Comment les entreprises peuvent tirer des leçons du RGPD pour se conformer aux exigences telles que DORA et NIS-2
6 ans après la mise en place de la réglementation RGPD, quel enseignements pouvons-nous en tirer pour appréhender les réglementations DORA et NIS-2 ?
Le Règlement général sur la protection des données (RGPD) a été le premier d'une série de réglementations visant à renforcer la sécurité des données et des réseaux dans l'Union européenne. Aujourd'hui, l'UE poursuit cet objectif avec l'introduction de la directive sur la résilience opérationnelle des réseaux et des systèmes d'information (NIS-2) et de la loi sur la résilience opérationnelle numérique (DORA). Ces nouvelles réglementations imposent des exigences strictes en matière de cybersécurité aux entreprises de divers secteurs industriels.
Les amendes pour non-conformité au RGPD ont déjà atteint 4,5 milliards d'euros en 2024, soit une augmentation de 11 % en un an. Les sanctions prévues pour les violations de NIS-2 et de DORA sont encore plus sévères, allant jusqu'à 10 millions d'euros ou 5 % du chiffre d'affaires mondial de l'année précédente pour les entreprises qui ne respectent pas leurs obligations en matière de DORA, et de 100 000 euros à 20 millions d'euros pour les personnes morales en cas de violation de NIS-2.
Les entreprises peuvent tirer des leçons de leur expérience avec le RGPD pour se conformer aux nouvelles exigences de NIS-2 et de DORA. Le RGPD a déjà obligé les entreprises à mettre en place des processus et des flux de travail pour gérer les données personnelles de manière plus stricte et plus attentive. Ces processus peuvent être adaptés pour répondre aux exigences de NIS-2 et de DORA en cas d'attaque.
Pour se conformer aux nouvelles réglementations, les entreprises doivent connaître le contenu exact des données qu'elles détiennent et contrôler les flux de données. En cas d'attaque, les pirates cherchent à voler, chiffrer ou supprimer des données. Les entreprises doivent donc savoir exactement quelles sont les données dont elles disposent et quelle est leur valeur. Cela leur permettra de répondre aux questions de gouvernance et de conformité et de contrôler que certains types de données ne quittent pas certains emplacements de stockage.
Les plateformes modernes de gestion des données peuvent aider les entreprises à contrôler les flux de données en appliquant automatiquement les règles de sécurité et en réduisant le risque d'erreur humaine. Par exemple, une entreprise peut imposer que certaines données sensibles ne soient jamais transmises à d'autres emplacements de stockage ou à des modules d'IA externes. Les plateformes de gestion des données peuvent chiffrer ces données et exiger des utilisateurs qu'ils s'autorisent via des contrôles d'accès et une authentification multifactorielle.
En cas d'incident de sécurité, les entreprises doivent être en mesure de réagir rapidement et efficacement pour minimiser les dommages. Les réglementations NIS-2 et DORA exigent des entreprises qu'elles signalent les violations de données dans les 24 heures suivant leur détection. Les entreprises doivent donc mettre en place des processus de réponse aux incidents pour se conformer à ces exigences.
En conclusion, les réglementations NIS-2 et DORA renforcent la cyber-résilience des entreprises et des autorités en Europe. Pour se conformer à ces nouvelles exigences, les entreprises doivent réviser et optimiser leurs processus et flux de travail de gestion des données. Une plateforme centrale et sécurisée pour la gestion des données peut apporter une aide précieuse pour garantir une cyber-résilience opérationnelle maximale.