NIS2 (Network and Information Security)
Son objectif principal ? élever le niveau de sécurité numérique en France en permettant aux entités concernées de mieux se protéger face aux menaces.
Cette seconde version de la directive NIS s’appuie sur les acquis de la directive NIS1. Elle marque un réel changement de modèles, tant sur le plan national qu’européen. Face à des cybercriminels plus performants et mieux équipés, touchant de plus en plus d’organisations, la directive NIS2 élargit ses objectifs ainsi que son champ d’application pour une sécurité plus forte et plus aboutie.
En quoi consiste concrètement la directive NIS2 et quelles vont être ses particularités ?
Cette directive est importante d’un point de vue stratégique pour les pays membres de l’Union Européenne, car sa mise en application va permettre à un grand nombre d’entités de pouvoir mieux se protéger. Sa mise en vigueur sur le second semestre 2024, permettra en parallèle de mobiliser largement le tissu économique national ainsi que le secteur public. La coopération des Etats membres sera également renforcée en matière de gestion de crise cyber.
La directive NIS2 inclus désormais un mécanisme de proportionnalités, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité à savoir : les entités essentielles et les entités importantes. Une notion qui sera bien évidemment prise en compte pour définir les exigences adaptées et proportionnelles aux enjeux de chacune de ces catégories.
Un autre élément majeur de la directive NIS2 et qui diffère de la première version (NIS1), est le renforcement de son régime de sanction, qui s’appliquera à toutes les entités concernées. Le mécanisme prévu pourra selon les infractions se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité en question.
À qui s’adressera la directive NIS2 ?
La directive NIS2 s’appliquera à l’échelle nationale à un grand nombre d’entités appartenant à plus de 18 secteurs d’activité. C’est aussi environ 600 types d’entités différentes qui seront concernées, parmi elles des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.
La chaîne d’approvisionnement, les administrations, les collectivités territoriales, ainsi que les acteurs du numériques seront eux aussi concernés par ce dispositif. De plus en plus ciblés par les cybers criminels, ils verront leur niveau de sécurité numérique renforcé.
Pour en savoir plus sur la directive NIS2 n’hésitez pas à consulter notre guide via le lien ci-dessous.
CRA (Cyber Resilience Act)
En parallèle de la refonte de la directive « Network and Information Security » (NIS2), la présidente de la commission européenne a prononcé en septembre 2021 la préparation d’un nouvel acte législatif sur la cyber-résilience, le « Cyber Resilience Act » (CRA).
Conçu sur la base de la stratégie de cybersécurité de l’UE de 2020, le CRA introduit des règles communes en matière de cybersécurité pour les fabricants et développeurs de produits comportant des éléments numériques. Cela couvre notamment le matériel et les logiciels. L’objectifs de cette loi est de protéger les consommateurs et les entreprises des risques en matière de cybersécurité dans leur utilisation des matériels filaires et connectés, ainsi que les logiciels.
En quoi consistent ces nouvelles obligations ?
Une série de mesures s’articulent autour de deux axes principaux. Cela prévoit le renforcement du niveau de cybersécurité des produits, ainsi que le renforcement du niveau d’information à destination des consommateurs et des entreprises.
Ces mesures instaurées détermineront :
- Les règles à respecter lors de la mise sur le marché des produits visés par la réglementation en matière de cybersécurité ;
- Les obligations des fabricants lors de la conception, du développement et de la production des produits ;
- Les exigences essentielles applicables aux fabricants durant l’intégralité du cycle de vie du produit.
- Les informations relatives à la sécurité des produits, au support technique proposé par le fournisseur ou encore à l’installation des mises à jour de sécurité. Ces dernières devront figurer sur l’ensemble de la documentation accompagnant les produits.
À noter que le législateur entend contrôler l’application de ces nouvelles obligations. Il est prévu que les Etats membres nommeront des autorités de surveillance du marché responsables de l’application des obligations prévues par le CRA. Les prérogatives instaurées par ces autorités seront assorties d’un pouvoir de sanction avec des amendes qui pourront atteindre 2,5% du chiffre d’affaires ou encore 15 millions d’euros.
DORA (Digital Cyber Resilience Act)
Qu’est-ce que DORA (Digital Cyber Resilience Act) ?
Le règlement européen sur la résilience opérationnelle numérique du secteur financier, nommé DORA (Digital Cyber Resilience Act), est une loi instaurée par la Commission européenne pour renforcer la résilience opérationnelle au sein du secteur financier européen.
La loi DORA a été rédigée en réaction à la numérisation croissante du monde financier et à la nécessité de gérer les risques qui y sont liés. Elle repose notamment sur 5 piliers : la gouvernance et la gestion des risques, qui est en effet devenue cruciale à une époque où le secteur financier est devenu l’une des cibles privilégiées des cybercriminels, la notification des incidents, les tests de résilience, le risque lié aux tiers et le partage d’information.
Pour autant malgré l’urgence de la situation en matière de menaces, la Commission européenne a autorisé un délai d’application de deux ans, à compter du 16 janvier 2023. Il est donc conseillé aux entreprises de commencer à se préparer pour assurer leur conformité avec toute une série de mesures qui s’appliquera à partir du 17 janvier 2025. Sans quoi une non-conformité pourra entrainer des sanctions financières conséquentes.
Quelles sont les entités concernées par le règlement ?
La loi DORA s’applique à presque toutes les entités financières de l’Union européenne. Les premières institutions qui viennent à l’esprit sont les banques, mais en parallèle de nombreuses autres sociétés en sont également concernées (Cf article 2).