Pour combler de nombreuses lacunes en matière de cyber sécurité, la Directive 2016/1148 « NIS » (Network and Information Systems Security) a été adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Europe. Cette directive européenne tend à créer des règles équivalentes au sein des Etats membres de l’Union Européenne pour sécuriser les réseaux et les systèmes d’informations. Elle devra être transposée dans les législations internes des Etats Membres au plus tard le 9 mai 2018.

Pour les entreprises confrontées constamment aux cyber-menaces et aux défaillances techniques, la directive va créer un cyberespace sécurisé afin que leur prestation de travail soit accomplie sans risque aucun.

Afin de créer un espace sécurisé en ligne, l’utilisateur pourra prévenir et notifier tout incident de sécurité auprès d’organismes nationaux compétents appelés « point de contact unique » et « autorités nationales compétentes ». La directive propose ainsi de créer une coopération européenne appelée « groupe de coopération » et d’un « centre de réponse aux incidents de sécurité informatiques » (CSIRT). Les entreprises, principales victime de la cybercriminalité, pourront dès lors identifier, dénoncer et régler les problèmes relatifs aux incidents de sécurité au niveau national et au niveau européen. Toutefois, certaines associations européennes telles que l’AFDEL (l’Association Française des Editeurs de Logiciels et de Solutions Internet) émettent des critiques. Les entreprises de taille modeste devront, le cas échéant, lever des fonds pour financer une meilleure sécurisation des réseaux et systèmes d’informations en nuisant alors à leur compétitivité.

Les « opérateurs de services essentiels » et les « fournisseurs de services numériques » vont supporter d’importantes obligations face aux entreprises. En effet, les domaines les plus sensibles aux cyber-menaces (banque, finance, e-Commerce) présentent davantage de risques quant aux données reçues et potentiellement transmises. C’est pourquoi, ils doivent garantir une meilleure gestion et prévention des risques à l’encontre des utilisateurs.

Enfin, la « stratégie nationale » revêt un aspect important de cette directive. Afin de mieux évaluer et prévenir les cyberattaques, l’utilisateur doit être informé des risques qu’il encourt. Ainsi, les Etats membres sont soumis à un renforcement de la sécurité numérique par le biais de nouvelles obligations, (cibler les acteurs de la stratégie nationale, évaluer les risques encourus). Cette responsabilisation de l’utilisateur est un élément à prendre en considération et à développer puisque, malgré le durcissement de la législation, la cybercriminalité touche de plus en plus d’entreprises.