1. IN Groupe – Français
  2. /
  3. Newsroom
  4. /
  5. Observatoire
  6. /
  7. NIS-2 : l’impact de la Directive Network and Information Security sur la cybersécurité en Europe

Retour

NIS-2 : L'impact de la Directive Network and Information Security sur la Cybersécurité en Europe

Le 10 novembre 2022, les membres du Parlement européen ont donné leur aval à la directive NIS-2, une étape clé visant à instaurer une harmonisation accrue et un renforcement significatif de la cybersécurité sur le marché européen. 
NIS2_cybersécurité

1. Renforcer les mesures de sécurité cyber

La directive NIS-2 constitue le nouvel ensemble de réglementations en matière de cybersécurité, instaurant des obligations pour les entités opérant au sein de divers secteurs jugés cruciaux. A titre d’exemple, elle impacte désormais environ 600 types d'entités distinctes en France.

cybersécurité_NIS_2_mesures

Avant 2016, la gestion de la menace cyber s’effectuait au niveau national avec pour conséquence un manque de coordination des Etats membres dans la gestion, le traitement ou la prévention des risques cyber. En juillet 2016, l’adoption de la directive NIS en tant que première législation européenne relative à la cybersécurité constituait un cadre commun à l’ensemble de l’Europe et posait les fondamentaux de la gestion du risque cyber à grande échelle en établissant notamment la notion d'opérateur de service essentiel (OSE). Cette dénomination regroupe les organisations publiques et privées jouant un rôle crucial pour l’intérêt général et dont une faille de sécurité informatique aurait un impact sur la continuité de certains services considérés essentiels voire critiques.

La directive NIS a également défini la notion de fournisseurs de services numériques (FSN), englobant les entités juridiques fournissant des services numériques, tels que les plateformes de marché (comme Amazon), les moteurs de recherche ou les services de cloud afin de renforcer la cyber sécurité et la résilience des services numériques essentiels en Europe.

Parmi ses obligations, la directive imposait aux OSE de notifier à leur organisme référent comme l'ANSSI en France ou Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne, les incidents affectant les systèmes qui soutiennent les services essentiels et de mettre en place des contrôles de sécurité supervisés par leur agence référente ou par des prestataires de services de confiance qualifiés. L'objectif de cette exigence était de prévenir ou du moins de réduire les conséquences potentielles des incidents de sécurité informatique tels que les cyberattaques. En d'autres termes, les États membres devaient veiller à ce que ces entreprises et organisations mettent en place des mesures de sécurité appropriées pour protéger leurs systèmes informatiques et minimiser les dommages en cas de violation de la sécurité.

Pourquoi NIS-2 ?

Le réexamen de la première directive NIS par la Commission Européenne découle de la croissance exponentielle des menaces cyber dans tous les secteurs, qu'ils soient publics ou privés, ayant entraîné la nécessaire adaptation de la réglementation existante pour mieux protéger les infrastructures, les services essentiels, ainsi que les données sensibles dans l'ensemble de l'Union européenne. Cette évolution a incité la Commission Européenne à élargir la portée de la directive NIS de 2016 et mieux prévenir les menaces tout en consolidant la position de l'Union européenne en tant qu'acteur clé sur la scène mondiale de la cybersécurité.

C’est pourquoi la directive NIS-2 va plus loin en élargissant considérablement les objectifs et la portée du dispositif pour offrir une protection renforcée par le passage à 35 secteurs réglementés (voir graphique 3 ci-dessous) contre 19 initialement.

2. Qui est concerné par NIS-2 ?

Les entités essentielles et importantes

À la différence de NIS-1, la directive NIS-2 officialise une liste précise des secteurs concernés par son application et divise les acteurs en deux groupes en fonction de leur taille : les entités essentielles et les entités importantes (voir graphique 3). Bien que les deux dénominations soient assujetties aux mêmes obligations, les entités importantes bénéficient d'un régime de mise en œuvre moins contraignant.

La directive NIS se concentre principalement sur les secteurs considérés comme essentiels pour le fonctionnement de la société et qui nécessitent une approche coordonnée au niveau de l'Union européenne pour renforcer la cybersécurité. NIS-2 exclut certaines entités de l'administration publique notamment celles qui touche à la sécurité nationale, la sécurité publique, la défense ou l'application de la loi selon l’art. 2 (8), ces domaines étant considérés comme relevant des compétences régaliennes des États membres, dont les spécificités relèvent de ses propres lois et réglementations nationales. Cependant, les entités de l'administration publique dont les activités ne sont que marginalement liées à ces domaines ne sont pas exclues de cette directive.

MicrosoftTeams-image (58)

Champ application NIS2champ_application_NIS2

3. La sécurité des identités au coeur des préoccupations

Pour répondre aux obligations de NIS-2, les organisations concernées par la directive vont devoir renforcer la sécurisation de leurs infrastructures numériques, mais pas seulement. En effet, la prévention englobe plusieurs domaines d'intervention pour anticiper autant les attaques physiques que des attaques logiques, les deux pouvant être reliées pour une même finalité. C’est en cela que la gestion des identités devient essentielle pour permettre un contrôle permanent des accès physiques et logiques afin de s’assurer que seules les personnes ou les objets connectés, préalablement autorisés, peuvent entrer dans des locaux aux accès restreints, accéder à des systèmes d’information sensibles ou échanger des données sécurisées.

Les identités sécurisées constituent alors un premier rempart en offrant un contrôle adapté selon le niveau d’authentification visé (ou a minima nécessaire). Pionnière dans la gestion des identités sécurisées répondant aux standards les plus élevés et en conformité avec la règlementation européenne, la suite logicielle Nexus Smart ID d’IN Groupe répond à ces enjeux en contribuant à couvrir l’essentiel des critères de sécurisation imposés par NIS-2 grâce notamment à sa capacité :

  • d’émettre et de gérer des identités de confiance,
  • de déployer l'authentification multifactorielle,
  • de superviser l'accès aux ressources de l'organisation,
  • d'automatiser les procédures,
  • ainsi que de simplifier le chiffrement et la signature électronique des e-mails.

 

Autres articles

INsight (2)
11 janvier 2024

Rapport INsight 2023.2024

Comment faciliter et sécuriser l’expérience du voyageur ? Quelles sont les innovations et solutions biométriques qui répondent à ces nouveaux enjeux ?
28 septembre 2023

Quelles technologies et innovations pour améliorer l’expérience voyageur ?

Mobile Identity Wallet
14 décembre 2022

Évolution de l’identité numérique et des wallets d’identité mobiles

r4iot
12 juillet 2022

Êtes-vous prêt à faire face au R4IoT, le rançongiciel de l’IoT qui s’attaque à l’IT et à l’OT ?

A woman reports the birth of her child by telephone.
19 mai 2022

Une identité légale à la naissance, un droit pour chaque enfant

Cyber security threats
18 mai 2022

Comment le secteur public peut lutter contre les risques croissants de cybersécurité

Ce site web utilise des cookies

Les cookies sont de petits fichiers texte. Ils contiennent des données qui sont stockées sur votre appareil. Pour nous permettre de placer certains types de cookies, nous devons obtenir votre consentement. IN Groupe utilise les types de cookies suivants. Pour en savoir plus sur les cookies que nous utilisons et les durées de stockage, cliquez ici pour accéder à notre politique en matière de cookies.

Gérer les paramètres des cookies

Cookies nécessaires

Les cookies nécessaires sont les cookies qui doivent être enregistrés pour que les fonctions de base du site web puissent fonctionner. Les fonctions de base sont par exemple les cookies qui sont nécessaires à l’utilisation des menus du site web et à la navigation sur le site.

Cookies fonctionnels

Les cookies fonctionnels doivent être placés sur le site web pour qu’il fonctionne comme vous le souhaitez. Par exemple, pour reconnaître la langue que vous préférez, pour savoir si vous êtes connecté ou non, pour assurer la sécurité du site web, pour mémoriser les données de connexion ou pour pouvoir trier les produits sur le site en fonction de vos préférences.

Cookies destinés aux statistiques

Pour nous permettre de mesurer vos interactions avec le site web, nous plaçons des cookies afin d’enregistrer des statistiques. Ces cookies rendent les données personnelles anonymes.

Cookies pour le suivi des publicités

Pour nous permettre d’offrir un meilleur service et une meilleure expérience, nous plaçons des cookies afin de pouvoir proposer des publicités pertinentes. Un autre objectif de ce traitement est de nous permettre de promouvoir des produits ou des services, de proposer des offres personnalisées ou de suggérer des recommandations en fonction de ce que vous avez déjà acheté dans le passé.