La directive NIS2 impactera la sécurité DNS et les infrastructures critiques

Alors que les États membres de l'UE finalisent la mise en œuvre nationale de la directive NIS2, les organisations doivent commencer à se préparer à ses conséquences. La directive vise à harmoniser et renforcer la cybersécurité des services numériques et des infrastructures critiques au sein de l'Union.

NIS2 étend et clarifie les exigences de la directive NIS précédente, en spécifiant quelles organisations sont concernées et quelles mesures de sécurité elles doivent mettre en place. Pour le système de noms de domaine (DNS), la directive impose une base commune de sécurité afin d'assurer une infrastructure robuste dans toute l'UE. NIS2 a été approuvé en décembre 2022 et deviendra loi nationale dans les États membres à compter du 18 octobre 2024.

La directive affecte plusieurs secteurs jugés essentiels au fonctionnement sociétal, notamment les communications électroniques, l'énergie, la finance, la santé et les transports. Les organisations de ces domaines devront garantir une infrastructure DNS redondante, une protection contre les attaques DNS, des pare-feu d'applications web et un routage fiable.

Le non-respect peut entraîner des sanctions importantes, y compris des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel. Les organisations doivent examiner leurs chaînes d'approvisionnement et s'assurer que leurs prestataires de services répondent également aux exigences de NIS2. Il est fortement recommandé de faire appel à des prestataires basés dans l'UE, de préférence locaux, offrant des contrats et un support dans la langue locale.

Un niveau de sécurité équivalent à la certification ISO 27000 est généralement requis. L'Agence de l'Union européenne pour la cybersécurité (ENISA) et les autorités nationales, telles que la MSB suédoise, fournissent des directives pour la mise en œuvre.