NIS 2 et DORA : De nouveaux cadres de cybersécurité pour les entreprises européennes

NIS 2 et DORA : De nouveaux cadres de cybersécurité pour les entreprises européennes

15.10.2024

Gestion d'entreprise

Les menaces croissantes sur les systèmes d’information ont conduit l’Union européenne à renforcer la cybersécurité par deux nouvelles règlementations : la directive NIS 2 dont la transposition est prévue pour la mi-octobre 2024 et le règlement DORA entrant en vigueur en janvier 2025. Dans cette chronique, Prudence Cadio et Vincent Danton, avocats associés du cabinet LPA-CGR, nous éclairent sur ces deux textes.

La directive NIS 2 et le règlement DORA vont imposer aux entreprises des secteurs critiques des mesures préventives et réactives plus strictes. L’objectif est de protéger activement les réseaux et d’anticiper les cyberattaques par la mise en place de mesures de prévention, détection, surveillance et atténuation. Voici un tour d’horizon des cinq piliers clés de ces règlementations et des actions à mettre en place pour les respecter.

Les secteurs et entreprises concernées par NIS 2

NIS 2 élargit le champ des entités concernées par la règlementation en matière de cybersécurité en touchant les entreprises opérant dans 18 secteurs différents et réalisant un chiffre d’affaires annuel de plus de 10 millions d’euros ou ayant un nombre d’employés supérieur ou égal à 50. Exceptionnellement, NIS 2 s’applique à certaines entités, quelle que soit leur taille, notamment aux fournisseurs de réseaux et services de communications électroniques publics, prestataires de services de confiance, registres de noms de domaine de premier niveau, fournisseurs de services DNS et à certaines administrations publiques. Les secteurs hautement critiques incluent les entités essentielles qui couvrent notamment l’énergie, la banque, la santé, l’eau potable, les infrastructures numériques et l’administration publique. Les secteurs critiques, comprenant les entités importantes, incluent les services postaux et d’expédition, la gestion des déchets, la fabrication, transformation et distribution alimentaire.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés
Les 5 piliers de NIS 2

Supervision et contrôle

Les entités des secteurs hautement critiques sont soumises à des contrôles rigoureux ex ante et ex post, incluant des audits et inspections de cybersécurité par l’ANSSI en France. L'objectif est de s’assurer que les mesures de cybersécurité mises en place au sein des entités sont conformes à la réglementation. Les exigences étant renforcées, une mise à jour des procédures métiers mais également de la documentation contractuelle telle que les chartes informatiques pourra être nécessaire.

Notification des incidents

En France, les incidents de cybersécurité importants devront être signalés à l’ANSSI dans des délais stricts, avec une procédure de notification en plusieurs étapes : une alerte précoce dans les 24 heures de la connaissance de l’incident, une évaluation initiale sous 72 heures, et un rapport final dans un délai d’un mois après la notification de l'incident. A titre de comparaison, la réglementation européenne en matière de protection des données à caractère personnel prévoit un délai de 72 heures pour notifier une violation de données à la CNIL. Cette notification auprès de l’ANSSI se cumulera avec toute notification à la CNIL en cas d’incident affectant des données personnelles.

Les contrats existants devront être revus pour tenir compte de ces obligations de notification, notamment dans le cadre de contrat avec des prestataires IT, et y intégrer l’obligation de remonter un incident sans délai.

Obligations d'information et de reporting

En complément de la notification à l’ANSSI, les entreprises doivent informer les utilisateurs des incidents pouvant perturber les services offerts.

Mesures techniques et organisationnelles

Les entreprises doivent déployer des mesures de gestion des risques affectant leur réseau et leurs systèmes d’information. Cela implique la rédaction d’un certain nombre de procédures telles que des politiques de sécurité et des plans de gestion d’incidents.Il est également essentiel de sécuriser les contrats prestataires et fournisseurs pour garantir une résilience globale et des procédures harmonisées au sein de la chaine des contrats.

Responsabilité des dirigeants

NIS 2 renforce la responsabilité des dirigeants. Ceux-ci doivent approuver et superviser les mesures de cybersécurité. Ils devront suivre des formations régulières pour évaluer et gérer les risques de leur organisation, ce qui implique une gouvernance d’entreprise dédiée à la cybersécurité avec des procédures identifiées concernant non seulement les protections cyber mais également les remontées d’informations et reporting au sein de l’entreprise.

Sanctions en cas de non-respect

Les sanctions sont différentes selon le degré de criticité des secteurs. Pour les secteurs critiques, les amendes peuvent atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial. Pour les secteurs hautement critiques, elles peuvent aller jusqu'à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Secteurs et entreprises concernées par le règlement DORA

Le règlement DORA s’applique à pratiquement tous les établissements financiers régulés au niveau européen : les banques, les entreprises d’investissement, les prestataires de services de paiement ou d’actifs numériques, les gestionnaires de fonds, les compagnies d’assurance et les prestataires tiers de services liés aux technologies de l’information et de la communication (« TIC »).

Certains gestionnaires de fonds ou certaines entreprises d’assurance en dessous d’un certain seuil ne sont pas concernés le règlement DORA.

Les 5 piliers de DORA
La gestion des risques liés aux TIC (gouvernance)

Les entités financières doivent disposer d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace du risque lié aux TIC. Concrètement, l’organe de direction de l’entité financière définit, approuve…mais demeure ultimement responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC. Des procédures écrites devront donc être élaborées.

Gestion, classification et notification des incidents liés aux TIC

Les entités financières établissent et mettent en œuvre un processus de gestion des incidents liés aux TIC afin de détecter, gérer et notifier les incidents liés aux TIC. Elles devront en outre les classer selon certains critères (durée de l’incident, volume des transactions impacté…). Elles devront notifier à leurs autorités compétentes (AMF ou ACPR) les incidents majeurs. La déclaration peut être externalisée. Là aussi, des procédures écrites devront donc être élaborées.

Les tests de résilience opérationnelle numérique 

Les entités financières vont devoir tester régulièrement leurs systèmes de TIC pour évaluer l’efficacité de leurs capacités de prévention, de détection, de réponse et de rétablissement. Les entreprises concernées devront effectuer des tests de résilience au moins une fois par an sur leurs systèmes et applications TIC critiques. Recourir à des testeurs externes est obligatoire pour les établissements systémiques.

La gestion des risques liés aux prestataires de services TIC

Les entités financières doivent encadrer le risque lié aux prestataires tiers de services TIC, et en particulier ceux qui revêtent une importance particulière dans les fonctions critiques ou importantes des entités financières. Les entités financières ne peuvent conclure des accords contractuels qu’avec des prestataires tiers de services TIC qui respectent des normes adéquates en matière de sécurité de l’information.

Le partage d’informations et de renseignements

Le règlement DORA favorise l’échange d’informations et de renseignements sur les cybermenaces entre les établissements financiers via des dispositifs de partage d’information et des environnements de confiance et les oblige à informer les autorités de régulation, le cas échéant.

Sanctions en cas de non-respect

Les sanctions sont prévues par chaque Etat membre et devront inclure notamment des sanctions pécuniaires voire la cessation temporaire ou définitive d’une activité impactée.

Conclusion

L’entrée en vigueur de NIS 2, en octobre 2024, et de DORA en 2025 va profondément remodeler la gestion des risques cyber pour de nombreux secteurs en Europe. Les entreprises doivent dès maintenant se préparer en mettant à jour leurs politiques de sécurité, en assurant la conformité de leurs contrats et en renforçant leurs capacités de détection et de réponse aux cybermenaces.

 

Prudence Cadio Co-auteur : Vincent Danton, avocat associé, LPA-CGR avocats
Vous aimerez aussi