ISGroup Conseil en Cybersécurité

Quelles sont les principales exigences de cybersécurité pour les entités soumises à la directive NIS2 ?

La directive NIS2 établit une série d’exigences fondamentales en matière de cybersécurité pour les entités relevant de son champ d’application. La réponse suivante illustre certaines de ces exigences clés.

[Callforaction-NIS2]

Principales exigences de cybersécurité de la directive NIS2

  • Gestion des risques : En vertu de la directive NIS2, les États membres doivent veiller à ce que les entités désignées comme « essentielles » ou « importantes » adoptent des mesures techniques, opérationnelles et organisationnelles pour gérer les risques liés à la cybersécurité de leurs réseaux et systèmes d’information. Cette approche de gestion des risques s’applique tant aux opérations internes des entités qu’à la fourniture de leurs services. Les mesures de gestion des risques en matière de cybersécurité doivent inclure, entre autres :
    • L’analyse des risques et les politiques de sécurité des systèmes d’information ;
    • La gestion des incidents ;
    • La continuité des activités (par ex. gestion des sauvegardes et récupération des données en cas de sinistre) et la gestion de crise ;
    • La sécurité de la chaîne d’approvisionnement ;
    • Les politiques et procédures relatives à l’utilisation de la cryptographie (et du chiffrement, le cas échéant).
  • Signalement des incidents : La directive NIS2 exige que les entités signalent les « incidents significatifs » au Computer Security Incident Response Team (CSIRT) national ou à l’autorité nationale compétente « sans retard injustifié ». Un « incident significatif » est défini comme un événement qui « a causé ou est susceptible de causer une perturbation substantielle dans la fourniture d’un service essentiel ». Pour les entités NIS, la désignation du référent CSIRT est l’une des obligations opérationnelles à ne pas négliger.
  • Mesures de surveillance : Les autorités compétentes de chaque État membre sont chargées de superviser les entités relevant du champ d’application de la directive NIS2. À cette fin, la directive confère à ces autorités divers outils de surveillance, notamment :
    • Des audits réguliers et ciblés ;
    • Des contrôles sur place et à distance ;
    • Des demandes d’informations ; et
    • L’accès aux documents et autres preuves.
  • Application des normes : La directive NIS2 harmonise les régimes de sanctions pour les entités qui ne respectent pas leurs obligations. Elle établit une liste minimale de sanctions administratives en cas de violation des obligations de gestion des risques et de signalement des incidents. Ces sanctions comprennent :
    • Des instructions contraignantes ;
    • Des ordres de mise en œuvre des recommandations issues d’un audit de sécurité ;
    • Des ordres de mise en conformité des mesures de sécurité avec les exigences de la directive NIS2 ; et
    • Des sanctions administratives.

Équivalence avec les actes juridiques sectoriels

Il est important de noter que la directive NIS2 inclut un principe d’« équivalence » avec les actes juridiques sectoriels de l’UE actuels et futurs traitant de la cybersécurité.

  • Selon ce principe, les dispositions de cybersécurité de la directive NIS2 ne s’appliquent pas aux entités déjà soumises à des obligations de cybersécurité sectorielles en vertu de la législation de l’UE, pour autant que les obligations en question soient au moins équivalentes à celles de la directive NIS2.
  • Pour déterminer si ces obligations sectorielles sont équivalentes, il est nécessaire d’évaluer si elles incluent des mesures garantissant la sécurité des « réseaux et systèmes d’information ». Ce terme, tel que défini dans la directive NIS2, est assez large et comprend :
    • Les réseaux de communications électroniques ;
    • Tout dispositif ou groupe de dispositifs interconnectés ou apparentés, dont un ou plusieurs assurent, en exécution d’un programme, le traitement automatique de données numériques ; et
    • Les données numériques stockées, traitées, récupérées ou transmises par ces réseaux ou dispositifs à des fins de fonctionnement, d’utilisation, de protection et de maintenance.
  • Lors de la détermination de l’équivalence, il est également important de considérer si les mesures de gestion des risques de l’acte juridique sectoriel prennent en compte la sécurité physique et environnementale des réseaux et systèmes d’information, en les protégeant contre des menaces telles que :
    • Les pannes de système ;
    • Les erreurs humaines ;
    • Les actions malveillantes ; ou
    • Les phénomènes naturels.

La Commission européenne a publié des lignes directrices clarifiant l’application de ce principe d’équivalence. Par exemple, la Commission a déclaré que les obligations de cybersécurité sectorielles du règlement sur la résilience opérationnelle numérique (DORA) sont équivalentes à celles de la directive NIS2 et, par conséquent, les dispositions de cybersécurité de la NIS2 ne s’appliquent pas aux entités soumises au DORA. Toutefois, les États membres sont toujours tenus d’appliquer les dispositions de la directive NIS2 concernant :

  • Les plans nationaux de réponse aux incidents et aux crises de cybersécurité ;
  • EU-CyCLONe ; et
  • Les stratégies nationales de cybersécurité

aux entités relevant du champ d’application du DORA.

Champ d’application de la directive NIS2

La directive NIS2 s’applique aux entités publiques comme privées. Elle couvre des entités issues d’un large éventail de secteurs, notamment :

  • Énergie ;
  • Transports ;
  • Banques ;
  • Infrastructures des marchés financiers ;
  • Santé (y compris la production de médicaments) ;
  • Eau potable ;
  • Eaux usées ;
  • Infrastructures numériques ;
  • Gestion des services TIC ;
  • Administration publique ;
  • Espace ;
  • Services postaux et de messagerie ;
  • Gestion des déchets ;
  • Produits chimiques ;
  • Alimentation ;
  • Production de dispositifs médicaux, ordinateurs, électronique, machines, équipements, véhicules à moteur, remorques et semi-remorques, et autres équipements de transport ;
  • Fournisseurs numériques (y compris les places de marché en ligne, les moteurs de recherche en ligne et les services de réseaux sociaux) ; et
  • Organismes de recherche.

En règle générale, seules les entreprises de taille moyenne et grande dans ces secteurs seront couvertes par la directive NIS2. Toutefois, les États membres ont la faculté d’appliquer les obligations de la directive à des entités de plus petite taille présentant un profil de risque élevé. Pour savoir si votre organisation relève du périmètre et quelles sont les obligations concrètes, il est utile de consulter également les indications sur l’ACN et la liste NIS2 des entités assujetties. Ceux qui ont déjà vérifié leur inclusion peuvent approfondir le parcours de mise en conformité avec le support à la conformité à la directive NIS2 offert par ISGroup.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *