La directive NIS2 promeut l’intégration des considérations en matière de cybersécurité dans les pratiques de marchés publics, en particulier pour les produits et services de technologie de l’information et de la communication (TIC).

La directive reconnaît le rôle crucial que jouent les marchés publics dans le renforcement de la cybersécurité à travers l’Union européenne. L’objectif principal de la NIS2 est d’élever le niveau commun de sécurité des réseaux et des systèmes d’information, et les marchés publics sont l’un des outils par lesquels cet objectif se concrétise.

Bien que la directive NIS2 encourage l’inclusion d’exigences de cybersécurité, elle ne prescrit pas de méthodes spécifiques pour la mise en œuvre de ces exigences dans les processus de passation de marchés par les États membres. Toutefois, elle suggère les mesures suivantes pour orienter les États membres.

Directive NIS2 : Certification de la cybersécurité

Promouvoir l’utilisation de produits et services TIC ayant obtenu des certifications de cybersécurité dans le cadre du cadre européen de certification de la cybersécurité. Cela garantit que ces produits et services répondent à des normes de sécurité spécifiques.

Chiffrement

Favoriser l’utilisation obligatoire des technologies de chiffrement dans les produits et services TIC acquis par les entités publiques. Le chiffrement protège les données sensibles et les communications contre les accès non autorisés, améliorant ainsi la protection globale des données.

Produits open-source pour la cybersécurité

Encourager l’utilisation de produits open-source pour la cybersécurité dans les marchés publics. Les solutions open-source peuvent offrir transparence, flexibilité et avantages en termes de coûts, tout en permettant des améliorations de la sécurité pilotées par la communauté.

Les risques selon la directive NIS2

Outre ces mesures spécifiques, la directive NIS2 souligne l’importance d’une approche de la cybersécurité basée sur les risques dans les marchés publics. Cela signifie :

• Identifier les risques : Les entités publiques devraient mener des évaluations des risques approfondies pour identifier les menaces et vulnérabilités potentielles en matière de cybersécurité associées aux produits et services TIC qu’elles envisagent d’acquérir.
• Spécifier les exigences : Les cahiers des charges des appels d’offres devraient clairement définir les exigences de cybersécurité afin de garantir que les fournisseurs potentiels comprennent et puissent respecter les normes de sécurité nécessaires.
• Évaluer les fournisseurs : Les entités publiques devraient évaluer les fournisseurs sur la base de leurs capacités en matière de cybersécurité, y compris la gestion des risques, les procédures de réponse aux incidents et le respect des normes de sécurité pertinentes.
• Suivi et révision : Les mesures de cybersécurité dans les marchés publics devraient être régulièrement suivies et révisées pour s’adapter à l’évolution des menaces et garantir une efficacité continue.

La directive vise à créer un environnement numérique plus sûr en promouvant l’acquisition de produits et services TIC dotés de solides caractéristiques de cybersécurité. Pour les organisations qui doivent structurer ou vérifier leur parcours de mise en conformité, le support à la conformité NIS2 offert par ISGroup couvre à la fois l’évaluation des mesures mises en œuvre et la définition des actions correctives nécessaires.

[Callforaction-NIS2-Footer]