NIS2 vs. DORA : Une Nouvelle Ère pour la Cybersécurité en Europe
La directive européenne NIS2, adoptée en janvier 2023, constitue une avancée significative dans la régulation de la cybersécurité au sein de l’Union européenne. Elle impose de nouvelles obligations à un plus grand nombre d’entités pour renforcer leur niveau de protection face à l’évolution des cybermenaces.
Évolution de NIS1 vers NIS2
NIS2 remplace la directive NIS1 de 2016, élargissant son champ d’application à 35 secteurs, y compris les télécommunications, les services postaux et les médias sociaux. Contrairement à NIS1, qui ne concernait que les grandes entreprises et les opérateurs de services essentiels, NIS2 s’applique désormais aux entités comptant plus de 50 salariés et générant un chiffre d’affaires supérieur à 10 millions d’euros dans des secteurs critiques. La directive introduit également une catégorisation différenciée des entités, avec des sanctions renforcées pour non-conformité.
NIS2 vs. DORA : Deux Régulations Complémentaires
La directive NIS2 et le Digital Operational Resilience Act (DORA) sont deux régulations complémentaires qui visent à renforcer la cybersécurité en Europe. NIS2 est une directive nécessitant une transposition nationale, tandis que DORA, un règlement, sera appliqué directement dans tous les États membres. NIS2 doit être transposé avant le 17 octobre 2024, alors que DORA entrera en vigueur en janvier 2025. NIS2 couvre 35 secteurs critiques, alors que DORA se concentre exclusivement sur le secteur financier, englobant banques, assurances et prestataires de services IT.
Inclusion des Sous-Traitants : La Supply Chain Cyber
Les cyberattaques de type Supply Chain soulignent l’importance de la cybersécurité des prestataires, qui peuvent impacter de nombreuses entreprises. NIS2 impose une vigilance accrue sur les fournisseurs, avec des obligations contractuelles spécifiques.
Calendrier de Mise en Œuvre
- Adoption par l’UE : Novembre 2022
- Publication au JOUE : Décembre 2022
- Période de transposition par les États membres : Jusqu’au 17 octobre 2024
- Mise en application : Après transposition nationale
Pourquoi Anticiper ?
La menace des cyberattaques, telles que les ransomwares et les exfiltrations de données, est en constante augmentation. Les entreprises doivent anticiper les risques économiques et juridiques, ainsi que les sanctions administratives potentielles. NIS2 représente une opportunité pour améliorer la résilience et renforcer la confiance des clients et partenaires.
En conclusion, la directive NIS2 incarne un changement de paradigme pour les entreprises et les institutions européennes, plaçant la cybersécurité au même niveau stratégique que d’autres domaines clés tels que la finance ou les ressources humaines.
Source : AUCAE
