![[NIS2, DORA et CRA :] 3 mutations à venir dans le cyber](https://incyber.org//wp-content/uploads/2024/03/incyber-news-abstract-cybersecurite-cybersecurity-2160x735.jpg)
NIS2, DORA et CRA : 3 mutations à venir dans le cyber
La sécurité des systèmes d’information est devenue une priorité majeure pour les entreprises, les consommateurs, mais aussi pour les États. C’est dans ce contexte où les attaques cyber sont devenues quotidiennes que plusieurs textes européens ont été adoptés ces dernières années afin de garantir et de renforcer la cybersécurité et d’assurer la protection des infrastructures critiques et des données sensibles.
Parmi ces textes, la directive NIS2, le règlement DORA, et le CRA occupent une place majeure, chacun apportant des changements profonds qui vont sensiblement modifier le paysage de la cybersécurité européenne.
La Directive NIS2 sur la Sécurité des Réseaux et des Systèmes d’Information (Network and Information Security, version 2 de la Directive « NIS 1 ») vise à harmoniser et à renforcer la cybersécurité sur le territoire européen. Elle est entrée en vigueur le 16 janvier 2023 et devra être transposée par les États membres avant le 17 octobre 2024
Son objet est principalement de renforcer la résilience des infrastructures critiques et des services numériques au sein de l’Union européenne, notamment en élargissant le champ d’application de la directive NIS 1 en incluant de nouveaux secteurs (18 au total) tels que les plateformes en ligne, les moteurs de recherche et les fournisseurs de services de cloud computing.
Les anciens « opérateurs » deviennent des « entités ».
NIS2 impose également des exigences de sécurité plus strictes, notamment en matière de notification des incidents de sécurité et de coopération entre les États membres. En conséquence, les entreprises opérant dans ces secteurs devront renforcer leurs mesures de protection des données et leurs capacités de réponse aux incidents, sous peine de sanctions financières sévères que l’ANSSI pourra prononcer à l’instar de la CNIL.
Il convient en outre de retenir que les contraintes techniques, opérationnelles et organisationnelles de NIS 2 s’appliqueront aux administrations publiques et aux chaines d’approvisionnement.
Parallèlement à NIS2, le règlement DORA (Digital Operational Resilience Act) et la Directive qui lui est associée sont entrés en vigueur le 16 janvier 2023, étant noté que la date d’application du Règlement « DORA » est prévue le 17 janvier 2025, date butoir de transposition de la directive.
Le règlement a pour objet de renforcer la résilience opérationnelle du secteur financier européen face aux cybermenaces. DORA vise à garantir que les prestataires de services financiers, telles que les banques, les compagnies d’assurances et autres instances des marchés financiers maintiennent des normes élevées de sécurité de leurs systèmes d’information et de gestion des risques opérationnels au regard des données et flux qu’elles enregistrent.
Le règlement propose ainsi des mesures telles que l’obligation pour les prestataires de services financiers de mettre en œuvre des plans de continuité des activités et des tests de résistance aux cyberattaques.
De la même manière, ce règlement organise les relations contractuelles entre les prestataires tiers de services TIC et les entités financières
En outre, DORA prévoit des mécanismes de supervision renforcés, avec la création d’une autorité européenne dédiée chargée de superviser la conformité et d’imposer des sanctions en cas de non-respect des règles.
Enfin, le Cyber Resilience Act (CRA) devrait entrer en vigueur en 2024 en laissant un délai de 36 mois aux fabricants, importateurs et distributeurs de produits connectés pour s’adapter aux nouvelles exigences.
Ce texte porte sur les produits comprenant des éléments numériques permettant la transmission de données à un appareil ou à un réseau.
Ce règlement a vocation à promouvoir la confiance dans les technologies numériques en garantissant qu’elles répondent à des normes de sécurité rigoureuses ; les fabricants devront ainsi s’assurer que les objets connectés mis sur le marché respectent des obligations strictes.
Les professionnels auront en cas d’incident une obligation déclarative impactant la sécurité des produits numériques mis sur le marché.
En résumé, NIS2, DORA et le CRA représentent des jalons importants dans la lutte de l’Union européenne contre les cyberattaques et la protection des infrastructures critiques des entreprises et établissements et de leurs données sensibles.
Ces textes imposent des exigences plus strictes en matière de sécurité des systèmes d’information et de gestion des risques opérationnels, tout en renforçant la supervision et la coopération entre les États membres.
Les sanctions prévues, notamment financières, doivent, à l’instar du RGPD, amener de nombreux acteurs à se montrer vigilants quant à l’application et au respect de ces nouvelles contraintes.