La directive européenne NIS2 (Network and Information Security 2) vise à renforcer la cybersécurité au sein de l’UE. Adoptée en septembre 2022, elle remplace la directive NIS de 2016 et élargit son champ d’application à de nouveaux secteurs tels que l’administration publique, les déchets, les produits chimiques et l’alimentation.
NIS2 impose de nouvelles obligations aux opérateurs de services essentiels (OSE) et aux fournisseurs de service numérique (FSN) en matière de gestion des risques, de signalement des incidents et de tests de résilience. Les OSE, dont font partie les secteurs de l’énergie, des transports, de la banque et de la santé, devront respecter des exigences plus strictes que les FSN comme les places de marché en ligne, les services d’informatique en nuage et les moteurs de recherche.
Selon un rapport du Centre européen de politique de sécurité (CEPS) publié en juin 2023, la mise en conformité à NIS2 pourrait coûter environ 29 milliards d’euros aux entreprises européennes au cours des 10 prochaines années. Ce coût se répartit entre 18 milliards d’euros pour les OSE et 11 milliards pour les FSN.
Toutefois, NIS2 devrait également entraîner des bénéfices économiques en réduisant l’impact des cyberattaques. Toujours selon le CEPS, les économies potentielles liées à une meilleure cybersécurité sont estimées à une fourchette comprise entre 269 et 767 milliards d’euros sur la période 2023-2032.
Les nouvelles exigences clés de NIS2
- Cartographie des risques : les OSE et FSN devront cartographier leurs risques cybersécurité et mettre à jour cette cartographie au moins tous les 3 ans.
- Plans de réponse aux incidents : des plans documentés seront requis pour réagir efficacement en cas d’incidents de cybersécurité et en limiter l’impact.
- Notification obligatoire des incidents : les OSE et FSN devront signaler les incidents graves à l’autorité nationale compétente dans les 24 heures et avoir la capacité technique de détecter de tels incidents.
- Test d’intrusion et scans de vulnérabilité : des tests proactifs seront nécessaires pour identifier les faiblesses.
- Sous-traitance : les obligations s’appliqueront également aux fournisseurs externes critiques pour les services essentiels.
La mise en œuvre de NIS2
Elle présente certains défis. D’une part, de nombreuses PME peinent à se conformer à ces exigences en raison de moyens limités. D’autre part, la pénurie de compétences en cybersécurité risque d’être un frein à la conformité.
Selon une étude menée par EY en mars 2023, 57% des RSSI estiment que leur organisation aurait du mal à respecter les délais de mise en conformité. De plus, 79% craignent une pénurie de personnels qualifiés en cybersécurité, essentiels pour répondre aux nouvelles exigences.
Face à ces défis, les éditeurs de solutions de sécurité comme Cybi ont un rôle clé à jouer. En proposant des outils efficaces d’évaluation des risques, de détection d’anomalies et de réponse aux incidents, ils peuvent aider les entreprises à renforcer leur posture de sécurité conformément à NIS2.
Notre solution SCUBA semble particulièrement bien positionnée pour soutenir les OSE et FSN dans leur mise en conformité grâce à ses fonctionnalités de cartographie MITRE ATT&CK, de plans d’urgence automatisés et de suivi des risques.