Catégories
En 2016, la première directive européenne concernant le domaine de la cybersécurité a été publiée dans le Journal officiel. Il s'agit de la directive NIS 1 pour Network and Information Security 1.
Puisqu’aucun texte n’avait été ratifié à cette échelle, son utilité était simple : établir un niveau minimum de sécurité pour les réseaux et systèmes d’information dans l’UE.
Ceci selon une logique de coopération entre les États membres européens et afin de renforcer la solidité des secteurs les plus importants à protéger des attaques.
Pour ce faire, différentes mesures ont été adoptées :
- obligations de sécurité pour les opérateurs de services essentiels (OSE : énergie, transport, santé, etc.),
- obligations de signalement des incidents majeurs,
- création de CERT (Computer Emergency Response Teams) nationaux,
- mise en place d’un groupe de coopération interétatique.
Ce premier texte a permis de poser des fondations en matière de cybersécurité européenne.
Toutefois, cette démarche s’est révélée insuffisante au vu de la rapidité et l’ampleur de la croissance de la cybercriminalité ces dix dernières années.
Pour préciser le champ d’application et les modalités de la première directive, une seconde a été élaborée en 2022. Il s’agit donc de la directive NIS 2.
Qu’apporte cette version plus récente de la directive ? Principalement :
- davantage de secteurs couverts par les obligations et la protection, ainsi que d’entreprises,
- des obligations de sécurité renforcées,
- des sanctions plus strictes et précises encourues si les obligations ne sont pas respectées,
- une clarification des rôles et des responsabilités.
Cette modernisation de la première version n’est pas qu’une réponse à la montée en flèche des cyberattaques.
Elle vise également à permettre une application plus homogène de ces mesures à travers les différents pays en plus d’inclure davantage de typologies de structures.
Pour résumer les différents apports des deux directives, voici un tableau récapitulatif :
