Et d’ici octobre 2024, tous les Etats membres devront l’appliquer dans le cadre de leur législation nationale.

Zimperium, la plateforme de sécurité mobile de référence pour les appareils et les applications, dresse la liste des 8 points clés à retenir sur NIS 2.

1. La mise en œuvre de NIS 2 est justifiée par des arguments solides

Les cyberattaques se sont multipliées dans l’UE comme dans la quasi-totalité du reste du monde et coûtent de plus en plus cher aux entreprises. La Commission européenne a donc décidé de renforcer la directive initiale, NIS. L’article 1 de NIS 2 donne un aperçu succinct de l’objectif recherché : établir des « mesures visant à obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer le fonctionnement du marché intérieur ».

2. NIS 2 est un référent non négociable

NIS 2 traduit la volonté de la Commission européenne d’établir un niveau de sécurité commun, suffisant et évolutif s’appliquant à toutes les entreprises concernées. L’article 5 stipule notamment que la directive « n’empêche pas les États membres d’adopter ou de maintenir des dispositions assurant un niveau plus élevé de cybersécurité... ». Néanmoins, la directive NIS 2 doit être considérée comme le strict minimum en matière d’obligation et comme une exigence incontournable et non négociable pour la sécurité.

3. NIS 2 impacte un large éventail de secteurs

Contrairement à la version initiale, la directive NIS 2 s’applique à la quasi-totalité des entités contribuant au fonctionnement quotidien de l’UE ou à la vie de ses citoyens. Les constructeurs automobiles, les distributeurs de produits alimentaires, les banques, les détaillants, les transporteurs, les agences de gestion des déchets, etc., sont ainsi désormais concernés.

4. NIS 2 s’applique à tous les appareils connectés en réseau

NIS 2 s’applique à « tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés » ainsi qu’aux systèmes dans lesquels des « données numériques [sont] stockées, traitées, récupérées ou transmises ». Les équipes de sécurité doivent donc prendre en compte les ordinateurs de bureau et portables, les dispositifs IoT, les imprimantes, les téléphones mobiles et les tablettes. À cela s’ajoutent aussi les bases de données et applications d’entreprise et les applications mobiles. Les appareils et les applications doivent pouvoir résister à toutes les cyberattaques, notamment les attaques inconnues ou de type « zero-day » qui ciblent les appareils mobiles.

5. La directive NIS 2 met les équipes de direction face à leurs responsabilités

Selon l’article 20 en cas de non-conformité la responsabilité des « organes de direction des entités essentielles et importantes ». En conséquence, il incombe aux directions d’approuver les mesures de cybersécurité et d’en assumer la responsabilité en cas de violation de la directive. L’objectif est de créer un sentiment d’urgence concernant la mise en œuvre de la directive et de définir clairement les responsabilités en cas de non-respect.

6. Les obligations de la directive NIS 2 sont exhaustives

L’article 21 énonce les obligations relatives à l’analyse des risques et à la sécurité des systèmes d’information, notamment la gestion des incidents, la sécurité de la chaîne d’approvisionnement, la continuité des activités et l’utilisation de la cryptographie et, le cas échéant, du chiffrement. Dans tous ces domaines, les équipes devront mettre en place des flux de travaux et des technologies robustes et auditables.

7. NIS 2 s’applique à toute l’UE et au-delà de ses frontières

Toute entité régie par la directive NIS 2 doit assumer la responsabilité de « la sécurité de la chaîne d’approvisionnement, notamment les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ». Les organisations qui collaborent ou souhaitent collaborer avec des entreprises de l’UE, devront impérativement respecter les normes NIS 2 et attester des dispositifs de sécurité mis en place.

8. Le non-respect de NIS 2 implique de lourdes sanctions

Selon l’article 33, en cas de non-conformité, les dirigeants de la Commission européenne peuvent recourir à des mesures de contrôle qui peuvent être coûteuses et s’accompagner d’une charge de travail importante. Mieux vaut anticiper et mettre en place des mesures de sécurité dans le cadre d’une initiative mûrement réfléchie et planifiée. L’article 34, quant à lui, stipule qu’en cas de violation, les États membres peuvent infliger des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent d’une entreprise, le montant le plus élevé étant retenu.

Certes, les entreprises se sont déjà informées et ont réfléchi à l’application de NIS 2 en 2023 mais désormais, elles vont devoir réagir. La mise en conformité avec cette nouvelle directive représentera un effort important et généralisé pour les entreprises et leurs équipes de sécurité. Et le renforcement de la sécurité des appareils et des applications mobiles jouera également un rôle majeur dans cette initiative.