25 mars 2024

Nouvelles frontières de la cybersécurité : NIS2, DORA, et CRA

L'Union européenne (UE) a franchi de nouvelles étapes significatives dans le renforcement de la cybersécurité avec l'introduction de la directive NIS2, le règlement DORA (Digital Operational Resilience Act), et les considérations autour du Cyber Resilience Act (CRA). Ces mesures marquent une évolution considérable par rapport aux cadres législatifs antérieurs, visant à créer un écosystème numérique plus sûr et plus résilient au sein de l'UE.

Directive NIS2 : Une Ambition Élargie pour la Cybersécurité

La directive NIS2 (Directive (UE) 2022/2555) succède à la directive NIS initiale et vise à établir un niveau élevé commun de cybersécurité à travers l’Union. Elle introduit des exigences plus strictes pour une gamme plus large d’entités, à la fois essentielles et importantes, englobant des secteurs comme l’énergie, les transports, la santé, le numérique, les services bancaires, et d’autres encore. La directive stipule des mesures techniques et organisationnelles obligatoires, une gestion proactive des risques, ainsi que des notifications d’incidents dans un délai serré. Elle met également un accent particulier sur la gestion des risques liés à la chaîne d’approvisionnement et impose des sanctions sévères en cas de non-conformité, soulignant l’importance d’une responsabilité directe de la part des organes de direction des entreprises concernées​​​​​​.

 

DORA : La Résilience Opérationnelle dans le Secteur Financier

Le règlement DORA vise spécifiquement le secteur financier, établissant des exigences rigoureuses pour la gestion des risques informatiques, la résilience opérationnelle, et la notification d’incidents. Il couvre une large gamme d’entités, y compris les banques, les compagnies d’assurance, et les fournisseurs de services financiers critiques, et introduit un cadre pour tester la résilience opérationnelle face aux cybermenaces. DORA est conçu pour s’assurer que le secteur financier peut résister, réagir et se rétablir rapidement en cas d’incident de cybersécurité, minimisant ainsi l’impact sur les marchés financiers et les consommateurs​.

 

CRA : Vers une Cyberrésilience Globale

Bien que le Cyber Resilience Act (CRA) n’ait pas été le principal sujet des recherches effectuées, il est pertinent de mentionner que l’UE travaille également sur cette initiative législative. Le CRA vise à renforcer la sécurité des produits numériques et des services associés tout au long de leur cycle de vie, abordant les risques de sécurité dès la phase de conception des produits. Cela reflète une tendance vers une approche plus globale de la cybersécurité, reconnaissant la nécessité d’adresser la sécurité à tous les niveaux – des infrastructures critiques aux produits de consommation.

 

Conclusion

Ensemble, la directive NIS2, le règlement DORA, et le CRA (envisagé) représentent des efforts ambitieux de l’UE pour renforcer la cybersécurité et la résilience opérationnelle à travers différents secteurs, mettant en lumière l’importance croissante de la cybersécurité dans un monde de plus en plus numérisé. Ces mesures législatives exigent des organisations concernées qu’elles adoptent des stratégies de cybersécurité plus rigoureuses, impliquant directement les hauts dirigeants dans la gestion des risques cyber et insistant sur une collaboration et une notification rapide en cas d’incident. Alors que la date d’application de la NIS2 approche en octobre 2024, les entités à travers l’UE doivent accélérer leur préparation pour répondre à ces exigences renforcées et contribuer à un espace numérique plus sûr pour tous.