La Commission européenne a adopté, jeudi 17 octobre, de nouvelles règles de mise en œuvre pour la cybersécurité des entités et réseaux critiques, dans le cadre de la directive révisée sur la sécurité des réseaux et de l'information (dite NIS2).
Ces nouvelles règles, mises en place via un acte d'exécution, détaillent les mesures de gestion du risque de cybersécurité ainsi que les cas dans lesquels un incident doit être considéré comme significatif et que les entreprises fournissant des infrastructures et des services numériques doivent le signaler aux autorités nationales.
Ces règles s'appliqueront à des catégories spécifiques d'entreprises fournissant des services numériques (services d'informatique en nuage, services de centres de données, places de marché en ligne, moteurs de recherche ou plateformes de réseaux sociaux).
La directive NIS2 doit permettre d'accroître les capacités de réaction aux incidents de cybersécurité dans les secteurs publics et privés (EUROPE 12952/1).
En novembre 2023, l'ENISA a publié un rapport qui pointait notamment les faibles investissements des opérateurs de services essentiels et fournisseurs de services numériques en matière de cybersécurité, malgré la révision de la directive NIS2.
L'adoption de ces nouvelles règles coïncide avec le délai imparti aux États membres pour transposer la directive NIS2 en droit national, à savoir le 18 octobre 2024. (Isalia Stieffatre)