Il y a deux ans, la Commission européenne a proposé des règles sur la cybersécurité des réseaux et des systèmes d'information, appelées "directive NIS 2", qui élargissent le champ d'application de la directive NIS actuelle.
Les nouvelles règles couvrent toutes les moyennes et grandes entreprises des secteurs essentiels - énergie, transport, banque, infrastructure des marchés financiers, santé, vaccins et dispositifs médicaux, eau potable, eaux usées, infrastructure numérique, administration publique et espace.
Toutes les moyennes et grandes entreprises des services postaux et de messagerie, de la gestion des déchets, des produits chimiques, de la fabrication de produits alimentaires, des dispositifs médicaux, des ordinateurs et de l'électronique, des machines, des véhicules à moteur et des fournisseurs numériques tels que les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de services de réseautage social seront également soumis à ces règles.
Les entreprises sont tenues d'évaluer leurs risques en matière de cybersécurité, d'en informer les autorités et de prendre des mesures techniques et organisationnelles pour contrer les risques, sous peine d'amendes pouvant atteindre 2 % du chiffre d'affaires mondial en cas de non-respect de ces règles.
Les pays de l'UE et l'ENISA, l'agence européenne de cybersécurité, pourraient également évaluer les risques des chaînes d'approvisionnement critiques dans le cadre de ces règles.
"Les cybermenaces sont devenues plus audacieuses et plus complexes. Il était impératif d'adapter notre cadre de sécurité aux nouvelles réalités et de veiller à ce que nos citoyens et nos infrastructures soient protégés", a déclaré Thierry Breton, chef de l'industrie européenne, dans un communiqué.
