Directive NIS2 : il est urgent pour les entreprises de ne plus attendre

Dans un monde où le numérique devient le pilier central de notre économie et de notre société, la cybersécurité n’est plus une option mais une nécessité absolue. La directive NIS2, qui succède à la directive NIS1, représente une avancée majeure dans l’Union Européenne pour renforcer la cybersécurité et en harmoniser l’approche.

Le Cesin, en tant que porte-voix des experts en sécurité de l’information, appelle les entreprises, les administrations et les collectivités locales à entamer les travaux dès maintenant, en se basant sur les textes existants en dépit d’une transposition retardée de cette directive dans notre législation nationale.

Afin de répondre à l’évolution de la menace cyber qui, en devenant systémique, cible désormais l’ensemble du tissu social et économique de manière indifférenciée, la directive NIS2 élargit le périmètre des entités concernées, incluant désormais des secteurs essentiels de notre économie qui jusqu’ici n’étaient pas soumis à des exigences de sécurité aussi strictes.

Cela inclut des entreprises et administrations de toutes les tailles, notamment les fournisseurs de services de confiance, les opérateurs de réseaux de communications électroniques, et même certains acteurs de la santé et des transports ainsi que certaines collectivités territoriales dès lors qu’elles présentent une sensibilité particulière du fait de leur taille (régions, départements ou communautés de communes) ou du secteur dans lequel s’inscrivent leurs activités. Cette extension est cruciale, car la chaîne de sécurité est aussi forte que son maillon le plus faible.

• Une cybersécurité renforcée et proportionnée

La directive NIS2 impose des mesures de sécurité plus robustes, une gestion proactive des risques, et des obligations de reporting qui permettront de mieux prévenir et répondre aux cyberattaques ;

• Adaptation du niveau d’exigences

Afin d’adapter le niveau d’exigences à la menace, aux capacités et à la criticité des entités concernées, la directive NIS2 identifie deux catégories d’entités régulées, « essentielles » et « importantes », en fonction des services qu’elles fournissent et de leur taille, et avec des mesures de sécurité différentes ;

• Harmonisation européenne

Grâce aux règles minimales de cybersécurité communes à tous les États membres (ce qui fait du sens dans un marché unique) et la coopération cyber entre États membres pour répondre de manière plus coordonnée et cohérente aux attaques cyber ;

• Protection des données et renforcement de la confiance

Avec l’augmentation des cyberattaques, la confiance des citoyens et des entreprises dans les infrastructures numériques est en jeu. La directive NIS2 aide à restaurer et maintenir cette confiance ;

• Compétitivité économique

Les entreprises soumises à des standards de cybersécurité élevés seront plus compétitives sur le marché international, où la sécurité est désormais un critère de choix de partenaires et de prestataires ;

• Sensibilisation des directions générales

La directive NIS2 permettra de sensibiliser et surtout responsabiliser les dirigeants sur la prise en compte du risque cyber de leur entreprise ;

• Sécurisation de la chaine de valeur

NIS2 permettra un maillage cohérent du niveau cyber de toute la chaine de valeur et de production de l’entreprise, étendue à ses fournisseurs.

« Le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » a fait l’objet d’un examen en Conseil des ministres le 15 octobre dernier.

Le Cesin exhorte le gouvernement à considérer la transposition de la directive NIS2 comme une opportunité stratégique. Une transposition rapide et efficace qui :

• Renforcera notre posture de sécurité nationale face aux cybermenaces qui ne cessent de croître en sophistication et en fréquence ;

• Stimulera l’innovation dans le secteur de la cybersécurité, poussant les entreprises à développer de nouvelles solutions pour répondre aux exigences
  de la directive ;

• Sensibilisera les dirigeants et les employés à l’importance de la cybersécurité, un aspect souvent sous-estimé jusqu’à ce qu’une crise survienne.

Le Cesin encourage les dirigeants à ne pas retarder les travaux de renforcement de cybersécurité et de :

• Identifier si la directive NIS2 s’applique à leur entité (l’Anssi met notamment à disposition des entités un espace numérique “MonEspaceNIS2” permettant de déterminer si l’entité relève de la règlementation) ;

• Réaliser dès lors une analyse d’écart avec la directive NIS2 ;

• Supporter les équipes cyber pour la prise en compte des mesures ;

• Valider le budget pluriannuel nécessaire à sa mise en oeuvre.

Le Cesin vise à conscientiser et encourager une action rapide tant sur le plan législatif, pour ne pas retarder davantage la transposition, que sur le plan opérationnel afin que les entités concernées s’engagent dès à présent dans leurs travaux internes de sécurisation, sans attendre le délai de 3 ans annoncé par l’Anssi pendant lequel elle ne prévoit pas de sanctions relatives à la mise en place des mesures de sécurité.

Cependant l’Anssi souligne à juste titre qu’elle n’attendra pas trois ans pour exiger certaines choses simples comme l’enregistrement auprès de l’Anssi des entités régulées ou encore la notification des incidents.

Depuis 2017, de nombreuses actions concrètes ont été entreprises en matière de cybersécurité :

• Création du Commandement de la cyberdéfense (COMCYBER) en 2017, centralisant les efforts de défense cyber des armées françaises ;

• Plan de lutte contre les cyberattaques annoncé en 2021, doté d’un budget d’un milliard d’euros, visant à tripler le chiffre d’affaires de la filière cyber d’ici 2025, doubler le nombre d’emplois dans le secteur, et renforcer la recherche et l’innovation en cybersécurité ;

• Développement de l’innovation de nos fournisseurs de sécurité (services et produits) au travers des différents plans de France 2030 ;

• Impulsion des Cyber Campus à La Défense puis dans les régions pour réunir les compétences et développer la recherche en France ;

• Sensibilisation et formation, avec des initiatives pour doubler le nombre d’emplois dans le secteur et promouvoir une culture de la cybersécurité à travers des campagnes de sensibilisation, comme le mois d’octobre dédié à la cybersécurité.

Ces initiatives montrent une stratégie globale et proactive, allant de la protection des infrastructures critiques à l’éducation et la coopération internationale.

Ne laissons pas la cybersécurité être notre talon d’Achille. Transposons la directive NIS2, non pas parce que nous le devons, mais parce que nous le pouvons, et devons le faire, pour la sécurité et la compétitivité de la France.