À l’occasion du Paris Cyber Summit, mercredi 5 juin, plusieurs acteurs de la cybersécurité européenne ont évoqué l’importance de la directive européenne NIS2 (Network and Information Security) dont la mise en œuvre repose sur la collaboration entre les autorités et les entreprises.
Il ne reste théoriquement que cinq mois aux 27 États membres de l’Union Européenne pour intégrer la directive européenne NIS2 (Network and Information Security) dans leur législation. « On sera dans les délais », affirme Liudas Alisauskas, directeur du Centre National de Cybersécurité lituanien. Mais d’autres ne respecteront pas la date du 17 octobre. « Certains ne se concentrent pas sur cette date limite mais sur la période qu’ils accorderont à la mise en œuvre effective », ajoute le responsable, à l’occasion d’une table ronde lors du Paris Cyber Summit, mercredi 5 juin. C’est le cas de la France qui prévoit une période de trois ans aux entreprises pour se conformer à NIS2. Cette directive, adoptée au parlement européen en janvier 2023, constitue un renforcement de la version originelle de 2016, notamment en étendant son champ d’application à de nouveaux secteurs d’activité et taille d’organisation. Elle vise de cette façon à augmenter globalement la sécurité numérique d’écosystèmes entiers, plutôt que de s’arrêter au périmètre d’une organisation.
Selon le directeur du Centre National de Cybersécurité de Lituanie, cette évolution est nécessaire, car il estime que certaines entreprises sont essentielles pour la sécurité nationale et la stabilité économique. « Ces entreprises doivent être résilientes pour éviter une réaction en chaine », souligne Liudas Alisauskas. Le petit État balte, frontalier de la Russie, connaît le risque d’un écosystème trop peu protégé. « Ici, il n’y a pas besoin d’argumenter auprès des entreprises, elles sont matures. Elles savent à quel point la menace est active ».
À lire aussi : L’exigeant chemin de la France pour devenir une véritable « nation cyber »
L’importance de cette directive est appuyée par le directeur du Finnish Information Security Cluster, un organisme fondé par des entreprises finlandaises visant à les soutenir sur le plan cyber. « Presque tous les incidents se produisent en raison du manque d’hygiène », affirme ainsi Peter Sund,. Il estime que l’application de la directive NIS2 ne devrait pas être un défi pour les entités : « Ce sont des mesures standard qui deviennent des normes de résilience organisationnelle ». Alors que dans certains pays, ce sont des dizaines de milliers d’entités qui seront impactées par cette norme, Florian Pennings, directeur des politiques européennes en cybersécurité chez Microsoft, estime qu’il s’agit cependant d’un changement de paradigme : « Nous serons impactés dans les 27 États membres ».
Une coopération public-privé nécessaire
Dans ce contexte, près de 180 entreprises ont été interrogées par l’ESCO (European Skills, Competences, Qualifications and Occupations), organisme européen chargé de soutenir la mobilité professionnelle au sein de l’Union. Et selon Luigi Rebuffi, son secrétaire général, près de 90% de ces entreprises souhaitent avoir accès aux lignes directrices des autorités publiques sur NIS2, à travers une meilleure communication des aspects pratiques et des campagnes de sensibilisation publiques, afin de faciliter leur mise en conformité. « La coopération public-privé est très demandée », poursuit Luigi Rebuffi qui estime que l’aide à la mise en oeuvre effective sera bien plus constructive que la menace de sanctions futures en cas de non-conformité : « Appliquer des sanctions est extrêmement difficile. Inciter en fournissant les bonnes informations est bien plus productif ».
À voir aussi : [VIDEO] Les nouveaux défis cyber de l’écosystème numérique européen vus par Numeum
Aux entreprises, Florian Pennings, directeur des politiques européennes en cybersécurité de Microsoft, conseille : « Vous devrez avoir un plan et vous concentrer sur l’harmonisation des processus. C’est le plus important ». Pour les plus petites organisations, l’inconnu est parfois important car elles ne savent pas toujours si elles font partie du périmètre de la nouvelle directive. « Nous recevons beaucoup de questions de la part de nos clients dans toute l’Europe. C’est une opportunité de s’asseoir et de clarifier », juge Florian Pennings. D’autant plus que le cadre peut bouger. NIS2 fixe des limites qui ne peuvent être réduites mais c’est au bon vouloir des pays membres de l’UE d’y intégrer de nouveaux secteurs de l’économie, pour aller plus loin. Cela a notamment été le cas de la Croatie, qui a décidé d’ouvrir son périmètre à l’éducation.