Le premier texte législatif de l'Union européenne concernant la cybersécurité est entré en vigueur en 2016. Bientôt, il devrait être remplacé par la directive NIS 2. Une loi qui apporte de nouvelles règles pour uniformiser ce secteur dans les pays membres de l'organisation supranationale. Les entreprises devront notamment respecter des exigences plus sévères.
Une nouvelle phase a débuté dans la standardisation des règles de cybersécurité au sein de l'Union européenne (UE). Le Parlement européen vient d'adopter la deuxième version de la directive NIS , sur la sécurité des réseaux et de l'information . Désormais, la prochaine étape sera l'examen de ce texte par le Conseil. Dès que cette institution l'approuvera de manière formelle, il pourra paraître au Journal officiel de l?UE.
Cette législation doit attirer l'attention des consultants cybersécurité en freelance , entre autres. Pour information, les salariés dans ce secteur peuvent adopter ce statut en suivant quelques démarches. Il suffit de choisir un statut juridique et de déclarer le début d'activité.
La législation pose un cadre pour anticiper les cyberattaques
Selon le député néerlandais Bart Groothuis, les cybermenaces ont beaucoup trop longtemps exercé des ravages sur le Vieux Continent. Il a notamment évoqué l'exemple des logiciels d'extorsion . L'élu a continué qu'une action s'impose pour accentuer la résilience des États et des entreprises européennes à des cyberattaques . Et de poursuivre que la NIS 2 aidera 160 000 entreprises et organisations à améliorer leur protection et à :
[...] Faire de l'Europe un endroit sûr où vivre et travailler. [...]
Bart Groothuis
D'après lui, cette directive facilitera également l' échange d'informations avec les partenaires autour du globe et le secteur privé. Le parlementaire a souligné qu'il s'agit de la meilleure loi traitant de la sécurité établie en Europe. Il a expliqué qu'elle transformera en effet le continent pour l'aider à gérer les opérations cyber hostiles de manière :
- Centrée sur le service ;
- Préventive.
Cette nouvelle législation introduit un nouveau système de classification des organisations et entreprises . Elles seront dorénavant réparties entre celles considérées comme « importantes » et celles qualifiées « essentielles ». Cette nomenclature est opérée selon les conséquences que leur dysfonctionnement engendrerait et leur degré de criticité. La NIS 2 instaure aussi une limite au-delà de laquelle ces entités seront obligées de suivre les nouvelles règles.
La portée de la NIS a été étendue
La nouvelle directive exige à ces entreprises et organisations importantes/essentielles de prendre des dispositions organisationnelles, opérationnelles et techniques adéquates. Ceci pour répondre aux risques auxquels sont exposés les systèmes d'information et les réseaux . Ces mesures porteront par exemple sur :
- Le recours à des méthodes d'authentification à facteurs multiples ;
- Un contrôle d'accès approprié ;
- L'utilisation de solutions cryptographiques ;
- L'étude des risques encourus ;
- Etc.
Cette stratégie devra par ailleurs considérer les sous-traitants. Bart Groothuis a noté que les grandes entreprises sont dans plusieurs cas piratés à travers ces derniers .
Le champ d'application de la directive a en outre été élargi à d'autres secteurs . Y sont dorénavant intégrés la fabrication de produits pharmaceutiques et chimiques, l'alimentation, les services postaux, ainsi que :
- La gestion de déchets ;
- Les réseaux d'eaux usées ;
- Les prestataires de services digitaux ;
- La filière spatiale ;
- Les administrations publiques.
La NIS ne visait jusqu'ici que certaines infrastructures digitales, les réseaux d'eau, la santé. Sans oublier les institutions financières et banques, mais aussi les acteurs des transports et de l?énergie.
Durant les négociations, les parlementaires ont souligné la nécessité de règles détaillées et nettes pour les entreprises. Ce besoin a également été formulé pour inclure le maximum d'entités gouvernementales et publiques dans le périmètre de la loi.