comment nous impactons
Solutions
Services
Partenaires
Ces dernières années, l'Union Européenne (UE) a considérablement renforcé ses régulations en matière de sécurité de l'information, cherchant ainsi à garantir la résilience numérique et à protéger les données des organisations. Les régulations les plus récentes et importantes dans ce domaine sont NIS 2 et DORA.
La directive sécurité des réseaux et des systèmes d’Information (NIS 2), qui entrera en vigueur en octobre 2024, étend la couverture de la directive NIS d'origine. Elle exige que les secteurs critiques – tels que la santé, l'énergie, les transports, la finance et les infrastructures numériques – mettent en place des mesures de cybersécurité robustes. NIS 2 vise à atténuer les risques de cyberattaques et à renforcer la coopération entre les États membres de l'UE. Les principaux aspects de NIS 2 comprennent l'exigence de gestion des risques liés aux technologies de l'information et de la communication (TIC), des notifications d'incidents obligatoires, et la mise en œuvre de mesures préventives pour protéger les réseaux et les systèmes d'information.
Le règlement Digital Operational Resilience Act (DORA), prévu pour entrer en vigueur en janvier 2025, se concentre spécifiquement sur le secteur financier. DORA établit des exigences strictes en matière de gestion des risques liés aux TIC, couvrant les banques, les compagnies d'assurance, les sociétés d'investissement, les prestataires de services de paiement et d'autres institutions financières. DORA oblige ces institutions à mettre en place des mesures pour assurer leur résilience opérationnelle, à effectuer des tests périodiques de résilience, à signaler les incidents liés aux TIC et à maintenir des plans robustes de continuité d’activité.
Le tableau ci-dessous résume les principales différences entre NIS 2 et DORA :
| NIS 2 | DORA | |
| Date de création | 14 décembre 2022 | 16 janvier 2023 |
| Entrée en vigueur | 17 octobre 2024 | 17 janvier 2025 |
| Secteurs critiques couverts | Énergie Transport Santé Banques Finance Infrastructures numériquesEau potable Eaux usées Infrastructures des TIC Administration publique Espace | Banques Compagnies d’assurance Sociétés d’investissement Prestataires de services de paiement Entreprises de technologies financières (Fintechs) Infrastructures de marchés financiers |
| Objectifs principaux | Améliorer la cybersécurité dans les secteurs critiques pour atténuer les risques de cyberattaques. Établir une base commune de mesures de cybersécurité pour les États membres de l'UE. Augmenter la coopération et le partage d'informations entre les États membres. | Garantir que les institutions financières puissent résister, réagir et se remettre des cyberattaques et autres perturbations opérationnelles. Établir des exigences strictes pour la gestion des risques liés aux Technologies de l'Information et de la Communication (TIC). Mettre en œuvre des tests périodiques de résilience opérationnelle. Assurer la continuité des activités et la résilience des systèmes financiers de l'UE. |
| Sanctions en cas de non-conformité | Les sanctions varient selon la législation nationale des États membres et peuvent inclure :Des amendes importantes et d'autres pénalités financières (l'amende maximale pour les entités essentielles est de 10 millions d'euros). La possibilité de sanctions administratives, telles que des ordres de conformité et des audits obligatoires. | Les sanctions varient et peuvent inclure :Des amendes importantes et d'autres pénalités financières spécifiques au secteur financier. La possibilité de sanctions administratives, y compris des ordres de mise en conformité et des audits obligatoires. Des risques de mesures règlementaires supplémentaires, telles que des restrictions opérationnelles. |
| Autres dates importantes | 17/01/2025 : Le groupe de coopération NIS doit établir une méthodologie de revue par les pairs. 17/04/2025 : Les États membres doivent établir une liste des entités essentielles et importantes d'ici cette date. 17/10/2025 : La Commission européenne analysera et révisera le fonctionnement de la directive NIS 2. | Délai pour les institutions afin de satisfaire aux exigences spécifiques : jusqu'à 18 mois après l'entrée en vigueur. |
Ne pas se conformer à ces règlementations expose les institutions à des risques importants. Les entreprises peuvent ainsi faire face à des amendes conséquentes et à des sanctions légales, entraînant une perte de confiance de leurs clients et une baisse de leur activité.
De plus, l'exposition à des cyberattaques peut entrainer des violations de données sensibles ou personnelles, des pertes financières et des dommages irréparables à la réputation de l'entreprise.
Les règlementations sur la sécurité de l'information NIS 2 et DORA visent à améliorer la résilience des organisations travaillant dans des secteurs sensibles de façon qu’elles et leurs employés soient mieux préparées pour éviter et gérer des risques de cybersécurité tels que:
Outre NIS 2 et DORA, d'autres règlementations européennes actuellement en place jouent un rôle crucial dans la sécurité de l'information, notamment :
Étant donnée la complexité et l'étendue de ces règlementations, il est fortement recommandé aux entreprises de recourir à des cabinets de conseil spécialisés, qui peuvent fournir l'expertise nécessaire pour assurer la conformité, aider à mettre en œuvre les bonnes pratiques et préparer les entreprises aux audits et aux incidents éventuels.
De plus, des cabinets de conseil – comme act digital – offrent un support continu, aidant les entreprises à s'adapter aux changements règlementaires et à rester concentrées sur leurs activités principales, tout en conservant un bon niveau sécurité et en étant conformes à la législation en vigueur.
En résumé, la conformité aux règlementations de sécurité de l'information en Europe n'est pas seulement une exigence légale, mais une pratique essentielle pour protéger les entreprises et maintenir la confiance sur le marché numérique.
Ces dernières années, l'Union Européenne (UE) a considérablement renforcé ses régulations en matière de sécurité de l'information, cherchant ainsi à garantir la résilience numérique et à protéger les données des organisations. Les régulations les plus récentes et importantes dans ce domaine sont NIS 2 et DORA.
La directive sécurité des réseaux et des systèmes d’Information (NIS 2), qui entrera en vigueur en octobre 2024, étend la couverture de la directive NIS d'origine. Elle exige que les secteurs critiques – tels que la santé, l'énergie, les transports, la finance et les infrastructures numériques – mettent en place des mesures de cybersécurité robustes. NIS 2 vise à atténuer les risques de cyberattaques et à renforcer la coopération entre les États membres de l'UE. Les principaux aspects de NIS 2 comprennent l'exigence de gestion des risques liés aux technologies de l'information et de la communication (TIC), des notifications d'incidents obligatoires, et la mise en œuvre de mesures préventives pour protéger les réseaux et les systèmes d'information.
Le règlement Digital Operational Resilience Act (DORA), prévu pour entrer en vigueur en janvier 2025, se concentre spécifiquement sur le secteur financier. DORA établit des exigences strictes en matière de gestion des risques liés aux TIC, couvrant les banques, les compagnies d'assurance, les sociétés d'investissement, les prestataires de services de paiement et d'autres institutions financières. DORA oblige ces institutions à mettre en place des mesures pour assurer leur résilience opérationnelle, à effectuer des tests périodiques de résilience, à signaler les incidents liés aux TIC et à maintenir des plans robustes de continuité d’activité.
Le tableau ci-dessous résume les principales différences entre NIS 2 et DORA :
| NIS 2 | DORA | |
| Date de création | 14 décembre 2022 | 16 janvier 2023 |
| Entrée en vigueur | 17 octobre 2024 | 17 janvier 2025 |
| Secteurs critiques couverts | Énergie Transport Santé Banques Finance Infrastructures numériquesEau potable Eaux usées Infrastructures des TIC Administration publique Espace | Banques Compagnies d’assurance Sociétés d’investissement Prestataires de services de paiement Entreprises de technologies financières (Fintechs) Infrastructures de marchés financiers |
| Objectifs principaux | Améliorer la cybersécurité dans les secteurs critiques pour atténuer les risques de cyberattaques. Établir une base commune de mesures de cybersécurité pour les États membres de l'UE. Augmenter la coopération et le partage d'informations entre les États membres. | Garantir que les institutions financières puissent résister, réagir et se remettre des cyberattaques et autres perturbations opérationnelles. Établir des exigences strictes pour la gestion des risques liés aux Technologies de l'Information et de la Communication (TIC). Mettre en œuvre des tests périodiques de résilience opérationnelle. Assurer la continuité des activités et la résilience des systèmes financiers de l'UE. |
| Sanctions en cas de non-conformité | Les sanctions varient selon la législation nationale des États membres et peuvent inclure :Des amendes importantes et d'autres pénalités financières (l'amende maximale pour les entités essentielles est de 10 millions d'euros). La possibilité de sanctions administratives, telles que des ordres de conformité et des audits obligatoires. | Les sanctions varient et peuvent inclure :Des amendes importantes et d'autres pénalités financières spécifiques au secteur financier. La possibilité de sanctions administratives, y compris des ordres de mise en conformité et des audits obligatoires. Des risques de mesures règlementaires supplémentaires, telles que des restrictions opérationnelles. |
| Autres dates importantes | 17/01/2025 : Le groupe de coopération NIS doit établir une méthodologie de revue par les pairs. 17/04/2025 : Les États membres doivent établir une liste des entités essentielles et importantes d'ici cette date. 17/10/2025 : La Commission européenne analysera et révisera le fonctionnement de la directive NIS 2. | Délai pour les institutions afin de satisfaire aux exigences spécifiques : jusqu'à 18 mois après l'entrée en vigueur. |
Ne pas se conformer à ces règlementations expose les institutions à des risques importants. Les entreprises peuvent ainsi faire face à des amendes conséquentes et à des sanctions légales, entraînant une perte de confiance de leurs clients et une baisse de leur activité.
De plus, l'exposition à des cyberattaques peut entrainer des violations de données sensibles ou personnelles, des pertes financières et des dommages irréparables à la réputation de l'entreprise.
Les règlementations sur la sécurité de l'information NIS 2 et DORA visent à améliorer la résilience des organisations travaillant dans des secteurs sensibles de façon qu’elles et leurs employés soient mieux préparées pour éviter et gérer des risques de cybersécurité tels que:
Outre NIS 2 et DORA, d'autres règlementations européennes actuellement en place jouent un rôle crucial dans la sécurité de l'information, notamment :
Étant donnée la complexité et l'étendue de ces règlementations, il est fortement recommandé aux entreprises de recourir à des cabinets de conseil spécialisés, qui peuvent fournir l'expertise nécessaire pour assurer la conformité, aider à mettre en œuvre les bonnes pratiques et préparer les entreprises aux audits et aux incidents éventuels.
De plus, des cabinets de conseil – comme act digital – offrent un support continu, aidant les entreprises à s'adapter aux changements règlementaires et à rester concentrées sur leurs activités principales, tout en conservant un bon niveau sécurité et en étant conformes à la législation en vigueur.
En résumé, la conformité aux règlementations de sécurité de l'information en Europe n'est pas seulement une exigence légale, mais une pratique essentielle pour protéger les entreprises et maintenir la confiance sur le marché numérique.
