ISGroup Conseil en Cybersécurité

Comment la directive NIS2 aborde-t-elle la question de la cybersécurité dans les chaînes d’approvisionnement ?

La directive NIS2 accorde une importance significative au renforcement de la cybersécurité au sein des chaînes d’approvisionnement, reconnaissant que les vulnérabilités des fournisseurs et des prestataires de services peuvent représenter des risques substantiels pour les entités essentielles et importantes. Si vous souhaitez mieux comprendre quel est l’objectif principal de la directive NIS2, vous pouvez approfondir le sujet dans l’article dédié.

[Callforaction-NIS2]

Voici comment la directive aborde cette problématique :

Mesures obligatoires pour la sécurité de la chaîne d’approvisionnement

  • Exigences de gestion des risques : La directive impose aux entités essentielles et importantes de mettre en œuvre des mesures appropriées et proportionnées de gestion des risques de cybersécurité, qui incluent explicitement la prise en compte des risques dans leurs chaînes d’approvisionnement et dans leurs relations avec les fournisseurs.
  • Évaluation des fournisseurs : Les entités sont tenues d’évaluer les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, en analysant l’impact potentiel de ces derniers sur la sécurité de leurs propres systèmes de réseau et d’information.

Approche fondée sur le risque pour la sécurité de la chaîne d’approvisionnement

  • Mesures personnalisées : Les entités doivent adopter une approche fondée sur le risque pour la sécurité de leurs chaînes d’approvisionnement, en tenant compte de facteurs tels que la sensibilité des données gérées par les fournisseurs, la criticité des services fournis et l’accès des fournisseurs aux systèmes de l’entité.
  • Priorisation : En identifiant et en hiérarchisant les risques associés aux différents fournisseurs, les entités peuvent allouer efficacement les ressources pour atténuer les menaces les plus significatives.

Évaluations des risques coordonnées

  • Évaluations au niveau de l’UE : La directive prévoit des évaluations coordonnées de la sécurité des chaînes d’approvisionnement critiques à l’échelle de l’UE. Ces évaluations, menées en collaboration avec les États membres et l’ENISA, visent à identifier les risques et les dépendances systémiques susceptibles d’affecter plusieurs entités ou secteurs.
  • Décisions politiques éclairées : Les résultats de ces évaluations aident à éclairer les décisions politiques et l’élaboration de lignes directrices visant à améliorer la sécurité de la chaîne d’approvisionnement dans toute l’UE.

Gestion et divulgation des vulnérabilités

  • Divulgation coordonnée des vulnérabilités : La NIS2 introduit un cadre pour la divulgation coordonnée des vulnérabilités, encourageant les entités à signaler les vulnérabilités dans les produits et services TIC à un CSIRT national désigné ou aux fournisseurs concernés.
  • Rôle des CSIRT : Les États membres doivent désigner un CSIRT national pour agir en tant qu’intermédiaire de confiance dans les processus de divulgation des vulnérabilités, facilitant la communication entre les entités et les fournisseurs afin de garantir que les vulnérabilités soient traitées rapidement.
  • Base de données européenne des vulnérabilités : L’ENISA est chargée d’établir et de maintenir une base de données européenne des vulnérabilités, qui collecte et partage des informations sur les vulnérabilités, améliorant ainsi la transparence et la sensibilisation entre les entités et les fournisseurs.

Partage d’informations et coopération

  • Efforts collaboratifs : La directive encourage les entités à s’engager dans des activités de partage d’informations, y compris avec leurs fournisseurs et prestataires de services. Cette approche collaborative vise à améliorer la conscience collective des menaces de cybersécurité et des meilleures pratiques.
  • Communautés de confiance : En participant à des communautés de partage d’informations de confiance, les entités peuvent recevoir des mises à jour opportunes sur les menaces émergentes susceptibles d’affecter leurs chaînes d’approvisionnement.

Exigences de cybersécurité dans les marchés publics

  • Intégration de la sécurité dans les contrats : Les entités sont encouragées à intégrer des exigences de cybersécurité dans les accords contractuels avec les fournisseurs. Cela peut impliquer la définition de normes de sécurité, l’exigence de conformité à des certifications spécifiques ou la stipulation d’obligations de signalement des incidents. Pour les organisations qui doivent structurer ce processus, entamer un parcours structuré de mise en conformité à la NIS2 aide à traduire ces obligations en actions concrètes et documentables.
  • Due diligence : Avant d’engager des fournisseurs, les entités devraient effectuer une due diligence pour évaluer leur posture de cybersécurité, en s’assurant que les fournisseurs répondent aux critères de sécurité nécessaires.

Sensibilisation et formation

  • Sensibilisation dans la chaîne d’approvisionnement : Les entités doivent promouvoir la sensibilisation à la cybersécurité non seulement au sein de leur organisation, mais aussi tout au long de leurs chaînes d’approvisionnement. Cela inclut la fourniture de lignes directrices et de formations aux fournisseurs sur les attentes et les pratiques de sécurité.

Surveillance réglementaire

  • Autorités de surveillance : Les autorités nationales compétentes ont le pouvoir de superviser la conformité des entités aux obligations de sécurité de la chaîne d’approvisionnement, y compris en menant des audits et des inspections relatifs aux pratiques de la chaîne d’approvisionnement. En Italie, l’ACN gère la liste des entités NIS2 et les échéances de conformité.
  • Mesures d’exécution : Le défaut de gestion adéquate des risques de cybersécurité dans la chaîne d’approvisionnement peut entraîner des mesures d’exécution, y compris des sanctions administratives.

Par l’incorporation de ces mesures, la directive NIS2 vise à renforcer la posture globale de cybersécurité des entités essentielles et importantes en garantissant que les risques de la chaîne d’approvisionnement soient gérés efficacement. La directive promeut une culture de sécurité qui s’étend au-delà des organisations individuelles pour englober l’ensemble de la chaîne d’approvisionnement, reconnaissant que la cybersécurité est une responsabilité partagée dans un écosystème numérique interconnecté. Pour consulter le texte intégral, le document officiel de la directive NIS2 est disponible.

Questions fréquentes sur la sécurité de la chaîne d’approvisionnement dans la NIS2

  • Quels fournisseurs entrent dans le champ d’application des obligations NIS2 sur la supply chain ?
  • La directive ne fixe pas de seuil de taille pour les fournisseurs, mais exige des entités essentielles et importantes qu’elles évaluent tous les fournisseurs et prestataires de services ayant accès à leurs systèmes ou traitant des données sensibles. La priorité est donnée aux fournisseurs critiques pour la continuité opérationnelle ou pour la sécurité des informations.
  • Comment prouver la conformité aux obligations de sécurité de la chaîne d’approvisionnement ?
  • Les entités doivent documenter les évaluations des risques sur les fournisseurs, les exigences de sécurité insérées dans les contrats et les activités de due diligence effectuées. Les autorités compétentes peuvent demander cette documentation lors d’audits ou d’inspections.
  • Que se passe-t-il si un fournisseur ne respecte pas les exigences de sécurité requises ?
  • L’entité soumise à la NIS2 reste responsable de sa propre posture de sécurité, même en cas de manquement du fournisseur. Il peut être nécessaire de réviser le contrat, d’exiger des mesures correctives ou, dans les cas les plus graves, de rompre la relation avec le fournisseur pour réduire l’exposition au risque.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *