant les organisations après une violation, NIS2 fait évoluer l'industrie vers une approche proactive, où les organisations risquent des amendes pour des mesures de sécurité inadéquates avant même qu'une violation ne se produise.
Les exigences opérationnelles de NIS2 ne sont pas un simple exercice de conformité.
Il y a un défi majeur dont les entités doivent être pleinement conscientes : la visibilité. S’il existe une multitude de conseils pour mettre en œuvre NIS2 et d'innombrables fournisseurs pour aider, le constat est simple : les organisations doivent avoir une compréhension holistique de leur système d’information. Tout le reste n’est que châteaux de carte – tout s’effondrera ! Les entités concernées doivent adopter des solutions avancées qui offrent une intelligence sur les actifs en temps réel, une analyse des vulnérabilités, une détection des menaces optimisée par l’IA et des informations contextuelles sur les incidents et une remédiation, afin que les équipes de sécurité puissent prendre des décisions éclairées en matière de gestion des risques. Tout ceci ne se fera pas en un jour.
A la question de savoir si l’heure tourne, nous répondons oui ; sauf à nouer un partenariat avec un éditeur ayant une parfaite maîtrise des nouveaux enjeux organisationnels et opérationnels de la cybersécurité.