Les cybermenaces évoluent et les réglementations se durcissent, en particulier au sein de l'UE. En 2025, de nouvelles normes de cybersécurité, telles que NIS2 et DORA, et des mises à jour de celles existantes, comme ISO 27001:2022, imposeront des exigences de conformité plus strictes aux entreprises de l'UE.
Ces réglementations illustrent l'engagement de l'Union européenne à renforcer la sécurité numérique et la protection des données, obligeant les entreprises de divers secteurs à s'adapter à de nouvelles obligations légales dans les années à venir.
Certaines entreprises sont déjà conscientes de ces réglementations, d'autres ne les ont peut-être pas encore à l'esprit, mais la non-conformité n'est pas une option. Que vous gériez directement la sécurité informatique ou que vous supervisiez l'infrastructure technologique de votre entreprise, il est essentiel de comprendre l'impact de ces normes sur votre activité et les mesures à prendre.
Quels sont les enjeux ?
Comment se préparer à la conformité NIS2, DORA et 27001:2022 ? Découvrez des étapes concrètes dans cet article ! 👇🏻
Dans cet article :
Adoptée en novembre 2022, la directive NIS2 (Network and Information Security Directive 2) vise à renforcer la cybersécurité dans les secteurs critiques, notamment l'énergie, les transports, la santé et les infrastructures numériques.
La directive NIS2 devait être transposée dans les législations nationales avant octobre 2024. En mars 2025, la plupart des États membres de l'UE avaient finalisé cette transposition, rendant les exigences de la directive immédiatement applicables pour les entreprises concernées.
Les entreprises doivent désormais se conformer aux nouvelles exigences, notamment en matière de gestion des risques et de signalement des incidents.
Concrètement, la directive NIS2 préconise l'intégration de la cyber-résilience dans la fourniture et la gestion du cycle de vie des équipements informatiques, ainsi que la sensibilisation et la formation internes pour assurer une conformité proactive.
Pour bconnex et ses marques, cela implique également d'être conforme, afin de répondre aux exigences de nos clients soumis au NIS2, car ils exigeront également un niveau de sécurité élevé de la part de leurs fournisseurs de services.
🔍 Vue d'ensemble de la directive NIS2
Objectif : étendre les obligations en matière de cybersécurité aux entreprises essentielles et stratégiques
Date d'adoption : novembre 2022 - Transposition obligatoire d'ici octobre 2024 (en mars 2025, la plupart des États membres de l'UE auront intégré le NIS2 dans leur législation nationale)
Qui est impacté ?
- Secteurs essentiels : énergie, transports, santé, infrastructures numériques, etc.
- Secteurs importants : télécommunications, gestion des déchets, services numériques, etc. Les fournisseurs de services informatiques qui travaillent avec ces secteurs doivent se conformer à la législation.
Obligations principales :
- Renforcement des exigences en matière de gestion des risques liés à la cybersécurité.
- Délais stricts pour la déclaration des incidents ( 24 à 72 heures ).
- Audits réguliers et contrôles de sécurité pour assurer la conformité.
Qu'est ce que cela implique ?
- La cyber-résilience doit être intégrée à tous les stades du cycle de vie IT.
- La sensibilisation et la formation internes sont essentielles pour une conformité proactive.
- Les prestataires de services travaillant avec les industries concernées doivent également se conformer à la directive NIS2.
Pour les entreprises françaises : en savoir plus sur le NIS2 https://monespacenis2.cyber.gouv.fr/directive
Entrant en vigueur le 17 janvier 2025, la réglementation DORA (Digital Operational Resilience Act) impose aux entités financières de l'UE de mettre en œuvre des mesures robustes de gestion des risques liés aux technologies de l'information et de la communication (TIC). Les entreprises doivent désormais se conformer aux exigences DORA pour garantir leur résilience opérationnelle face aux cybermenaces.
La réglementation DORA complète donc la directive NIS2, puisqu'elle vise un secteur spécifique (le secteur financier) avec des exigences spécifiques. Le respect de l'un permet de se préparer à l'autre.
N'oublions pas que la réglementation DORA ne concerne pas seulement les institutions financières : leurs prestataires de services informatiques doivent également s'aligner sur ces exigences de cyber-résilience. La conformité des sous-traitants devient un critère essentiel pour les contrats avec les banques et les compagnies d'assurance. C'est pourquoi, chez bconnex, nous mettons également un point d'honneur à respecter la réglementation DORA !
🔍 Vue d'ensemble de la réglementation DORA :
Objectif : assurer la résilience opérationnelle numérique des institutions financières et de leurs fournisseurs informatiques face aux cybermenaces.
Date d'adoption : 17 janvier 2025 dans toute l'UE
Qui est impacté ?
- Banques, compagnies d'assurance, fintechs, gestionnaires d'actifs, etc.
- Fournisseurs de services informatiques travaillant avec ces entités
Obligations principales :
- Mise en place de cadres solides de gestion des risques informatiques
- Exigence de tests réguliers de résilience opérationnelle (identification et correction des vulnérabilités)
- Surveillance accrue des fournisseurs de services tiers essentiels
Quel est le lien entre DORA et NIS2 ?
- La réglementation DORA complète la directive NIS2, qui couvre un large spectre (tous les secteurs), alors que la réglementation DORA cible le secteur financier avec des exigences spécifiques.
- Le respect de l'un des deux critères permet de se préparer à l'autre.
Ce que cela signifie :
- Conformité des prestataires de services de ces entreprises (tels que bconnex et ses marques)
En savoir plus sur DORA: https://finance.ec.europa.eu/regulation-and-supervision/financial-services-legislation/implementing-and-delegated-acts/digital-operational-resilience-regulation_en
La norme internationale ISO 27001, révisée en 2022, fournit un cadre pour la gestion sécurisée des systèmes d'information (SMSI - Système de management de la sécurité de l'information). Bien qu'il ne s'agisse pas d'une réglementation de l'UE, elle est largement adoptée par les entreprises européennes pour se conformer aux exigences réglementaires, notamment celles de la DORA et du NIS2.
Les organisations certifiées selon la version 2013 disposent d'une période de transition jusqu'en octobre 2025 pour migrer vers la nouvelle version.
La norme 27001:2022 s'applique à toute organisation gérant des données sensibles et exige en particulier :
La norme ISO 27001 met également l'accent sur l'engagement dans la gestion et l'intégration de la sécurité de l'information dans la culture de l'organisation.
L'adoption de la norme ISO 27001 permet une gestion proactive des cyber-risques et garantit la conformité aux exigences du NIS2 et de la DORA. Sa certification est un atout différenciant pour toute entreprise soucieuse de cybersécurité - y compris bconnex 😉.
🔍 Vue d'ensemble de la norme ISO 27001:2022 :
Objectif : fournir un cadre pour la gestion sécurisée des systèmes d'information (SMSI - Système de management de la sécurité de l'information )
Date d'adoption : Octobre 2022 pour la version révisée - Période de transition jusqu'en octobre 2025 pour migrer vers la nouvelle version (pour les entreprises certifiées selon la version 2013)
Qui est impacté ?
- Toute entreprise gérant des données sensibles
Obligations et bonnes pratiques :
- Mise à jour des contrôles pour tenir compte des évolutions technologiques et des nouvelles menaces
- Identification et gestion des cyber-risques par le biais d'un SMSI robuste
- Définition de politiques et de processus clairs (gestion des accès, sauvegardes, cryptage, etc.)
- Sensibilisation et formation continue des équipes
Pourquoi est-ce important ?
- Alignement avec le NIS2 et le DORA, facilitant la conformité avec ces réglementations
- Sécuriser les données des clients et votre propre SI
- Une démarche structurée et certifiable, un atout pour prouver votre engagement en matière de cybersécurité
Normes ISO complémentaires :
- ISO 27018 : protection des données personnelles dans le cloud
- ISO 27701 : extension de la norme 27001 pour la gestion des données personnelles (étroitement liée au RGPD)
🎯 bconnex a entrepris, en 2025, une démarche pour obtenir la certification ISO 27001
Implémenté en mai 2018, le RGPD (Règlement général sur la protection des données) reste l'un des cadres de protection des données les plus stricts et les plus complets au monde. S'il est en vigueur depuis plusieurs années, il est loin d'être dépassé.
Avec la montée des cybermenaces, des exigences de conformité plus strictes et des sanctions plus lourdes, le RGPD continue de façonner la manière dont les entreprises traitent les données à caractère personnel. Que les entreprises opèrent au sein de l'UE ou qu'elles traitent des données de citoyens de l'UE, il est toujours essentiel de garantir la conformité en 2025.
Malgré l'attention croissante portée aux nouvelles réglementations en matière de cybersécurité telles que NIS2 et DORA, le RGPD reste au cœur de la sécurité des données et de la protection de la vie privée. Les entreprises doivent continuer à aligner leurs politiques de sécurité, leur gestion des risques et leurs stratégies de réponse aux incidents sur les obligations du RGPD afin d'éviter des amendes coûteuses et une atteinte à leur réputation.
N'oublions pas non plus qu'un bon cadre de sécurité technique (NIS2/DORA/ISO) renforce la protection des données personnelles (RGPD).
🔍 Vue d'ensemble RGPD :
Rappel : depuis 2018, le RGPD encadre la collecte, le traitement et la protection des données personnelles en Europe
Pourquoi est-ce encore essentiel ?
- Complémentaire avec NIS2, DORA et ISO 27001 : sécurisation des systèmes (NIS2), gestion de la résilience informatique (DORA) et protection des données (RGPD).
- Exigences toujours en vigueur (droit d'accès, minimisation des données, sécurité...)
Ce que nous faisons chez bconnex pour nous conformer au RGPD :
- Intégrer les meilleures pratiques RGPD dans toutes nos solutions informatiques.
- Sensibilisation de l'équipe et respect des obligations en matière de données à caractère personnel
- Travailler avec nos clients pour assurer une conformité partagée
En septembre 2024, Meta a été condamnée à une amende de 91 millions d'euros pour avoir stocké les mots de passe des utilisateurs en texte clair
En décembre 2024, Meta s'est vu infliger une nouvelle amende de 251 millions d'euros pour une violation de données survenue en 2018, affectant 29 millions d'utilisateurs
Entre novembre 2023 et janvier 2024, les consommateurs britanniques ont perdu plus de 11,5 millions de livres sterling à cause de la fraude en ligne, avec une perte moyenne de 695 livres sterling par victime.
En savoir plus sur le RGPD :
La cybersécurité devient une exigence stratégique pour tous les secteurs. La directive NIS2 et la réglementation DORA imposent des obligations strictes, y compris aux prestataires de services informatiques. La norme ISO 27001 (même dans l'UE) et le RGPD restent des piliers essentiels pour structurer la cyber-résilience.
Chez bconnex, nous nous engageons dans cette dynamique, notamment avec :
Chez bconnex, nous nous engageons à améliorer et à sécuriser l'expérience de l'utilisateur connecté. Bien entendu, cela signifie également soutenir nos clients dans la gestion de la cybersécurité de leurs actifs informatiques.
