2025 s’annonce comme une année cruciale pour la mise en œuvre de nouvelles réglementations visant à renforcer la résilience numérique de l’Union européenne. Le respect de ces réglementations est non seulement un impératif juridique, mais aussi un facteur qui rend les entreprises européennes plus compétitives et génère la confiance des citoyens et des investisseurs financiers mondiaux.
Dans le monde en évolution rapide de la cybersécurité, 2025 s’annonce comme une année cruciale pour la mise en œuvre de nouvelles réglementations visant à renforcer la résilience numérique de l’Union européenne. De la transposition de la directive NIS2 à l’entrée en vigueur de la réglementation DORA et du système national du réseau et de la sécurité des services, les entreprises privées et les entités publiques sont confrontées à un paysage réglementaire de plus en plus exigeant, et il est essentiel de comprendre et d’anticiper les défis et les opportunités que cette nouvelle législation présente.
Transposition de la directive NIS2: un nouvel horizon
La directive 2022/2555, mieux connue sous le nom de NIS2, établit un cadre commun pour la cybersécurité dans l’Union européenne, visant à atteindre un niveau de sécurité élevé et uniforme dans tous les États membres. Le projet de loi préliminaire sur la coordination et la gouvernance de la cybersécurité (AL-LCGC) sera la norme qui transforme cette directive en Espagne, bien qu’avec un certain retard, car la date limite de transposition était le 17 octobre 2024.
La procédure Tris, établie par la directive 2015/1535, oblige les États membres à informer la commission du projet de réglementation technique relative aux produits et services d’information, afin de garantir que les nouveaux textes réglementaires ne créent pas des obstacles injustifiés au bon fonctionnement du marché interne. À partir de la date de notification, une période d’arrêt de trois mois commence au cours de laquelle la Commission européenne et les États membres peuvent examiner le texte et apporter toute contribution qu’ils jugent pertinente. En outre, au cours de cette période, l’État membre qui a informé le projet de règlement ne peut pas l’approuver.
Le contenu actuel de l’AL-LCGC couvre un nombre important de secteurs stratégiques et élimine la possibilité, comme envisagé dans NIS1, pour que les États membres introduisent des critères d’identification individuels. Ces changements entraînent une classification plus stricte et plus uniforme des entités affectées dans les catégories «essentielles» et «importantes», en fonction de leur taille et de leur impact économique et social. Les entreprises devront se conformer aux exigences de sécurité plus rigoureuses, gérer de manière proactive les risques, évaluer en profondeur les fournisseurs tiers et mettre en œuvre des mesures de cybersécurité obligatoires.
Les obligations de déclaration des incidents seront également resserrées, avec des délais plus stricts et un plus grand degré de coordination avec les autorités compétentes aux niveaux national et européen. Les exigences pour la supervision et les sanctions sont augmentées et la possibilité d’inspections périodiques par l’autorité et les audits obligatoires est établie.
Règlement Dora: résilience opérationnelle numérique dans le secteur financier
Le règlement 2022/2554 (DORA) se concentre sur l’augmentation de la «résilience opérationnelle numérique» des institutions financières. Approuvé le 14 décembre 2022, Dora cherche à renforcer la sécurité et la robustesse des systèmes d’information des entités du secteur financier, dans le but de réduire les risques technologiques et les cyber-états.
Comme mentionné, Dora s’applique à un large éventail d’entités du secteur financier, y compris les banques, les sociétés de services d’investissement, les gestionnaires de fonds et les assureurs, ainsi que leurs fournisseurs de services ICT critiques. Les obligations à court terme posées par Dora comprennent l’évaluation et le renforcement de la gestion interne des risques liés aux TIC, la formalisation d’une stratégie de résilience numérique supervisée au plus haut niveau et la préparation des plans d’urgence en cas d’incidents de cybersécurité.
À moyen terme, les entités doivent effectuer des tests de résilience numérique périodiques, développer des stratégies de sortie (si elles sous-traitent les fonctions essentielles à des sociétés tierces) et assurer des plans de continuité et de récupération qui répondent aux exigences de Dora. Les pénalités de non-conformité peuvent être sévères, y compris les amendes ou l’obligation de résilier les contrats avec les prestataires de services TIC qui ne respectent pas les exigences du présent règlement.
Règlement EIDAS2: vers une identité numérique européenne
L’EIDAS2 (règlement 2024/1183) a récemment été approuvée dans l’objectif principal de l’établissement d’un cadre réglementaire européen pour l’identité numérique. L’adoption de ce règlement vise à accroître la confiance dans les transactions électroniques et à promouvoir l’utilisation des technologies qui facilitent l’identité numérique dans l’UE, en prenant les services électroniques d’identification et de confiance comme point de départ.
EIDAS2 introduit des exigences plus strictes pour l’identification et l’authentification des utilisateurs, dans le but de réduire les risques de fraude ou de vol d’identité lors de l’utilisation de moyens électroniques. À cette fin, de nouveaux services de fiducie sont incorporés, tels que les portefeuilles d’identité numérique (EWALLETS), et certains aspects liés à l’utilisation des horodatages électroniques sont affinés. Les entités touchées par EIDAS2 doivent évaluer leurs risques, analyser la conformité des services qu’elles fournissent aux exigences du règlement et consacrer les ressources financières et humaines nécessaires à sa mise en œuvre appropriée.
National 5G Network and Service Security Scheme: Un nouveau paradigme
Royal Deree 443/2024 établit le Scheme national de sécurité du réseau et des services (ENS5G) pour l’Espagne. Indéniablement, la 5G est une technologie qui a le potentiel de transformer numériquement des secteurs clés tels que la médecine, le transport, la logistique et l’énergie. Cependant, la complexité technique de son architecture et l’interconnexion massive des dispositifs et services dans lesquels un nombre considérable d’entreprises et d’institutions publiques interagissent présentent des risques de cybersécurité importants.
Parmi les nouvelles fonctionnalités les plus notables, ENS5G exige que les opérateurs, les fournisseurs et les utilisateurs d’entreprise avec leurs propres réseaux 5G identifient et protégeaient les éléments de réseau critiques, diversifient leurs fournisseurs et soumettent également des rapports de sécurité périodiques au ministère de la transformation numérique. Les actions à mettre en œuvre à moyen et long terme comprennent la mise à jour continue des analyses des risques, l’exigence possible de certifications tierces et la conduite des audits périodiques.
Nouveaux changements réglementaires en 2025
En janvier 2025, deux nouveaux changements réglementaires concernant la cybersécurité ont été promulgués au sein de l’Union européenne.
D’une part, le règlement 2025/37, qui ajuste le cadre européen de certification de cybersécurité pour les fournisseurs de MSS (Services de sécurité gérés) afin d’empêcher la fragmentation du marché interne en relation avec les schémas de certification de cybersécurité.
D’un autre côté, le règlement européen 2025/38 restructure le système d’alerte européen de cybersécurité et le mécanisme d’urgence de la cybersécurité, dans le but ultime d’améliorer la coordination et la résilience des personnes touchées par des incidents importants ou à grande échelle dans toute l’Union européenne.
La conformité rend les entreprises européennes plus compétitives
Sans aucun doute, 2025 marque un tournant pour la cybersécurité dans l’Union européenne. Par conséquent, les entreprises et les entités publiques touchées par les réglementations susmentionnées seront obligées de considérer les coûts économiques de leur adaptation dans leurs budgets, ainsi que de planifier l’introduction de changements structurels dans les domaines aussi divers que la technologie, les fournisseurs et les ressources humaines.
La cybersécurité est devenue une «priorité stratégique» pour les entreprises et les institutions européennes. Cette entreprise ne peut être réalisée qu’avec une efficacité garantie si elle est approchée avec un degré élevé de proactivité et une méthodologie multidisciplinaire et intégrative.
Dans un environnement géopolitique de plus en plus turbulent, la coordination et la collaboration entre les institutions de l’Union européenne et les parties prenantes économiques sont essentielles pour réagir efficacement aux cyber-états. En fin de compte, nous devons nous convaincre que le respect de ces normes n’est pas seulement un impératif juridique, mais aussi un facteur qui rend les entreprises européennes plus compétitives et génère la confiance des citoyens et des investisseurs financiers mondiaux.
