Face à des cyber-menaces toujours plus importantes, l'Union Européenne a imposé dès 2016 aux entreprises «essentielles» des normes de sécurité renforcées, par le biais de la directive «network and information security» (Nis). En mai, la révision du texte, poussée par la présidence française de l'Union Européenne, a enfin aboutit à un accord. Résultat : Nis 2 devrait étendre les obligations de sécurité à 10 fois plus d'organisations que la première version. Un bon point pour la sécurité globale, qui devrait cependant déclencher des discussions sur le coût de la mise en place des nouvelles...Des milliers d'entreprises vont être contraintes par la loi de rehausser le niveau de leur sécurité informatique. Cette décision vient du plus haut niveau politique européen, et en France, ce sera l'Agence nationale de sécurité des systèmes d'information (Anssi) qui aura pour mission d'en assurer le respect.
En janvier, lors de sa prise de pouvoir, la présidence française de l'Union Européenne (PFUE) avait pour ambition d'être « extrêmement volontaire » en matière de souveraineté numérique et de cybersécurité. Parmi les volets phares de ce temps politique, la France comptait faire aboutir les négociations sur la révision de la directive « network and information security » (plus connu sous l'acronyme Nis) lancées fin 2021. « C'est chose faite : un accord politique a été trouvé le 12 mai entre la Commission, le Parlement et le Conseil sur un texte, même si quelques détails techniques restent à fixer », se félicite auprès de La Tribune Yves Verhoeven, sous-directeur stratégie de l'Anssi, à l'occasion du Forum international de la cybersécurité (FIC).
Jusqu'à 150.000 entreprises et organisations concernées
La première version de ce texte, voté en 2016, a mené à la nomination de dizaines d'organisations au titre « d'opérateurs de services essentiels » (OSE), qui « fournissent un service essentiel dont l'interruption aurait un impact significatif sur le fonctionnement de l'économie ou de la société », selon la définition de l'Anssi. En conséquence, pas moins de 23 obligations supplémentaires en matière de cybersécurité sont imposées à ces organismes, à la fois sur le plan technique, dans leur gouvernance et dans leur relation avec les autorités.
La directive Nis concernait les secteurs de la banque, des marchés financiers, de l'énergie, de la santé, des transports, de la gestion de l'eau potable et des télécoms. Sa version révisée, Nis 2, étend ses prédispositions aux administrations, mais aussi aux domaines de la gestion des déchets, de la grande distribution alimentaire, des fournisseurs d'accès à internet ou encore des services postaux.