La directive NIS2 reconnaît l’importance de la sécurité de la chaîne d’approvisionnement pour garantir un niveau élevé de cybersécurité. Cet article analyse comment la directive définit et aborde cet aspect, en se référant aux articles spécifiques qui régissent les obligations pour les entités essentielles et importantes. Pour un cadre complet sur la finalité générale de la directive NIS2, il est utile de partir de l’objectif que la norme se fixe.

[Callforaction-NIS2]

Les sources fournissent des informations sur la manière dont la directive définit et traite cet aspect crucial :

Définition de la sécurité de la chaîne d’approvisionnement :

Bien que la directive NIS2 ne fournisse pas de définition autonome de la « sécurité de la chaîne d’approvisionnement », ses exigences relatives à la gestion du risque de cybersécurité incluent clairement la sécurité des chaînes d’approvisionnement.

• L’article 21, paragraphe 2(d) établit que les entités désignées comme « essentielles » ou « importantes » doivent mettre en œuvre des mesures de gestion du risque de cybersécurité, qui comprennent également la « sécurité de la chaîne d’approvisionnement ».
• Ce paragraphe précise en outre que ces mesures doivent prendre en considération les « aspects relatifs à la sécurité des relations entre chaque entité et ses fournisseurs directs ou prestataires de services ».
• Ce libellé souligne la manière dont la directive reconnaît l’interconnexion des risques de cybersécurité au sein d’une chaîne d’approvisionnement et insiste sur la nécessité pour les entités de gérer de manière proactive les risques découlant de leurs fournisseurs et prestataires de services.

Modalités de gestion de la sécurité de la chaîne d’approvisionnement :

La directive NIS2 utilise une approche multifactorielle pour améliorer la sécurité de la chaîne d’approvisionnement :

1. Gestion du risque au niveau de l’entité :

• Diligence raisonnable (Due Diligence) sur les fournisseurs : L’article 21, paragraphe 3, souligne l’importance de la diligence raisonnable lorsque les entités évaluent l’adéquation des mesures de sécurité adoptées dans la chaîne d’approvisionnement. Les entités doivent prendre en considération les vulnérabilités spécifiques de chaque fournisseur direct et prestataire de services, en tenant compte de :
  * Vulnérabilités spécifiques du fournisseur individuel.
  * Pratiques générales de cybersécurité des fournisseurs : Y compris leurs procédures de développement sécurisé.
  * Résultats des évaluations coordonnées des risques : Les entités doivent prendre en compte les résultats d’éventuelles évaluations coordonnées des risques menées au niveau de l’UE, comme indiqué à l’article 22, paragraphe 1.
• Gestion de la non-conformité : Si une entité détecte une non-conformité avec les mesures de sécurité requises, y compris les aspects relatifs à la sécurité de la chaîne d’approvisionnement, l’article 21, paragraphe 4, impose l’obligation de mettre en œuvre rapidement des actions correctives appropriées. Cela souligne la nature continue de la gestion du risque dans la chaîne d’approvisionnement et la nécessité d’un suivi et d’une amélioration constants.

1. Évaluations coordonnées des risques :

• Évaluations au niveau de l’UE : L’article 22, paragraphe 1, permet au groupe de coopération NIS, en collaboration avec la Commission et l’ENISA, d’entreprendre des « évaluations coordonnées des risques pour la sécurité de chaînes d’approvisionnement spécifiques de services TIC, de systèmes TIC ou de produits TIC ».
• Focalisation sur les chaînes d’approvisionnement critiques : Cette disposition confère à l’UE la capacité d’identifier et d’évaluer de manière proactive les vulnérabilités dans les chaînes d’approvisionnement qui sont cruciales pour la cybersécurité de l’Union.
• Prise en compte de facteurs techniques et non techniques : Ces évaluations coordonnées des risques doivent prendre en considération tant les facteurs techniques que non techniques, soulignant l’importance d’une approche holistique de la sécurité de la chaîne d’approvisionnement.
• Identification des produits et services TIC critiques : L’article 22, paragraphe 2, précise que la Commission, en consultation avec les parties prenantes concernées, déterminera quels services, systèmes ou produits TIC sont considérés comme critiques au point de justifier une évaluation coordonnée des risques pour leur sécurité.

1. Promotion de pratiques de développement sécurisé :

• Sécurité dès la conception (Secure by Design) et par défaut : Bien que non explicitement mentionné dans le contexte de la sécurité de la chaîne d’approvisionnement, l’article 21, paragraphe 2(e) fait référence à la sécurité dans l’« acquisition, le développement et la maintenance » des systèmes TIC. Cela favorise indirectement l’adoption des principes de « sécurité dès la conception et par défaut » tout au long de la chaîne d’approvisionnement.
• Encouragement à l’utilisation de certifications : L’article 24 promeut l’utilisation des systèmes de certification de cybersécurité établis par le Cybersecurity Act (Règlement (UE) 2019/881). En promouvant l’utilisation de produits, services et processus certifiés en matière de cybersécurité, la directive encourage indirectement l’adoption de pratiques de sécurité plus solides parmi les fournisseurs au sein de la chaîne d’approvisionnement.

En conclusion, la directive NIS2 intègre la sécurité de la chaîne d’approvisionnement comme élément fondamental de son cadre de gestion du risque de cybersécurité. Elle souligne une approche proactive et continue, exigeant des entités qu’elles évaluent et traitent les risques découlant de leurs fournisseurs et prestataires de services. La directive confère également à l’UE la capacité d’effectuer des évaluations coordonnées des risques des chaînes d’approvisionnement critiques. Pour les organisations qui doivent structurer ou vérifier leur parcours de mise en conformité avec la directive NIS2, il est utile de partir d’une analyse des mesures déjà mises en œuvre et des lacunes encore ouvertes. Vous pouvez également consulter le texte officiel de la directive NIS2 pour vérifier directement les dispositions citées.

[Callforaction-NIS2-Footer]