3. Quels sont les objectifs de la NIS2 ?
L’objectif est toujours de protéger les entités fournissant un service essentiel au maintien d’activités sociétales ou économiques critiques dans des domaines tels que l’énergie, le transport, la santé, l’eau potable, les infrastructures numériques, l’espace, les fournisseurs de services de technologie de l’information et de la communication ou encore l’administration publique. Indépendamment de la taille de l’organisation, l’article 2 de la directive prévoit d’ailleurs que les États membres doivent inclure également au niveau national certaines entités en raison du caractère critique du service essentiel fourni, du risque systémique important ou encore de l’impact important sur la sécurité publique.
En ce qui concerne les mesures de gestion des risques en matière de cybersécurité, les entités concernées devront notamment assurer la prise de mesures adaptées aux risques encourus, en tenant compte du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité, au regard des éventuelles conséquences sociétales et économiques.
La directive prévoit la notification aux autorités compétentes des incidents significatifs afin d’atténuer leur propagation potentielle, de permettre aux entités de chercher de l’aide, de gérer au mieux les situations de crise et de partager les informations techniques pertinentes avec les autres entités.
Le contenu de la directive ne règle pas la matière de la cybersécurité dans un domaine spécifique, mais impose la prise de mesures minimales destinées à assurer un niveau élevé commun de cybersécurité (transsectoriel, dirons-nous) dans l’ensemble de l’Union pour certaines entités fournissant des services essentiels.
Pour en savoir plus :
La directive NIS2 : Pour qui ? Pourquoi ? - Centre pour la Cybersécurité Belgique