La directive NIS2 et le RGPD représentent deux piliers de la réglementation européenne dans le domaine numérique, chacun ayant des objectifs distincts mais complémentaires. Tandis que le RGPD protège les droits fondamentaux des personnes physiques concernant leurs données personnelles, la NIS2 vise à garantir un niveau élevé et uniforme de cybersécurité au sein de l’Union européenne. Comprendre comment ces réglementations interagissent est essentiel pour les organisations qui doivent se conformer aux deux cadres normatifs.

Des objectifs différents, des domaines complémentaires

Le RGPD se concentre sur la protection des données personnelles : il établit des principes pour le traitement licite, transparent et sécurisé des informations qui identifient ou rendent identifiable une personne physique. La cybersécurité est l’un des outils permettant de garantir cette protection, mais ce n’est pas le seul objectif du règlement.

La directive NIS2, quant à elle, a pour objectif principal le renforcement de la cyber-résilience des infrastructures critiques et des services essentiels. Son axe porte sur la continuité opérationnelle, la capacité à prévenir, détecter et répondre aux incidents de sécurité qui pourraient compromettre le fonctionnement du marché intérieur européen.

Malgré cette différence d’objectifs, les deux réglementations se chevauchent sur plusieurs points : un incident de cybersécurité peut également entraîner une violation de données personnelles, et les mesures techniques et organisationnelles requises par la NIS2 contribuent directement à la protection des données exigée par le RGPD.

La prééminence du RGPD dans le cadre normatif

La directive NIS2 reconnaît explicitement la prééminence du RGPD. L’article 6, paragraphe 12, établit que la NIS2 s’applique « sans préjudice » de nombreux règlements européens existants, en mentionnant en premier lieu le RGPD. Cela signifie qu’en cas de conflit ou de chevauchement, les principes du RGPD relatifs à la protection des données ont la priorité.

De plus, l’article 8, paragraphe 14, précise que toute activité de traitement de données effectuée dans le cadre de la NIS2 – que ce soit par les entités soumises à la directive ou par les autorités compétentes – doit respecter le RGPD. Cela s’applique également aux fournisseurs de services de communications électroniques, qui doivent se conformer au cadre réglementaire plus large de l’UE relatif à la protection des données et à la confidentialité, y compris la directive ePrivacy.

Gestion des incidents : coordination entre autorités

L’un des aspects les plus pertinents de l’interaction entre la NIS2 et le RGPD concerne la gestion des incidents de sécurité. Une cyberattaque peut en effet entraîner à la fois un incident significatif au sens de la NIS2 et une violation de données personnelles (data breach) au sens du RGPD.

L’article 29, paragraphe 3 de la NIS2 impose une coopération étroite entre les autorités compétentes responsables de la directive et les autorités de protection des données (les autorités de contrôle au sens du RGPD). Cette coopération est fondamentale pour garantir une gestion coordonnée et efficace des incidents, en évitant les duplications ou les lacunes dans la réponse.

Cependant, la coopération ne compromet pas les compétences respectives : les autorités de contrôle du RGPD conservent leur rôle primaire de supervision dans l’application des règles sur la protection des données, même dans les cas impliquant des enjeux de cybersécurité. L’article 35 de la NIS2 définit une procédure spécifique pour les situations où les autorités compétentes détectent des violations potentielles de données personnelles lors de la supervision des obligations de la directive.

Partage d’informations et confidentialité

La NIS2 encourage le partage d’informations sur la cybersécurité entre les entités, les autorités compétentes et les autres États membres. Toutefois, ce partage doit s’effectuer dans le respect des réglementations sur la protection des données et la confidentialité.

L’article 2, paragraphe 13 de la NIS2 reconnaît que le partage d’informations sur la cybersécurité pourrait entraîner la divulgation d’informations protégées par d’autres réglementations, telles que les secrets commerciaux ou les données personnelles. La directive autorise le partage de ces informations avec la Commission et d’autres autorités compétentes exclusivement aux fins de l’application de la NIS2 et uniquement dans la mesure nécessaire, en imposant des garanties pour protéger la confidentialité et les intérêts commerciaux des entités concernées.

Implications pratiques pour les organisations

Protection des données dès la conception

Bien que la NIS2 ne mentionne pas explicitement les principes de « protection des données dès la conception » (privacy by design) et « par défaut » (privacy by default) du RGPD, l’interaction entre les deux réglementations renforce l’importance d’intégrer les considérations de protection des données dans les mesures de cybersécurité dès le départ. Les entités soumises aux deux réglementations devraient adopter une approche intégrée, garantissant que les pratiques de gestion des risques de cybersécurité respectent les principes du RGPD.

Minimisation des données

Le principe de minimisation des données du RGPD est particulièrement pertinent dans le contexte de la NIS2. Les organisations doivent veiller à ce que toute collecte et tout traitement de données personnelles à des fins de cybersécurité soient limités à ce qui est strictement nécessaire et proportionné aux risques identifiés. Par exemple, les systèmes de surveillance de la sécurité doivent être configurés pour ne collecter que les données essentielles à la détection et à la réponse aux incidents, en évitant la collecte indiscriminée d’informations personnelles.

Gouvernance intégrée

Les organisations soumises aux deux réglementations doivent développer une gouvernance intégrée qui tienne compte à la fois des obligations de cybersécurité de la NIS2 et des exigences de protection des données du RGPD. Cela inclut :

• La coordination entre le responsable de la sécurité informatique (RSSI) et le délégué à la protection des données (DPO)
• Des procédures unifiées de gestion des incidents qui prennent en compte à la fois les obligations de notification de la NIS2 et celles du RGPD
• Des évaluations des risques qui intègrent à la fois les risques pour la cybersécurité et les risques pour les droits et libertés des personnes physiques
• Des programmes de formation couvrant les deux domaines réglementaires

Que doit faire une entreprise soumise à la NIS2 et au RGPD ?

Pour les organisations qui entrent dans le champ d’application des deux réglementations, il est fondamental d’adopter une approche structurée garantissant la conformité aux deux cadres normatifs :

1. Cartographier les obligations réglementaires : identifier quelles exigences de la NIS2 et du RGPD s’appliquent à l’organisation, en soulignant les zones de chevauchement et les éventuelles différences dans les obligations de notification, de documentation et de gouvernance.
2. Intégrer les évaluations des risques : développer un processus d’analyse des risques qui considère à la fois les risques pour la cybersécurité (disponibilité, intégrité, confidentialité des systèmes) et les risques pour les droits et libertés des personnes physiques découlant du traitement des données personnelles.
3. Définir des procédures de gestion des incidents unifiées : établir des flux de travail garantissant une notification rapide à la fois aux autorités compétentes pour la NIS2 et aux autorités de protection des données en cas de violation de données, en respectant les délais et modalités prévus par les deux réglementations.
4. Mettre en œuvre des mesures techniques et organisationnelles intégrées : adopter des contrôles de sécurité répondant aux exigences de la NIS2 et du RGPD, en appliquant les principes de protection des données dès la conception et de minimisation des données.
5. Garantir la coopération entre les fonctions : s’assurer que l’équipe de cybersécurité et le DPO collaborent étroitement, en partageant les informations pertinentes et en coordonnant les activités de conformité.
6. Documenter les choix et les mesures adoptées : maintenir une documentation à jour démontrant la conformité aux deux réglementations, y compris les évaluations des risques, les politiques de sécurité, les registres des activités de traitement et les procédures de gestion des incidents.

Ressources utiles

Pour mieux comprendre le cadre réglementaire et les obligations spécifiques, ces articles offrent des éclairages complémentaires :

• Quelles sont les principales différences entre les directives NIS1 et NIS2 ? – Découvrez comment la NIS2 élargit le champ d’application et renforce les obligations par rapport à la directive précédente.
• NIS2 : existe-t-il des exemptions ou des dérogations ? – Vérifiez si votre organisation fait partie des entités soumises à la directive ou si elle peut bénéficier d’exemptions.
• Quelles sont les exigences pour les CSIRT afin de garantir des niveaux élevés de disponibilité dans leurs services ? – Approfondissez les exigences techniques et organisationnelles pour les équipes de réponse aux incidents prévues par la NIS2.

ISGroup accompagne les organisations dans leur démarche de conformité à la NIS2 grâce à des services de conformité NIS2, incluant l’évaluation des mesures mises en œuvre, l’analyse des risques et des parcours de formation personnalisés. Pour garantir la protection des données personnelles conformément au RGPD, ISGroup propose également des services de conformité RGPD, avec des audits de mesures, des analyses de risques et une formation continue.

Questions fréquentes

• La NIS2 remplace-t-elle le RGPD en matière de sécurité des données ?
• Non, la NIS2 ne remplace pas le RGPD. Les deux réglementations ont des objectifs différents et complémentaires. Le RGPD protège les droits fondamentaux des personnes physiques concernant leurs données personnelles, tandis que la NIS2 vise à garantir la cyber-résilience des infrastructures critiques. En cas de conflit, le RGPD prévaut en ce qui concerne la protection des données personnelles.
• Un incident de cybersécurité doit-il être notifié à la fois aux autorités NIS2 et aux autorités RGPD ?
• Cela dépend de la nature de l’incident. Si l’incident entraîne également une violation de données personnelles (data breach), il est nécessaire de le notifier à la fois aux autorités compétentes pour la NIS2 et à l’autorité de protection des données au titre du RGPD. Les délais et les modalités de notification peuvent différer entre les deux réglementations, il est donc important de connaître les deux exigences.
• Les mesures de sécurité exigées par la NIS2 sont-elles suffisantes pour la conformité au RGPD ?
• Les mesures de sécurité exigées par la NIS2 contribuent à la conformité au RGPD, mais ne sont pas automatiquement suffisantes. Le RGPD exige également le respect de principes spécifiques tels que la minimisation des données, la protection des données dès la conception, la transparence et la base juridique du traitement. Une approche intégrée tenant compte des deux cadres réglementaires est nécessaire.
• Qui coordonne la réponse aux incidents impliquant à la fois la NIS2 et le RGPD ?
• Au sein de l’organisation, il est essentiel que l’équipe de cybersécurité et le délégué à la protection des données (DPO) collaborent étroitement. Au niveau des autorités, la NIS2 prévoit une coopération entre les autorités compétentes pour la cybersécurité et les autorités de protection des données, tout en maintenant les compétences spécifiques de chacune.
• Le partage d’informations sur la cybersécurité prévu par la NIS2 est-il compatible avec le RGPD ?
• Oui, la NIS2 prévoit que le partage d’informations sur la cybersécurité s’effectue dans le respect du RGPD et des autres réglementations sur la confidentialité. Le partage n’est autorisé que dans la mesure nécessaire à l’application de la directive et avec des garanties pour protéger la confidentialité des informations et les intérêts des entités concernées.

L’interaction entre la NIS2 et le RGPD exige des organisations une approche intégrée de la cybersécurité et de la protection des données. Comprendre comment ces réglementations se complètent est la première étape pour développer une stratégie de conformité efficace qui protège à la fois les infrastructures critiques et les droits fondamentaux des personnes.