ISGroup Conseil en Cybersécurité

Comment cette initiative interagit-elle avec les autres politiques de l’UE ?

La directive NIS2 n’existe pas de manière isolée. Elle fait partie d’un cadre plus large de politiques de l’UE visant à renforcer la sécurité et la résilience globale de l’Union. Comprendre comment elle s’articule avec d’autres réglementations est la première étape pour construire un parcours de conformité à la directive NIS2 qui prend en compte l’ensemble du contexte réglementaire dans lequel l’organisation opère. Pour approfondir le cadre général, vous pouvez également lire quel est l’objectif principal de la directive NIS2.

[Callforaction-NIS2]

Voici comment la NIS2 interagit avec certaines de ces politiques :

NIS2 et la directive CER : Garantir une résilience holistique pour les entités critiques

La directive NIS2 et la directive sur la résilience des entités critiques (CER) sont étroitement liées, avec des champs d’application largement alignés. Cet alignement vise à fournir une approche complète de la résilience, tant physique que cybernétique, pour les entités considérées comme critiques au sein de l’UE.

  • Champ d’application partagé pour les entités critiques : Les entités identifiées comme “critiques” au sens de la directive CER relèvent automatiquement de la juridiction de la NIS2, garantissant ainsi qu’elles respectent les obligations en matière de cybersécurité.
  • Coopération et échange d’informations entre les autorités : Les autorités nationales compétentes désignées en vertu des deux directives sont tenues de coopérer et d’échanger régulièrement des informations pertinentes. Cela inclut le partage de données sur les menaces et les incidents cybernétiques, ainsi que sur les risques et incidents non cybernétiques, facilitant une compréhension holistique des menaces.
  • Réunions régulières entre les groupes de coopération : Pour améliorer la coordination stratégique, le groupe de coopération NIS et le groupe pour la résilience des entités critiques, établi en vertu de la directive CER, doivent tenir des réunions régulières, au moins une fois par an. Cela favorise le dialogue et la collaboration pour relever les défis liés à la résilience.

NIS2 et DORA : Optimiser la cybersécurité dans le secteur financier

Bien que la NIS2 inclue les établissements de crédit, les gestionnaires de plateformes de négociation et les contreparties centrales, le règlement sur la résilience opérationnelle numérique pour le secteur financier (DORA) prévaut pour ces entités en ce qui concerne la gestion du risque de cybersécurité et les obligations de signalement.

  • DORA comme règlement primaire pour les entités financières : Pour les entités financières couvertes par DORA, les dispositions relatives à la gestion du risque de cybersécurité et au signalement des incidents prévues par DORA ont la priorité sur celles de la NIS2.
  • Échange continu d’informations et collaboration :
  • Participation au groupe de coopération NIS : Les autorités européennes de surveillance (AES) pour le secteur financier et les autorités nationales compétentes en vertu de DORA peuvent participer aux discussions du groupe de coopération NIS, garantissant que la perspective du secteur financier est prise en compte dans les stratégies de cybersécurité plus larges.
  • Partage d’informations avec les entités NIS2 : Les autorités compétentes de DORA peuvent consulter et partager des informations pertinentes avec les points de contact uniques (SPOC) et les CSIRT établis en vertu de la NIS2, facilitant un flux d’informations intersectoriel et améliorant la sensibilisation et la réponse aux incidents. Sur le rôle opérationnel des CSIRT dans le contexte NIS2, il est utile d’approfondir également l’obligation de désignation du référent CSIRT pour les sujets NIS.
  • Signalement des incidents TIC majeurs : Les autorités opérant sous la NIS2 doivent recevoir des détails concernant les incidents informatiques majeurs de la part de leurs homologues de DORA, assurant une visibilité et des réponses rapides aux incidents ayant un impact potentiel sur plusieurs secteurs.
  • Inclusion continue dans les stratégies nationales : Malgré le rôle primaire de DORA, l’importance de maintenir l’inclusion du secteur financier dans les stratégies nationales de cybersécurité est soulignée. De plus, les CSIRT nationaux peuvent couvrir le secteur financier dans leurs activités, renforçant davantage la posture de sécurité informatique.

NIS2 et autres réglementations sectorielles spécifiques

La NIS2 reconnaît l’existence de réglementations sectorielles spécifiques de l’UE en matière de cybersécurité. Lorsque ces réglementations offrent un niveau de sécurité équivalent ou supérieur à celui de la NIS2, elles prévalent. Ce principe est évident dans l’interaction avec DORA mais s’étend également à d’autres secteurs. Cependant, la directive ne fournit pas d’exemples spécifiques d’autres réglementations sectorielles au-delà de DORA où cela s’applique.

Points clés

  • Interaction et complémentarité : La NIS2 n’est pas une politique autonome ; elle interagit avec et complète d’autres réglementations de l’UE, en particulier celles relatives aux entités critiques et au secteur financier.
  • Collaboration essentielle : Bien que des lois sectorielles comme DORA puissent avoir la priorité dans leurs domaines respectifs, la collaboration et l’échange d’informations entre ces secteurs et le cadre plus large de la NIS2 restent cruciaux pour maintenir une posture de cybersécurité forte et unifiée dans toute l’UE.
  • Objectif commun de résilience : L’objectif principal est de garantir un niveau élevé et harmonisé de résilience à la cybersécurité dans l’UE, en tenant compte des caractéristiques uniques et des besoins spécifiques des différents secteurs.

La NIS2 joue un rôle fondamental dans le renforcement de la cybersécurité dans l’UE, en interagissant étroitement avec d’autres politiques et réglementations pour créer une approche intégrée et cohérente de la résilience des infrastructures critiques et des services essentiels. Pour consulter le texte intégral, le document officiel de la directive NIS2 est disponible.

Questions fréquentes

  • Si mon organisation est déjà soumise à DORA, dois-je quand même me préoccuper de la NIS2 ?
  • En règle générale, pour les entités financières couvertes par DORA, les dispositions de ce dernier prévalent sur celles de la NIS2 en matière de gestion du risque TIC et de signalement des incidents. Cependant, la NIS2 continue de s’appliquer pour les aspects non couverts par DORA, et les autorités compétentes des deux régimes sont tenues de se coordonner. Il convient de vérifier au cas par cas quelles obligations se chevauchent et lesquelles restent distinctes.
  • Que signifie en pratique être identifié comme “entité critique” au sens de la directive CER ?
  • Les entités classées comme critiques par la directive CER relèvent automatiquement du périmètre de la NIS2, ce qui signifie qu’elles doivent respecter à la fois les obligations de résilience physique prévues par la CER et celles de cybersécurité imposées par la NIS2. Les autorités nationales compétentes des deux directives sont tenues de coopérer et d’échanger des informations sur les risques et les incidents.
  • Comment les autorités nationales coopèrent-elles concrètement entre les différents régimes réglementaires ?
  • La NIS2 prévoit des mécanismes de coopération structurés : le groupe de coopération NIS se réunit au moins une fois par an avec le groupe pour la résilience des entités critiques (CER), tandis que les autorités DORA peuvent participer aux discussions du groupe de coopération NIS. Les CSIRT nationaux et les points de contact uniques (SPOC) servent de canaux opérationnels pour l’échange d’informations sur les incidents et les menaces entre différents secteurs.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *