CRA, NIS 2 : deux règlements à venir plus impactants sur la sécurité des IoT/OT

Il y aura bien sûr le Cyber Resilience Act, mais un autre règlement englobe et complète le secteur de l'IoT, c'est la directive NIS 2 (Network and Information Security) qui entrera en vigueur le 18 octobre prochain. Comme le rappelle Grégory Gatineau, Category Manager chez HPE Aruba Networking, l'article 89 de cette directive va permettre de renforcer la stratégie Zero Trust dans les entreprises concernées, bref de contrôler ainsi qui aura accès aux objets connectés. NIS 2 va aussi encourager les entreprises à introduire des mises à jour logicielles régulières et d'autres fonctions. Par rapport à NIS 1, avec NIS 2, le périmètre des entreprises concernées passe de 19 secteurs à 35. Sont entre autres concernés les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d'eaux usées et de gestion de déchets, les services postaux, l'alimentation, les fabricants de produits chimiques et pharmaceutiques, les acteurs de l'énergie, des transports, les banques et institutions financières puis la santé. De ce fait, des milliers d'entreprises vont être contraintes par la loi de rehausser le niveau de leur sécurité informatique dont certaines PME et collectivités. Cette directive vise également les prestataires IT des dites entreprises ayant un accès à toutes ces infrastructures critiques. Plus stricte, la NIS 2 oblige les acteurs à déclarer le sinistre dans les 72 heures afin de réagir au plus vite et d'annihiler la cybermenace. Tous devront se soumettre à des audits de sécurité dans le but de recevoir des recommandations et de répondre à des normes de sécurité drastiques. Là aussi, en cas de non-respect, les sanctions seront plus sévères ; elles incluent notamment des amendes administratives dont le montant peut aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires de l'entité, la responsabilité du dirigeant pouvant même être engagée.