ISGroup Conseil en Cybersécurité

Directive NIS2 : Les défis à relever

Les sources mettent en évidence plusieurs défis potentiels dans la mise en œuvre et l’application de la directive NIS2.

[Callforaction-NIS2]

1. Directive NIS2 : Exigences législatives

L’un des principaux défis consiste à déterminer si la législation sectorielle spécifique de l’UE déjà existante offre des exigences de cybersécurité et des obligations de signalement d’incidents équivalentes à celles prévues par la directive NIS2. Cette évaluation nécessite une analyse des effets des mesures de gestion des risques et des obligations de signalement d’incidents prévues par la législation sectorielle, par rapport aux articles 21 et 23 de la directive NIS2.

  • La Commission fournira des lignes directrices pour aider les États membres à déterminer l’équivalence. Cependant, interpréter ces lignes directrices et les appliquer à divers contextes réglementaires pourrait s’avérer complexe. Les dispositions sectorielles pourraient en effet être plus détaillées que celles de la directive NIS2. Cette granularité peut rendre l’évaluation de l’équivalence plus complexe, nécessitant une analyse minutieuse pour s’assurer que la législation sectorielle atteint le même niveau de cybersécurité que celui prévu par la directive.
  • Garantir que la législation sectorielle permette l’accès immédiat aux notifications d’incidents par les CSIRT (Computer Security Incident Response Team) compétents, les autorités nationales et les points de contact uniques peut représenter un défi technique et administratif. Les lignes directrices suggèrent que cela pourrait impliquer la transmission directe des notifications ou l’accès via un point d’accès unique. Mettre en œuvre de tels mécanismes et garantir leur interopérabilité avec le cadre général de la NIS2 pourrait être complexe.

2. Directive NIS2 : Identification

La directive NIS2 élargit considérablement le champ d’application de la directive précédente en incluant de nouveaux secteurs et entités en fonction de leur taille et de leur profil de risque. Cet élargissement présente des défis dans :

  • L’identification de toutes les entités relevant de la directive. Les États membres doivent établir des critères clairs pour déterminer quelles entités atteignent le seuil dimensionnel et identifier les entités plus petites présentant un profil de risque élevé. Ce processus pourrait être gourmand en ressources, nécessitant la collecte d’informations sur les entités opérant à l’intérieur des frontières nationales, y compris leur taille, leurs activités et leurs risques informatiques potentiels. Les sources suggèrent que les États membres peuvent utiliser des mécanismes tels que l’enregistrement pour faciliter l’identification des entités, mais la conception et la mise en œuvre de ces mécanismes seront fondamentales. Pour le contexte italien, l’article sur l’ACN et la liste des sujets NIS2 avec échéance au 31 mars offre un cadre actualisé sur les modalités d’inscription.
  • S’assurer que les entités sont conscientes de leurs obligations en vertu de la directive. Les sources soulignent la nécessité de sensibiliser les entités à la directive NIS2 et à leurs responsabilités. Cela nécessitera des efforts de communication et de diffusion efficaces de la part de la Commission et des États membres.
  • La coordination avec la directive sur la résilience des entités critiques (CER) pour garantir que les entités identifiées comme critiques dans le cadre de la CER soient également soumises aux obligations NIS2. Cela nécessite une communication claire et une coopération entre les autorités compétentes responsables de la mise en œuvre des deux directives.

3. Les mesures de sécurité

La directive NIS2 exige que les entités couvertes mettent en œuvre une série de mesures de gestion des risques informatiques. Cela présente plusieurs défis pour les entités :

  • Comprendre et mettre en œuvre les dix éléments clés de la gestion des risques informatiques décrits dans la directive. Les entités doivent avoir une compréhension approfondie de leurs risques informatiques et développer des politiques et procédures adéquates pour les atténuer. Les sources indiquent que la Commission fournira des orientations supplémentaires sur ces éléments clés, mais les entités devront rester à jour sur ces orientations et adapter leurs pratiques en conséquence.
  • Gérer la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs. Les entités sont tenues de gérer les risques informatiques tout au long de la chaîne d’approvisionnement, une tâche complexe qui inclut la diligence raisonnable (due diligence) sur les fournisseurs, la définition d’exigences de sécurité dans les contrats et le suivi des pratiques de sécurité des fournisseurs.
  • Gérer les coûts de mise en œuvre des mesures de cybersécurité. La mise en œuvre de mesures de sécurité robustes peut être coûteuse, surtout pour les petites entités. Les États membres pourraient devoir fournir un soutien financier ou des incitations pour aider les entités à couvrir ces coûts.

4. Signalement des incidents

La directive NIS2 introduit un processus de signalement des incidents en plusieurs étapes, qui vise à équilibrer le besoin d’un signalement rapide avec l’exigence d’informations détaillées. Les entités doivent envoyer un avis préliminaire dans les 24 heures suivant la prise de connaissance d’un incident significatif, suivi d’une notification d’incident dans les 72 heures et d’un rapport final dans un délai d’un mois. Ce processus présente des défis dans :

  • L’établissement de procédures internes claires pour identifier et signaler les incidents significatifs. Les entités doivent définir ce qui constitue un incident significatif, former le personnel aux procédures de signalement et établir des lignes de communication claires.
  • Le respect des délais de signalement. Les délais de 24 heures et 72 heures pour les avis préliminaires et les notifications d’incidents pourraient être difficiles à respecter pour les entités dépourvues de capacités de réponse aux incidents bien développées. Sur le thème de la figure responsable vis-à-vis du CSIRT, il est utile d’approfondir l’obligation de désignation du référent CSIRT pour les sujets NIS.
  • La fourniture d’informations complètes et précises dans les rapports d’incidents. Les sources indiquent que la Commission fournira des orientations supplémentaires sur le contenu des rapports d’incidents. Cependant, les entités devront toujours documenter avec précision les incidents et fournir toutes les informations nécessaires aux autorités compétentes.

5. Supervision et exécution

La directive NIS2 met l’accent sur des mesures de supervision plus fortes pour les autorités nationales et des exigences d’exécution plus strictes. Cela implique des défis dans :

  • S’assurer que les autorités nationales compétentes disposent des ressources et des compétences nécessaires pour superviser et faire appliquer efficacement la directive. Cela inclut un personnel suffisant, des compétences techniques et des ressources financières adéquates.
  • La mise en œuvre de régimes de supervision différenciés pour les entités essentielles et importantes. Cela exige que les autorités nationales développent des approches et des procédures différentes pour la supervision de chaque type d’entité.
  • Surmonter la réticence à appliquer des sanctions. Les sources notent une réticence générale parmi les États membres à appliquer des sanctions pour les violations de la cybersécurité. Cela doit changer pour garantir que la directive NIS2 ait un effet dissuasif.
  • Garantir que les sanctions soient appliquées de manière cohérente entre les États membres. La directive NIS2 établit une liste minimale de sanctions administratives, mais les États membres disposent d’une certaine flexibilité dans leur mise en œuvre. Cela pourrait conduire à des divergences dans l’application des sanctions entre les États membres, créant potentiellement des conditions de concurrence déloyale pour les entités opérant dans différentes juridictions. Pour les organisations qui souhaitent relever ces défis avec méthode, entamer un parcours structuré de mise en conformité à la NIS2 permet de cartographier les écarts, de définir les priorités et de respecter les exigences réglementaires de manière durable.

6. Collaboration et partage d’informations

La directive NIS2 souligne l’importance de la collaboration et du partage d’informations entre les États membres et les institutions de l’UE. Cela implique des défis dans :

  • L’établissement de mécanismes efficaces pour le partage d’informations sur les menaces, les vulnérabilités et les incidents informatiques. Cela inclut le partage d’informations entre les États membres, entre les institutions de l’UE et entre le secteur public et privé.
  • Surmonter les barrières linguistiques et les différences dans les pratiques nationales de cybersécurité. L’UE compte 27 États membres, chacun avec sa propre langue, son système juridique et sa culture de la cybersécurité. Ces différences peuvent rendre difficile une collaboration efficace sur les questions de cybersécurité.
  • Renforcer la confiance entre les parties prenantes. Une collaboration efficace nécessite la confiance entre toutes les parties impliquées, ce qui peut être difficile à construire, surtout dans le contexte de la cybersécurité, où des informations sensibles sont souvent partagées.

Questions fréquentes sur la directive NIS2

  • Qui doit vérifier s’il relève du champ d’application de la directive NIS2 ?
  • Toute organisation opérant dans l’un des secteurs couverts par la directive — qu’ils soient essentiels ou importants — doit vérifier si elle dépasse les seuils dimensionnels prévus ou si elle présente un profil de risque tel qu’elle est soumise aux obligations NIS2. En Italie, l’ACN gère le processus d’identification et d’enregistrement des sujets.
  • Que se passe-t-il si une organisation ne respecte pas les délais de signalement des incidents ?
  • Le non-respect des délais prévus — avis préliminaire dans les 24 heures et notification dans les 72 heures — expose l’organisation à des sanctions administratives. La NIS2 prévoit des sanctions significatives, avec des plafonds différenciés entre les sujets essentiels et importants, et les États membres sont tenus de les appliquer de manière effective.
  • Par où commencer pour aborder la conformité à la NIS2 ?
  • Le point de départ le plus utile est une évaluation des écarts (gap analysis) par rapport aux exigences des articles 21 et 23 : mesures de gestion des risques, sécurité de la chaîne d’approvisionnement, procédures de signalement des incidents et gouvernance. De cette analyse, on obtient un plan de mise en conformité avec des priorités claires et des délais réalistes.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *