Published 08 October 2024
Dans cet entretien avec Olivier Guerdan, expert de Team Internet, nous examinons les nouvelles lignes directrices de la directive NIS2 et la manière dont elles affecteront votre entreprise. Lisez la suite pour en savoir plus.
Bonjour Olivier, merci d’avoir pris le temps de répondre à nos questions !
Pouvez-vous nous parler un peu de vous et de votre expérience dans l’industrie ?
Au début des années 2000, j’ai commencé à travailler chez DENIC eG et j’y suis resté pendant plus de dix ans. J’y ai beaucoup appris sur l’exploitation d’un registre, le service client et le développement de logiciels. Depuis 2016, je fais partie de PartnerGate devenu une société du groupe Team Internet, qui me confère une représentation dans plusieurs groupes de travail et conseils consultatifs.
Qu’est-ce que la directive NIS2 et pourquoi a-t-elle été introduite ?
En résumé, la directive NIS2 est la nouvelle version avancée du NIS – une directive sur la cybersécurité visant à améliorer la résilience et la durabilité des infrastructures critiques. La norme ISO 27001 est un résultat direct de cette directive.
Quels sont les principaux objectifs de la directive NIS2 ?
Les cinq objectifs clés de la directive NIS2 sont les suivants :
- Renforcement des mesures de cybersécurité
- Amélioration de la gestion des incidents
- Un champ d’application plus large
- Amélioration de la coopération
- Une plus grande responsabilisation.
Pour illustrer l’importance de ces objectifs : les pertes financières totales dues à la cybercriminalité en Allemagne ont été considérables, s’élevant à environ 205,9 milliards d’euros en 2023.
Comment l’article 28 de la directive NIS2 affecte-t-il spécifiquement les entreprises ?
L’article 28 peut viser spécifiquement les registres des TLD européens et les entités fournissant des services de noms de domaine, mais l’impact concerne surtout les propriétaires de noms de domaines, car leurs données doivent être vérifiées.
En quoi l’article 28 diffère-t-il des règlements antérieurs en matière de cybersécurité ?
La grande différence par rapport à la situation actuelle est que le nom, l’adresse électronique et le numéro de téléphone doivent être vérifiés pour chaque titulaire d’un domaine. Ces vérifications peuvent être effectuées a posteriori ou ex ante – ce qui signifie qu’une vérification peut avoir lieu avant, pendant et après l’enregistrement d’un domaine.
Il convient de garder à l’esprit que, malgré son impact en tant que directive, il ne s’agit pas d’un règlement comme le GDPR. Le contenu de la NIS2 doit être transposé dans le droit national. Ce qui signifie que chaque État membre dispose de sa propre législation locale en matière de cybersécurité.
Quels sont les secteurs les plus concernés par la directive NIS2, en particulier l’article 28 ?
L’article 28 aura un fort impact sur l’industrie des noms de domaines. L’impact sur les secteurs dépendants tels que l’hébergement ou d’autres services web n’est pas encore totalement prévisible.
Quelles sont les sanctions prévues en cas de non-respect de l’article 28 de la directive NIS2 ?
Nous parlons de chiffres similaires à ceux du GDPR. En fonction de l’infraction, les sanctions peuvent aller de quelques milliers d’euros à 7 millions d’euros ou un maximum de 1,4 % du chiffre d’affaires annuel mondial de l’exercice en cours.
L’importance de la directive est également démontrée par le fait que le traitement et la mise en œuvre des mesures et des processus doivent être personnellement supervisés par le PDG. Tout manquement à cette obligation peut entraîner une sanction personnelle pouvant aller jusqu’à 100 000 euros.
Comment les entreprises peuvent-elles se préparer et se conformer à l’article 28 ?
Le principe fondamental de l’article 28 repose sur la connaissance du client. Si vous avez déjà mis en place des procédures et des mesures, vous êtes déjà prêt.
Que doivent faire les détenteurs de noms de domaines, les bureaux d’enregistrement et les registres pour se préparer au NIS2 ?
En général, il ne devrait pas y avoir de grands changements pour les détenteurs / titulaires de noms de domaines -. À l’exception de la vérification de certaines données telles que l’adresse ou le numéro de téléphone. Sur la base des principes KYC (Connaissance du Client), ces vérifications devraient déjà être en place. Néanmoins, il faut s’attendre à un plus grand nombre de demandes de documents d’identité de la part des registres ou du système de gestion des domaines.
Qu’est-ce que BrandShelter pourra faire concrètement pour vous aider ?
Chez Team Internet, nous étudions en permanence la situation actuelle concernant NIS2.
En arrière-plan, nous préparons déjà le terrain pour traiter les demandes de noms de domaines et les processus de vérification. La plupart du temps, nous devons attendre que la directive soit transposée dans la législation locale et, en particulier, que le registre correspondant réagisse à cette législation et mette en œuvre ces changements dans son système.
Certains registres effectuent déjà des vérifications KYC sur leurs clients/propriétaires de noms de domaines, de sorte qu’il n’y a pas de changement du tout. D’autres registres ont des projets différents mais n’ont pas encore annoncé leurs procédures.
Merci beaucoup d’avoir répondu à nos questions !
Si vous souhaitez en savoir plus sur NIS2 et ses conséquences pour votre entreprise, n’hésitez pas à nous contacter ici.