ISGroup Conseil en Cybersécurité

Le Rôle des Autorités Nationales Compétentes dans la Mise en Œuvre et l’Application de la Directive NIS2

La directive NIS2 s’appuie largement sur les autorités nationales compétentes pour mettre en œuvre et faire respecter ses dispositions, en leur confiant une série de responsabilités couvrant les différentes phases du cycle de vie de la directive. Pour les organisations entrant dans le périmètre, comprendre le fonctionnement de ce système de gouvernance est la première étape pour mettre en place un parcours structuré de conformité à la NIS2.

[Callforaction-NIS2]

1. Création de l’écosystème NIS2

  • Développement des stratégies nationales de cybersécurité : Chaque État membre doit adopter une stratégie nationale de cybersécurité complète, définissant les priorités stratégiques, les objectifs et les cadres de gouvernance en matière de cybersécurité. Ces stratégies doivent inclure des mécanismes de coopération et de coordination entre les différentes parties prenantes concernées, notamment les autorités compétentes, les points de contact uniques (SPOC) et les équipes d’intervention en cas d’urgence informatique (CSIRT), ainsi qu’une coordination avec les autorités responsables des actes juridiques sectoriels de l’Union.
  • Désignation des entités clés : Les États membres jouent un rôle fondamental dans l’identification et la désignation des entités relevant du champ d’application de la NIS2. Cela inclut :
    • Entités essentielles et importantes : Déterminer quelles entités sont classées comme « essentielles » ou « importantes » en fonction de leur impact potentiel sur les services essentiels et les fonctions sociales.
    • Établissement de listes d’entités : Créer et tenir à jour des listes d’entités essentielles et importantes, ainsi que de celles fournissant des services d’enregistrement de noms de domaine. Ces listes sont cruciales pour garantir la transparence, la supervision et s’assurer que les entités sont conscientes de leurs obligations au titre de la NIS2. En Italie, l’ACN gère la liste des entités NIS2 et les échéances d’inscription correspondantes.
    • Flexibilité dans la désignation des entités : Les États membres disposent d’une certaine marge de manœuvre pour désigner des entités de plus petite taille présentant des profils de risque élevés qui pourraient ne pas atteindre les seuils dimensionnels généraux, mais qui méritent néanmoins d’être incluses dans la NIS2.
  • Création des structures nationales : Outre la désignation des entités, les États membres sont responsables de la création de structures nationales essentielles pour la cybersécurité :
    • Autorités compétentes : Désigner ou établir une ou plusieurs autorités compétentes responsables de la cybersécurité, y compris celles chargées de superviser la mise en œuvre de la NIS2 et d’exercer des actions de surveillance et d’application.
    • Points de contact uniques (SPOC) : Désigner ou établir des SPOC comme points de contact centraux pour la coopération transfrontalière avec d’autres États membres et pour la coopération intersectorielle au sein de l’État membre.
    • Équipes d’intervention en cas d’urgence informatique (CSIRT) : Désigner ou établir des CSIRT pour gérer les incidents de cybersécurité et les crises, coopérer avec d’autres CSIRT et fournir un soutien aux entités relevant de leur juridiction. Pour les entités NIS, la directive prévoit également une obligation spécifique de désignation d’un référent CSIRT.

2. Supervision et application

  • Pouvoirs de supervision : Les autorités nationales compétentes sont dotées d’une série de pouvoirs de supervision pour garantir que les entités respectent leurs obligations au titre de la NIS2. Ces pouvoirs incluent :
    • Audits réguliers et ciblés : Mener des audits pour évaluer l’adéquation et la mise en œuvre des mesures de gestion des risques de cybersécurité.
    • Contrôles sur site et à distance : Effectuer des contrôles, sur site ou à distance, pour vérifier la conformité.
    • Demande d’informations : Demander aux entités des informations concernant leurs pratiques de cybersécurité, leurs politiques de gestion des risques et leurs procédures de réponse aux incidents.
    • Accès aux documents et aux preuves : Obtenir l’accès aux documents et aux preuves pertinents pour vérifier la conformité de l’entité avec la NIS2.
  • Mesures d’application : La NIS2 fournit aux autorités compétentes une série de mesures d’application pour traiter les cas de non-conformité :
    • Instructions contraignantes : Émettre des instructions contraignantes aux entités pour corriger les lacunes identifiées et garantir la conformité.
    • Recommandations d’audits de sécurité : Ordonner aux entités de mettre en œuvre les recommandations issues des audits de sécurité.
    • Alignement sur les exigences NIS2 : Obliger les entités à se conformer aux mesures de sécurité requises par la NIS2.
    • Sanctions administratives : Imposer des sanctions administratives en cas de violation des obligations de gestion des risques de cybersécurité et de signalement des incidents. La directive établit des seuils minimaux pour ces sanctions, en distinguant les entités essentielles des entités importantes.
    • Mesures supplémentaires : En cas de non-conformité persistante, les autorités compétentes peuvent imposer des mesures additionnelles, telles que la suspension temporaire de certificats ou d’autorisations, ou exiger la suspension de membres de la direction de l’entreprise.
  • Facteurs pris en compte pour l’application : Pour déterminer les mesures d’application appropriées, les autorités compétentes doivent tenir compte des circonstances spécifiques de chaque cas. Les facteurs pertinents incluent la gravité et la durée de la violation, l’intention derrière la violation, le niveau de coopération de l’entité et tout historique de conformité antérieur.

3. Facilitation du partage d’informations et coopération

  • Promotion des accords de partage d’informations : Les États membres doivent encourager le partage d’informations entre les entités, y compris celles qui pourraient ne pas relever directement de la NIS2. Cela implique de faciliter la création d’accords de partage d’informations et de fournir des orientations sur les aspects opérationnels.
  • Soutien au signalement coordonné des vulnérabilités : Les autorités nationales jouent un rôle dans le soutien aux processus de signalement coordonné des vulnérabilités, en facilitant la communication entre les entités qui découvrent des vulnérabilités et les fournisseurs ou prestataires de services concernés.
  • Partage d’informations avec les autorités compétentes : Les autorités compétentes doivent partager les informations pertinentes, telles que les détails d’incidents de cybersécurité significatifs, avec d’autres autorités nationales responsables de la protection des infrastructures critiques (Directive (UE) 2022/2557) et du secteur financier (Règlement (UE) 2022/2554). Cet échange d’informations est essentiel pour garantir une approche coordonnée et complète de la cybersécurité entre les différents secteurs.

En résumé, les autorités nationales compétentes jouent un rôle central dans la traduction des principes de la NIS2 en actions concrètes. Elles sont responsables de la création des cadres nationaux nécessaires, de la supervision de la mise en œuvre des dispositions de la directive, de l’adoption de mesures d’application lorsque nécessaire et de la promotion d’une culture de collaboration en matière de cybersécurité au sein et entre les États membres.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *