La directive SRI 2 fait suite à la directive NIS (Network and Information Systems) adoptée en 2016. La directive NIS était la première législation européenne sur la cybersécurité, visant à améliorer la sécurité des réseaux et des systèmes d’information au sein de l’UE.
La première directive NIS, dite Directive SRI 1, avait pour objectif principal d’améliorer la cybersécurité des entreprises européennes en établissant des normes et des exigences de sécurité pour deux catégories d’organisations : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN). Les OSE comprenaient des secteurs critiques tels que la santé, les transports et l’énergie, tandis que les FSN englobaient les moteurs de recherche en ligne, les places de marché sur Internet et les services dans le Cloud.
Principales dispositions de la Directive SRI 1 :
La directive SRI 1 a marqué une avancée significative en matière de cybersécurité en Europe, mais elle présentait également certaines limites. Elle était principalement axée sur les OSE et les FSN, laissant de côté de nombreuses autres organisations qui pouvaient être vulnérables aux cyberattaques.
La directive SRI 2 est une réponse aux défis récents en matière de cybersécurité, notamment l’augmentation spectaculaire de 220% des cyberattaques pendant la pandémie de COVID-19. Cela a mis en évidence l’importance d’une cybersécurité renforcée, en particulier dans un contexte où les entreprises et les gouvernements dépendent de plus en plus des technologies numériques.
Cette évolution vise à étendre la portée de la législation pour inclure un plus grand nombre d’entités et à prendre en compte la sécurité de la chaîne d’approvisionnement des technologies de l’information et de la communication (TIC).
La SRI 2 devrait minimiser les différences entre les États membres de l’UE en matière de cybersécurité. Elle vise à présenter un plan stratégique unifié pour faire face à une variété de menaces pour la cybersécurité. Par rapport à la SRI 1, la SRI 2 introduit des mesures de surveillance plus strictes pour les autorités nationales et des exigences de mise en application plus rigoureuses.
Elle élargit par ailleurs considérablement le champ d’application de la législation en incluant quasiment toutes les moyennes et grandes entités commerciales opérant sur le marché intérieur de l’Union européenne.
Notre partenaire en maîtrise des risques
La directive sur la sécurité des réseaux et des systèmes d’information 2 de l’Union européenne représente une étape importante dans la consolidation de la cybersécurité en Europe. Elle élargit la portée de la législation pour inclure un plus grand nombre d’organisations et prend en compte la sécurité de la chaîne d’approvisionnement des TIC. La pandémie de COVID-19 a mis en évidence l’urgence de renforcer la cybersécurité, et la SRI 2 vise à répondre à ces défis. Cependant, sa mise en œuvre réussie nécessitera une coopération étroite entre les États membres de l’UE, les secteurs industriels et les fournisseurs de services, ainsi qu’une adaptation constante aux menaces de cybersécurité en évolution.