La nouvelle directive sur la sécurité des réseaux et de l’information (NIS2) de l’Union européenne est désormais disponible sous forme de texte final. Il entrera en vigueur le 16 janvier 2023 et vise à « assurer un niveau commun élevé de cybersécurité dans l’Union ».
NIS2 : rédaction d’une nouvelle directive européenne sur la cybersécurité
La nouvelle édition des règles sur la sécurité des réseaux et de l’information (NIS), appelée NIS2, a été formulée par l’Union européenne et pourrait entrer en vigueur le 16 janvier 2023. Après que le Parlement européen a adopté la nouvelle loi en novembre 2022, les entreprises, Les entreprises et les autorités publiques seront confrontées à des changements profonds au cours de l’année à venir.
Entre autres choses, NIS2 réglemente les exigences de sécurité et les obligations de déclaration que les entreprises doivent remplir. En cas d’incidents de cybersécurité, les entreprises devront informer les autorités compétentes dans un délai approximatif de 24 heures puis remettre un rapport détaillé dans les 72 heures.
La nouvelle directive européenne couvre, entre autres, les installations classées comme installations critiques conformément à la directive 2022/2557. Cependant, NIS2 ajoute également de nouvelles catégories pour les entreprises, notamment les entreprises de télécommunications, la gestion des eaux usées et des déchets, les fournisseurs d’énergie, les prestataires de soins de santé et bien d’autres domaines.
Dans le secteur des infrastructures numériques en particulier, NIS2 comprend de nombreuses nouvelles entreprises qui relèvent du « secteurs à haute criticité ». Selon un rapport de heise.de, cela inclut, selon certaines estimations, près de 160 000 entreprises et institutions publiques dans toute l’UE, et près de 20 000 en Allemagne, qui relèvent de la nouvelle directive.
- Aussi intéressant : Des vis intelligentes sécurisent les infrastructures critiques et l’état radio
Mise en œuvre d’ici octobre 2024
NIS2 devrait également rendre plus difficile, voire presque impossible, l’exploitation de sites Web anonymes au sein de l’UE. Les domaines de premier niveau et autres adresses Web devront désormais apparaître « données d’enregistrement de nom de domaine précises et complètes ». À l’avenir, les propriétaires de domaines et les points de contact doivent pouvoir être gérés, identifiés et contactés via ce système.
Sur demande, les données doivent être mises à la disposition des forces de l’ordre, par exemple, et dans les 72 heures suivant la réception d’une demande correspondante. Les États membres de l’UE ont jusqu’au 17 octobre 2024 pour mettre en œuvre les exigences révisées dans leur droit national.
En outre, la directive NIS2 comprend également des réglementations sur la création de stratégies nationales de cybersécurité par les États membres, tandis que les États sont autorisés, mais pas obligés, à promulguer leurs propres lois sur la cybersécurité. À cette fin, le gouvernement allemand travaille sur une nouvelle loi-cadre CRITIS pour les infrastructures critiques, qui pourrait être adoptée en 2023.