1 minute read
Auteurs NICOLAS LÉONARD ET BENOÎT THEUNISSEN
from Paperjam mai 2023
Adoptée en novembre 2022, la directive NIS2 reste encore en attente de transposition en droit luxembourgeois. Malgré tout, il est temps de préparer les acteurs du marché aux futurs changements législatifs en matière de cybersécurité, considère Luc Tapella, directeur de l’Institut luxembourgeois de régulation (ILR). Il se réjouit d’ailleurs de l’intérêt porté par les médias à ce sujet, car « il est crucial d’informer les parties concernées le plus tôt possible pour leur permettre de se préparer en conséquence ».
Le délai de transposition est de 21 mois, explique Sheila Becker, head of network and information systems’ security à l’ILR, à compter de la date de publication du texte. S’il ne faut pas attendre de loi avant 2024, elle insiste, elle aussi, sur les préparatifs que doivent mettre en place les opérateurs économiques. « Cette approche proactive permettra aux entreprises de se préparer en amont, assurant une meilleure conformité et une sécurité renforcée », anticipe-t-elle.
À son tour, Luc Tapella ajoute que l’enjeu concerne un nombre croissant de petites entreprises qui font face à des cyberattaques ou des ransomwares. Ces entreprises peuvent être indirectement affectées, même si elles ont recours à des logiciels utilisés par une grande industrie. « Si une faille est trouvée, toutes les entreprises utilisant le même logiciel seront attaquées, peu importe leur taille », déclare le directeur de l’ILR. Plus aucune entreprise, indépendamment de sa taille, ne se trouve à l’abri. « Nous vivons dans un monde où tout le monde est vulnérable, que ce soit les acteurs importants qui offrent des services essentiels ou les petites entreprises. »
Identifier les acteurs
Depuis l’adoption de NIS1 en 2016, la digitalisation de l’économie s’est incontestablement accélérée. D’autres secteurs sont donc naturellement devenus, eux aussi, exposés aux risques cybernétiques. « Les secteurs couverts par NIS2 comprennent, entre autres, les télécoms, les fournisseurs de services digitaux, les services de courrier, le traitement des eaux usées, la valorisation des déchets et l’industrie manufacturière », indique Sheila Becker. Toutefois, elle précise qu’il n’existe pas encore d’estimation du nombre d’entreprises supplémentaires qui tomberont sous le coup de la loi par rapport à NIS1.
Jusqu’à présent, les secteurs régulés par NIS1 étaient essentiellement les télécoms et l’énergie. « Nous avons une bonne
