La nouvelle directive européenne sur la cybersécurité, dite « NIS 2 » (ou « SRI 2 » en français), entrera en vigueur dans quelques jours. Elle remplacera la première directive NIS en l’améliorant sur tous les points. Harmonisation, réponse en cas de crise, partage des compétences : panorama des changements les plus importants.
La première directive concernait des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union est arrivée en 2016. Elle a représenté une évolution importante des pratiques en Europe en matière de cybersécurité, mais cette dernière a profondément été transformée durant les dernières années, s’adaptant sans cesse aux nouvelles menaces dans un éternel jeu du chat et de la souris.
Le phénomène s’est particulièrement renforcé depuis le début de la pandémie de COVID-19 et la guerre en Ukraine. De plus, son application était fragmentée en Europe. La France avait même été épinglée pour défaut de transposition intégrale du texte. Cette première directive a cependant fait bouger les lignes en proposant une approche cohérente et institutionnelle de la cybersécurité et en propulsant le rôle prépondérant des États.
Ces derniers devaient non seulement renforcer leurs propres infrastructures face aux menaces, mais également établir un socle pour les entités aussi bien publiques que privées dans sept secteurs cruciaux : énergie, transports, banque, marchés financiers, santé, distribution de l’eau et infrastructures numériques. Elle a aussi imposé aux opérateurs jugés essentiels (ou vitaux) et services numériques des exigences, tant pour la cybersécurité que le signalement des incidents.
Avec le temps, plusieurs carences sont apparues, notamment le faible niveau constaté des entreprises dans l’Union européenne en matière de résilience. « En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité », peut-on lire dans le nouveau texte.