Comment gérer les risques de Propriété Intellectuelle des logiciels Open Source

NIS 2 : une nécessaire mise en conformité pour un niveau de cybersécurité élevé

Article rédigé par Garance Mathias, Avocat Associé et Eva Aspe, Responsable Affaires publiques du cabinet Mathias Avocats.

Temps de lecture : 3mn| Cybersécurité

Au cœur de la stratégie européenne cyber, la Directive dite NIS 2 s’inscrit dans une volonté du législateur de fixer des normes et des standards permettant d’assurer un niveau de cybersécurité élevé, uniforme et renforcé, au sein de l’Union européenne, pour un plus grand nombre d’acteurs et leur chaîne d’approvisionnement.

 

Les apports de NIS et sa mise en oeuvre

La Directive européenne dite NIS 2 a été adoptée le 14 décembre 2022 et, comme toute directive, doit être transposée en droit national, par chaque Etat membre de l’Union européenne (UE). A ce jour, les travaux de transposition dans la plupart des pays membres ont pris du retard et seuls quelques-uns disposent d’un nouveau cadre national en place qui a été notifié à la Commission européenne.

 

La France a fait le choix d’élaborer un projet de loi visant à transposer trois directives européennes : NIS 2, « REC » (sur la résilience des entités critiques) et « DORA » (Directive qui accompagne le Règlement DORA, sur la résilience numérique des entités financières). Ce projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été présenté le 15 octobre 2024, en Conseil des Ministres. Il devrait être examiné et adopté par le législateur (Assemblée nationale et Sénat) dans les prochains mois.

 

Il est également à noter que le 17 octobre 2024, la Commission européenne a publié un acte d’exécution relatif aux entités et réseaux critiques, qui vient préciser certaines exigences techniques et méthodologiques prévues par la Directive NIS 2.

 

La Directive NIS 2 abroge la directive NIS (Network and Information Security) de 2016, qui avait défini un régime européen de la cybersécurité et élargi considérablement son champ d’application en y intégrant une variété de nouveaux secteurs d’activités, incluant notamment les télécommunications, les plateformes de réseaux sociaux, la gestion des eaux usées, le spatial, ou encore les administrations et collectivités.

 

NIS 2 poursuit un triple objectif : accroitre le niveau de cyber-résilience d’acteurs tous secteurs d’activités confondus ; réduire les incohérences au sein de l’Union européenne pour les secteurs d’activités déjà couverts à date par la directive NIS ; et favoriser le partage de l’information et des connaissances, ainsi que la capacité collective de préparation et de réponse aux attaques.

 

NIS 2 distingue les entités définies comme « essentielles » (opérateurs des noms de domaines, fournisseurs cloud, administrations publiques, organismes de gestion des eaux usées…), et celles qualifiées d’ « importantes » (moteurs de recherche, réseaux sociaux, services postaux…), la première catégorie étant soumise à des obligations renforcées.

 

Les États membres doivent adopter une stratégie nationale afin d’atteindre et de maintenir un niveau élevé de sécurité dans les secteurs et activités couverts par NIS 2. Ils doivent notamment s’assurer que les entités concernées mettent en œuvre les mesures assurant la sécurité de leurs réseaux et systèmes d’information, ainsi que leur environnement physique (en cohérence avec la directive dite « REC »), selon une approche par les risques appliquée à la cybersécurité.

 

Cette démarche doit nécessairement inclure la détection et la remédiation des incidents et vulnérabilités ; et la prise en compte des risques associés à la chaîne d’approvisionnement (sous-traitants, fournisseurs).

 

Une nécessaire sensibilisation et formation des équipes aux enjeux de cybersécurité

Quels que soient leur taille et leur secteur d’activité, les entités, publiques et privées, entreprises ont conscience des risques majeurs que représentent les cyber-attaques, vols de données, rançongiciels, etc. : risques financiers bien sûr, mais aussi risques en termes d’image et de réputation, vis-à-vis de leurs clients et de leurs prestataires.

Face à une menace cyber systémique, les entreprises doivent se protéger et former leurs équipes. La formation des collaborateurs à la cybersécurité est en effet cruciale dans la prévention des risques (en sensibilisant les collaborateurs aux menaces, cyberattaques) et en cas d’incident de sécurité, pour réagir et y remédier efficacement.

A cet égard, l’article 20 de la directive NIS 2 impose une formation spécialisée en cybersécurité pour les organes de direction. Cette formation est cruciale pour que les membres de la Direction puissent prendre des décisions éclairées d’investissement et superviser efficacement les stratégies de cybersécurité. Il est également prévu que les entreprises adoptent des mesures de sécurité comprenant des formations permettant aux collaborateurs de comprendre et d’évaluer les risques de cybersécurité ainsi que leurs impacts sur l’organisation (cartographie des risques).

 

De plus, en cas de non-respect des dispositions de la directive NIS 2, les sanctions peuvent atteindre des montants élevés (jusqu’à 7 millions d’euros ou 2% du CA mondial, pour les entités importantes et 10 millions d’euros ou 1,4% du CA mondial pour les entités essentielles ; le montant le plus élevé étant retenu).

 

Conclusion

Les entités ne doivent donc pas attendre la transposition de la Directive NIS 2 en droit national, et peuvent d’ores et déjà recenser leurs besoins d’investissement, adopter les bonnes pratiques et se former. Ces nouvelles dispositions s’inscrivent pleinement dans une démarche de gestion des risques, primordiale pour les entités ainsi que pour l’ensemble des organismes tiers appartenant à la chaîne d’approvisionnement. Cette gestion du risque cyber permettra d’appréhender également les innovations, notamment liées à I’intelligence artificielle ainsi que la constante évolution des cyber-attaques.

Vous avez aimé l’article ? 

N’hésitez pas à le partager et à nous suivre sur nos réseaux sociaux pour en apprendre plus