La directive NIS2 impose une stratégie de sécurité unifiée
Le champ d'application et les obligations élargis de la directive européenne NIS2 exigent des organisations qu'elles intègrent la résilience numérique et la sécurité des accès physiques.
Les entreprises européennes se préparent aux implications de la directive NIS2, qui élargira considérablement le champ d'application et les obligations de conformité à un plus grand nombre d'organisations à partir de juillet 2025. La directive, remplaçant une version antérieure de 2016, devrait affecter plus de 160 000 entités dans des secteurs tels que les infrastructures critiques, la finance, la santé et l'industrie manufacturière.
ASSA ABLOY a publié un livre blanc soulignant que la législation NIS2 exige une approche "tous risques" de la sécurité, englobant non seulement les réseaux numériques, mais aussi les environnements physiques dans lesquels ils opèrent. L'ENISA, l'agence de cybersécurité de l'UE, a identifié l'accès physique comme une vulnérabilité majeure, suggérant que les serrures mécaniques obsolètes et les systèmes hérités présentent des risques importants.
La directive impose aux entités essentielles et importantes de mettre en œuvre des "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées". Celles-ci comprennent une gestion sécurisée des identités et des accès, une analyse continue des risques et la protection des infrastructures physiques telles que les serveurs et les terminaux. Les solutions d'accès numérique modernes peuvent fournir une surveillance en temps réel, une traçabilité complète, des autorisations granulaires et une désactivation rapide des identifiants, facilitant ainsi la conformité et garantissant des pistes d'audit accessibles.
Ces systèmes numériques peuvent réduire la dépendance à l'égard du suivi manuel des clés et permettre des réponses plus rapides aux attaques physiques. ASSA ABLOY suggère que la directive NIS2 marque le début de la fin des opérations de sécurité physique et numérique cloisonnées, prônant une approche plus connectée de la résilience. L'entreprise encourage les organisations relevant du champ d'application de la directive à évaluer stratégiquement leur infrastructure d'accès pour combler les vulnérabilités potentielles.