Avec la loi NIS2, l’Europe oblige les entreprises de différents secteurs à accorder la plus haute priorité à la sécurité. Si vous tombez sous le coup de la loi, vous ne pouvez pas y échapper. Mais les entreprises savent-elles ce qu’il faut faire et comment ?
Le moment est venu : Le NIS2 est arrivé. Après l’adoption des directives par le Parlement européen fin 2022, les États membres avaient jusqu’au 17 octobre 2024 pour les transposer en droit national. La date limite est dépassée, ce qui met la balle dans le camp des entreprises. « De nombreuses entreprises ne sont pas prêtes », déclare Siska Hallemeesch, experte en sécurité chez Nviso Security et Silver Member d’Isaca.
Pléthore d’outils
M. Hallemeesch reconnaît la nécessité de cette législation. « Avec le NIS2, il a été décidé au niveau européen d’accroître la maturité des organisations en matière de sécurité, en particulier des moyennes et grandes organisations. Cela devrait permettre de mieux les préparer aux risques géopolitiques et aux cyberattaques, et d’accroître le niveau général de sécurité. Le premier NIS Act se limitait aux infrastructures critiques telles que l’énergie. NIS2 l’ouvre à de multiples secteurs ».
« Lorsque je parlais de risques géopolitiques il y a cinq ans, les gens me regardaient comme si je parlais chinois. La sécurité était envisagée d’un point de vue technique, mais pas d’un point de vue commercial ou géopolitique. En conséquence, de nombreuses entreprises se retrouvent avec une pléthore d’outils informatiques qui n’offrent aucune solution », a déclaré M. Hallemeesch.
« En tant qu’entreprise, vous devez déterminer quels sont vos risques en matière de sécurité et comment vous allez mettre en place une solution de bout en bout à partir de là. Ce processus dépend du contexte de l’entreprise. Pour un hôpital, il sera complètement différent de celui d’une entreprise manufacturière », poursuit-elle.
Nouveau rôle pour le RSSI
Selon M. Hallemeesch, le NIS2 permettra d’interpréter différemment le rôle du RSSI. « Aujourd’hui, il y a encore beaucoup de techniciens dans ce rôle. Mais un RSSI doit aussi apprendre à comprendre les activités de l’entreprise et à parler aux autres départements de l’entreprise. Je constate que c’est encore beaucoup plus difficile ».
« Je ne dis pas que la connaissance technique des outils n’est plus importante, mais le rôle de RSSI ne sera plus purement technique. Les RSSI de demain seront des hommes d’affaires qui auront également des connaissances techniques, mais surtout qui comprendront comment mettre en œuvre la gestion de la sécurité et les outils disponibles dans le contexte de l’entreprise.
La sécurité est trop souvent considérée d’un point de vue technique. Le RSSI doit également apprendre à comprendre l’entreprise.
Siska Hallemeesch, CISO-as-a-service Nviso
Copier-coller
Depuis le 18 octobre, la loi NIS2 est intégrée dans la législation belge. La Belgique a donc terminé ses devoirs à temps, ce qui est plutôt l’exception que la règle. La Belgique et la Croatie sont les seuls États membres à avoir respecté le délai fixé pour le NIS2. Lors d’une table ronde organisée par ITdaily, les experts ont salué la CCB, qui a tiré la charrette.
lire aussi
La Belgique, pionnière en matière de réglementation NIS2 : pourquoi ?
M. Hallemeesch commente. « Si la Belgique est dans les temps en ce qui concerne la législation, c’est parce que le paquet a été en grande partie repris directement du texte de l’Union européenne. Je me demande si cela s’est fait avec beaucoup de concertation. Les lois sont d’abord adoptées, puis on attend l’impact sur les entreprises. Il est bon d’avoir une législation européenne qui soit la même pour tous, mais ce n’est pas non plus le cas dans la réalité. »
De la loi à la pratique
Les entreprises disposeront encore d’un certain temps pour se conformer aux lignes directrices, mais selon M. Hallemeesch, la tâche ne sera pas aisée. « Il reste à voir comment le NIS2 sera mis en œuvre dans la pratique. Les entreprises se posent encore beaucoup de questions. Aujourd’hui, le NIS2 prévoit l’obligation de signaler les incidents, mais d’ici 2027, certaines entreprises devront obtenir une certification. »
Pour aider les entreprises à démarrer, CCB a élaboré un cadre à trois niveaux. Hallemeesch : « Ce cadre est très descriptif. Les entreprises doivent en fin de compte l’appliquer dans leur contexte spécifique. Je m’interroge également sur la proportionnalité. Pour les entreprises, cela implique beaucoup d’administration. Les nouvelles entreprises pourront inclure ces éléments plus facilement, mais pour les grandes organisations, il est beaucoup plus difficile de redresser la barre.
lire aussi
Comme un lion en cage : comment les PME sont affectées par le NIS2
Une pénurie de personnel et de ressources, à laquelle de nombreuses entreprises sont confrontées, peut être à l’origine de problèmes. M. Hallemeesch conseille aux entreprises dans ce cas de chercher de l’aide rapidement. « Le NIS2 a un prix. Toutes les entreprises n’ont pas besoin d’un RSSI à temps plein. Si vous ne disposez pas du personnel nécessaire, adressez-vous à des experts externes qui vous aideront à déterminer votre niveau de maturité actuel et à élaborer un plan pour l’améliorer. Il est important que la direction générale soit également impliquée ».
« Sans NIS2, certaines entreprises n’auraient peut-être rien fait. Cela n’aurait pas été une bonne chose non plus », admet M. Hallemeesch. « De nombreuses entreprises n’ont pas encore réalisé qu’elles pouvaient également être victimes d’un cyberincident. Il faut presque en avoir fait l’expérience pour se rendre compte que ce genre d’incident se produit tous les jours. Dans ce contexte, il est également important que les entreprises se parlent et apprennent les unes des autres. En matière de sécurité , le partage est synonyme de bienveillance « .
De nombreuses entreprises ne sont pas encore prêtes. Le NIS2 a un prix.
Siska Hallemeesch, CISO-as-a-service Nviso
Case à cocher
M. Halleemeesch souhaiterait une approche plus coordonnée de la part de l’Europe. Le NIS2 ne fonctionne pas dans le vide. Ces dernières années, l’Europe a adopté une nouvelle loi après l’autre. Toutes ces règles proposées visent à accroître la sécurité des organisations, mais les législations sont mélangées, ce qui crée de la confusion.
« Pourquoi ne pouvons-nous pas parvenir à une réglementation unique qui s’applique à tous ? Il ne fait aucun doute que la maturité des organisations doit augmenter, mais l’excès de réglementation n’est pas non plus une bonne chose. Les lois sont proposées par des personnes qui n’ont aucune expérience pratique de ce qu’elles signifient pour les entreprises. Je crains également que les auditeurs qui visiteront les entreprises se contenteront de cocher une case », déclare M. Hallemeesch.
Les routes de Rome
Les technologies de l’information évoluent rapidement. Nous verrons dans les années à venir si le NIS2 est suffisamment solide pour résister à l’épreuve du temps. Aurons-nous bientôt besoin d’une loi NIS3 ? Mme Hallemeesch transmet son souhait à l’avance. « Une prochaine version devrait donner aux entreprises plus de flexibilité sur la manière d’atteindre les objectifs. Plusieurs chemins mènent à Rome, dit-on toujours. »
Mais surtout, M. Hallemeesch espère que le NIS3 n’aura pas à en subir les conséquences. « Avons-nous vraiment besoin de plus de réglementation ? J’espère sincèrement que l’Europe se posera cette question. Personnellement, je suis plus favorable à l’idée de donner aux entreprises une plus grande marge de manœuvre dans le cadre actuel pour déterminer elles-mêmes la proportionnalité par rapport à leurs cyber-risques. Si une nouvelle législation s’avérait nécessaire, j’espère qu’il y aurait des lignes directrices plus générales au lieu d’une législation encore plus différente.
Faut-il davantage de réglementation ? Ne pouvons-nous pas donner aux entreprises plus de flexibilité pour atteindre les objectifs dans le cadre actuel ?
Siska Hallemeesch, CISO-as-a-service Nviso
ITdaily a récemment organisé une table ronde sur le NIS2 avec des experts de l’industrie belge de la sécurité. Visitez notre page thématique pour voir tous les articles .