La directive NIS2 (Network and Information Systems Directive 2) marque un tournant majeur dans la réglementation européenne en matière de cybersécurité. Adoptée en janvier 2023, elle remplace la directive NIS originale de 2016 et élargit considérablement son champ d'application. Désormais, ce ne sont plus seulement les opérateurs de services essentiels qui sont concernés, mais un ensemble beaucoup plus large d'entités, incluant les administrations publiques, les fournisseurs de services numériques et de nombreuses PME opérant dans des secteurs critiques.
Parmi les principales nouveautés, on retrouve l'obligation de mettre en place une gouvernance de la cybersécurité au plus haut niveau de l'organisation. Les dirigeants peuvent désormais être tenus personnellement responsables en cas de manquement aux obligations de sécurité. Les entreprises doivent également notifier tout incident significatif dans un délai de 24 heures à l'autorité compétente, contre 72 heures sous l'ancienne directive.
Sur le plan technique, NIS2 impose la mise en œuvre de mesures de gestion des risques proportionnées, couvrant la sécurité de la chaîne d'approvisionnement, la gestion des vulnérabilités, le chiffrement et l'authentification multi-facteurs. Les organisations doivent également réaliser des tests de pénétration réguliers et maintenir des plans de continuité d'activité et de reprise après sinistre.
Pour se préparer efficacement, les organisations doivent d'abord déterminer si elles entrent dans le périmètre de la directive, puis réaliser une analyse d'écart entre leur posture de sécurité actuelle et les exigences NIS2. La mise en conformité passe par un programme structuré incluant la sensibilisation des dirigeants, la mise à jour des politiques de sécurité, le renforcement des capacités de détection et de réponse aux incidents, et la mise en place d'une veille réglementaire continue.
