Cybersécurité : l’UE renforce à juste titre ses exigences envers les entreprises et le secteur public

La législation ne peut pas tout, certes. Mais elle permet de fixer des cahiers des charges, des régimes de responsabilité et un agenda de déploiement de dispositions qui sans elle resteraient trop souvent à l’état de concepts théoriques. Cette 2ème version de la Directive NIS illustre précisément la contribution vertueuse de l’approche normative. En effet, si la V1 adoptée en 2016 a établi les obligations de sécurisation qui s’imposent désormais aux gestionnaires d’infrastructures critiques, les Opérateurs de Services Essentiels, cette nouvelle mouture est plus qu’une simple mise à jour.
 

Plus de cybersécurité pour plus d’entités privées et publiques

Pour commencer, elle s’appliquera à plus de 150 000 entreprises contre quelques centaines aujourd’hui. Au-delà de la douzaine de secteurs d’activités préalablement définis comme le traitement de l’eau, l’énergie, les télécommunications, l’alimentation ou les services financiers, des domaines supplémentaires sont concernés tels la gestion des déchets, la grande distribution, les services postaux, les fournisseurs d’accès à internet, les prestataires de datacenters, les secteurs de l’espace et de la recherche ou les entreprises de services numériques (ESN). Même les collectivités locales, avec une modulation laissée à chaque Etat membre, sont désormais incluses dans le champ de la directive. Assez logiquement, les administrations publiques sont officiellement déclarées comme relevant de ce dispositif plus exigeant.

Cette systématisation de la sécurité numérique contribue à envisager la protection de chaînes économiques prises dans leur globalité, afin de limiter l’action des attaquants qui exploitaient les faiblesses d’entités connectées à de grands donneurs d’ordres mais non soumises aux mêmes exigences en matière de cybersécurité. Soient autant de possibles points d’entrée.

Lire la suite (L'Usine Digital)