Les députés européens ont adopté, ce jeudi 10 novembre 2022, la directive "NIS 2" qui harmonise et fixe des exigences de cybersécurité "plus strictes" pour certaines entreprises, administrations et infrastructures. Ce même jour, la loi DORA sur la résilience opérationnelle numérique des services financiers a également été adoptée.
La NIS 2 introduit de nouvelles règles visant à promouvoir un niveau commun élevé de cybersécurité dans l'ensemble de l'UE - tant pour les entreprises que pour les pays.
Elle renforce les exigences en matière de cybersécurité pour les moyennes et grandes entités qui opèrent et fournissent des services dans des secteurs clés.
De facto, elle élargit le champ des secteurs et des activités essentiels pour l'économie et la société, notamment ceux de l'énergie, des transports, des banques, de la santé, des infrastructures numériques, de l'administration publique (au niveau central et régional) et l'espace. Toutefois, elle ne couvre pas la sécurité nationale et publique, le système judiciaire, les parlements et les banques centrales.
Bien intégrer ses sous- traitant à sa stratégie cyber!
La NIS 2 ne fait pas qu’agrandir la liste des secteurs concernés, elle met aussi en place une nouvelle nomenclature. Les entités seront divisées entre celles dites “essentielles” et celles dites “importantes”, en fonction de leur niveau de criticité et de l’impact que leur dysfonctionnement aurait. Elles devront mettre en place des mesures techniques, opérationnelles et organisationnelles: Analyse des risques , plans de continuité des activités sécurisation réseaux, procédures d’audit des mesures mises en place, formation à une bonne hygiène cyber, utilisation de techniques de chiffrement, contrôle sécurisé des accès ou encore l’utilisation de solutions d’authentification à plusieurs facteurs (MFA).
Ces entreprises devront également apprendre en compte les sous traitants, tiers et partenaires, qui représentent encore le maillon faible de la chaîne.
Plus de 66% des attaques cyber se font via les tiers, fournisseurs, partenaires, sous traitants. Il faudra apprendre à choisir avec qui on souhaite travailler ou pas, pour éviter ces cyber-vulnérabilités et instaurer une nouvelle chaîne de valeur de confiance, indiquait Catherine Nohra China, CEO, B2CLOUD, lors du panel cybersécurité des tierces parties, au Forum International de la Cybersécurité, FIC North America, à Montréal.
Renforcement du système financier de l'U.E avec DORA
Le secteur financier étant de plus en plus dépendant des logiciels et des processus numériques, il avait également besoin d'une protection accrue.
Ce sera chose faite avec la loi sur la résilience opérationnelle numérique -Digital Operational Resilience Act (DORA) qui a été approuvée par le Parlement le 10 novembre 2022.
Cette nouvelle loi introduit et harmonise les exigences de résilience opérationnelle numérique pour le secteur des services financiers de l'UE, obligeant les entreprises à s'assurer qu'elles peuvent résister, répondre et se rétablir de tous les types de perturbations et de menaces liées aux technologies de l'information et de la communication (TIC).
Les règles s'appliqueront à toutes les entreprises fournissant des services financiers, telles que les banques, les prestataires de services de paiement, les prestataires de services de monnaie électronique, les entreprises d'investissement, les prestataires de services crypto-actifs, ainsi que les prestataires de services tiers critiques.
A noter que les États membres auront 21 mois après l’entrée en vigueur de la directive pour adapter leur législation nationale à ces nouvelles dispositions.