Article d'expert
Vendredi 23 Septembre 2022 à 16h57 par ATLANTIC FINANCE
Sécurité informatique : le cadre réglementaire européen va être renforcé
Le Conseil européen et le Parlement européen se sont mis provisoirement d’accord pour renforcer le cadre juridique de la sécurité informatique de l’Union européenne dans la directive NIS2.
Récemment cette année 2022, le Conseil européen et le Parlement européen ont annoncé apporter quelques changements dans les mesures de la directive NIS2. Ils entendent faire correspondre à l’état actuel des choses et raffermir les exigences juridiques européennes en matière de sécurité informatique.
Une mise à jour déjà prévue
La directive NIS2 vise à succéder à la Network and Information Systems du 06/07/2016. Cette mise à jour était déjà prévue par l’article 23 de ladite directive qui stipulait qu’il pourrait être nécessaire de faire réexaminer périodiquement et régulièrement par la Commission le texte. C’est une question vitale dans un domaine hautement stratégique en perpétuelle mutation suivant l’évolution perpétuelle d’un environnement géopolitique compliqué.
Telle est la raison pour laquelle la mise à jour de la NIS faisait partie des priorités de la nouvelle stratégie de sécurité informatique de l’UE, avisée par la Commission européenne vers fin 2020. Cette institution a décidé de revoir cet outil juridique le plus rapidement possible suite aux résultats de différents travaux et d’une consultation réalisés au 2nd trimestre 2022. Elle confirme les améliorations fournies par la NIS et prend en compte ses zones de progrès dans un environnement où les risques de sécurité informatique sont plus élaborés et sophistiqués que jamais. Cela vient surtout de l’utilisation massive du numérique ainsi que de l’immense interaction des systèmes existants.
Les mesures essentielles concernées par la NIS2
Confirmation et élargissement des secteurs d’application de la NIS
La 1ère mesure de la nouvelle NIS2 est de confirmer et élargir les secteurs où seront appliquées ses obligations de sécurité informatique. Aussi, celles-ci concerneront dorénavant de nombreux domaines d’activité, non seulement ceux déjà indiqués par l’ancien texte, mais aussi ceux de l’administration publique, de l’espace et des eaux usées. En effet, en faisaient déjà l’objet :
l’énergie,
le transport,
les banques,
les infrastructures financières de marché,
la santé,
l’eau potable,
les infrastructures numériques.
Toutes les organisations de moyenne ou de grande envergure de ces secteurs stratégiques doivent respecter les obligations y stipulées. Il appartient ensuite à chaque État membre de préciser les petites organisations qui doivent être concernées par ces mesures.
Rappelons qu’une directive doive suivre 2 étapes pour pouvoir être appliquée. Premièrement, elle doit être décrétée par les institutions européennes. Elle doit ensuite être adoptée par les États membres suivant le droit appliqué dans chaque pays. Le règlement prend toutefois effet immédiatement.
Notons aussi que la NIS2 divise en 2 parties distinctes les organisations soumises à ses mesures. Il y a les principaux opérateurs et les opérateurs importants. Les 1ers doivent se soumettre à des mesures plus élaborées que les 2nds à cause de leur place dominante dans leurs secteurs d’activité. Tel est le cas dans celui des infrastructures numériques. En effet, les opérateurs Domain Name System et les fournisseurs de solutions Cloud y sont vus comme des opérateurs essentiels. Quant aux moteurs de recherche et les services de réseaux sociaux, ils sont qualifiés d’opérateurs importants.
Élargissement des obligations de sécurité informatique
À sa première présentation, la NIS2 renforce quelques mesures déjà appliquées et y ajoute d’autres. Celles-ci concernent surtout la gestion des risques, les obligations de reporting, la signalisation des failles de sécurité, les contrôles et les pénalisations.
La gestion des risques
La directive NIS2 complète les exigences sur la gestion des risques. Elle fixe un certain nombre d’obligations qui exige des mesures en termes d’analyses de risques des :
politiques de sécurité des systèmes d’information,
procédures de gestion des incidents,
procédures de maintien de l’activité en situation de crise,
usage de solutions cryptographiques de chiffrement.
Des audits seront réalisés pour évaluer régulièrement l’efficacité et la solidité de ces démarches.
La nouvelle NIS2 y ajoute aussi une obligation de gestion de risques relatifs à la totalité des autres organisations incluses dans la sypply chain des opérateurs qui y sont soumis.
Les obligations de reporting
La NIS2 élargit les obligations de rapporter tout incident qui risque d’engendrer d’importants dégâts opérationnels ou financiers. Il faut faire de même pour les éventuels incidents susceptibles de provoquer les mêmes dommages. La directive ajoute aussi quelques détails sur la manière de notifier ces incidents, comme la date et le contenu des reportings. Elle précise qu’il faut dédier une équipe spéciale pour s’en charger.
La signalisation des failles de sécurité
La NIS2 incite également les États membres à signaler toutes les failles de sécurité décelées, une procédure qui a permis de lutter efficacement contre des virulentes attaques informatiques. C’est la procédure via laquelle les experts ou les pirates informatiques éthiques signalent toutes les failles de sécurité dont ils connaissent l’existence. L’objectif est d’en informer les fournisseurs de service pour qu’ils puissent les corriger comme il faut, ce, dans un court laps de temps. Dans cette optique, l’ENISA ou l’Agence de l’Union européenne pour la sécurité informatique pourra tenir une base de données des brèches de sécurité découvertes.
Les contrôles
La NIS2 invite aussi les autorités nationales à étendre les pouvoirs de leurs autorités de contrôle. Celles-ci peuvent effectuer un contrôle préalable pour les opérateurs essentiels et un contrôle après les faits pour les opérateurs importants.
Les pénalisations
La NIS2 prévoit également des pénalisations quand les concernés ne respectent pas ces obligations. Ces sanctions se traduisent par une amende pouvant aller jusqu’à 10 M d’euros ou par 2 % du CA annuel mondial de l’entité fautive. Aussi, la direction retient le montant le plus élevé.
Au cas où des organisations continuent à aller contre les mesures mentionnées, la NIS2 peut mettre en jeu la responsabilité de leurs dirigeants ou de leurs représentants. Un amendement de la nouvelle directive affirme en outre que les États membres doivent s’assurer du suivi et du respect de ces obligations sur leur territoire national respectif. Cela ne signifie pas respecter les obligations par peur des représailles, mais agir pour mieux lutter contre les attaques informatiques.
La NIS2 établirait enfin de manière officielle le Cyber Crisis Liaison Organisation Network de l’UE ou CyCLONe en vue de la préparation et de la gestion des crises informatiques. Cette entité contribuera à la gestion coordonnée des grands incidents de sécurité informatique.
Les étapes suivantes
Les deux institutions doivent ensuite approuver cet accord provisoire sur la nouvelle NIS2. Normalement, cela ne devrait créer une quelconque discorde vu que son contenu a été élaboré d’un accord commun par les 2 organisations. Ceci fait, il reste aux États membres de l’intégrer dans leur législation nationale respective dans les 21 mois qui suivent.
Dans tous les cas, on salue les efforts menés pour mettre au goût du jour, renforcer et harmoniser les exigences européennes en matière de sécurité informatique. En effet, les risques d’attaques informatiques se trouvent actuellement au centre de toutes les préoccupations, que ce soit sur le plan économique, social ou géographique.
Aussi, ce texte est un pas de plus pour inciter l’Europe à se développer et à s’unir pour être plus puissante sur le plan numérique. Pour cause, il prend en compte les autres organisations, les encourage à être proactives et apprécie leurs efforts à signaler toute faille de sécurité décelée.
Récemment cette année 2022, le Conseil européen et le Parlement européen ont annoncé apporter quelques changements dans les mesures de la directive NIS2. Ils entendent faire correspondre à l’état actuel des choses et raffermir les exigences juridiques européennes en matière de sécurité informatique.
Une mise à jour déjà prévue
La directive NIS2 vise à succéder à la Network and Information Systems du 06/07/2016. Cette mise à jour était déjà prévue par l’article 23 de ladite directive qui stipulait qu’il pourrait être nécessaire de faire réexaminer périodiquement et régulièrement par la Commission le texte. C’est une question vitale dans un domaine hautement stratégique en perpétuelle mutation suivant l’évolution perpétuelle d’un environnement géopolitique compliqué.
Telle est la raison pour laquelle la mise à jour de la NIS faisait partie des priorités de la nouvelle stratégie de sécurité informatique de l’UE, avisée par la Commission européenne vers fin 2020. Cette institution a décidé de revoir cet outil juridique le plus rapidement possible suite aux résultats de différents travaux et d’une consultation réalisés au 2nd trimestre 2022. Elle confirme les améliorations fournies par la NIS et prend en compte ses zones de progrès dans un environnement où les risques de sécurité informatique sont plus élaborés et sophistiqués que jamais. Cela vient surtout de l’utilisation massive du numérique ainsi que de l’immense interaction des systèmes existants.
Les mesures essentielles concernées par la NIS2
Confirmation et élargissement des secteurs d’application de la NIS
La 1ère mesure de la nouvelle NIS2 est de confirmer et élargir les secteurs où seront appliquées ses obligations de sécurité informatique. Aussi, celles-ci concerneront dorénavant de nombreux domaines d’activité, non seulement ceux déjà indiqués par l’ancien texte, mais aussi ceux de l’administration publique, de l’espace et des eaux usées. En effet, en faisaient déjà l’objet :
l’énergie,
le transport,
les banques,
les infrastructures financières de marché,
la santé,
l’eau potable,
les infrastructures numériques.
Toutes les organisations de moyenne ou de grande envergure de ces secteurs stratégiques doivent respecter les obligations y stipulées. Il appartient ensuite à chaque État membre de préciser les petites organisations qui doivent être concernées par ces mesures.
Rappelons qu’une directive doive suivre 2 étapes pour pouvoir être appliquée. Premièrement, elle doit être décrétée par les institutions européennes. Elle doit ensuite être adoptée par les États membres suivant le droit appliqué dans chaque pays. Le règlement prend toutefois effet immédiatement.
Notons aussi que la NIS2 divise en 2 parties distinctes les organisations soumises à ses mesures. Il y a les principaux opérateurs et les opérateurs importants. Les 1ers doivent se soumettre à des mesures plus élaborées que les 2nds à cause de leur place dominante dans leurs secteurs d’activité. Tel est le cas dans celui des infrastructures numériques. En effet, les opérateurs Domain Name System et les fournisseurs de solutions Cloud y sont vus comme des opérateurs essentiels. Quant aux moteurs de recherche et les services de réseaux sociaux, ils sont qualifiés d’opérateurs importants.
Élargissement des obligations de sécurité informatique
À sa première présentation, la NIS2 renforce quelques mesures déjà appliquées et y ajoute d’autres. Celles-ci concernent surtout la gestion des risques, les obligations de reporting, la signalisation des failles de sécurité, les contrôles et les pénalisations.
La gestion des risques
La directive NIS2 complète les exigences sur la gestion des risques. Elle fixe un certain nombre d’obligations qui exige des mesures en termes d’analyses de risques des :
politiques de sécurité des systèmes d’information,
procédures de gestion des incidents,
procédures de maintien de l’activité en situation de crise,
usage de solutions cryptographiques de chiffrement.
Des audits seront réalisés pour évaluer régulièrement l’efficacité et la solidité de ces démarches.
La nouvelle NIS2 y ajoute aussi une obligation de gestion de risques relatifs à la totalité des autres organisations incluses dans la sypply chain des opérateurs qui y sont soumis.
Les obligations de reporting
La NIS2 élargit les obligations de rapporter tout incident qui risque d’engendrer d’importants dégâts opérationnels ou financiers. Il faut faire de même pour les éventuels incidents susceptibles de provoquer les mêmes dommages. La directive ajoute aussi quelques détails sur la manière de notifier ces incidents, comme la date et le contenu des reportings. Elle précise qu’il faut dédier une équipe spéciale pour s’en charger.
La signalisation des failles de sécurité
La NIS2 incite également les États membres à signaler toutes les failles de sécurité décelées, une procédure qui a permis de lutter efficacement contre des virulentes attaques informatiques. C’est la procédure via laquelle les experts ou les pirates informatiques éthiques signalent toutes les failles de sécurité dont ils connaissent l’existence. L’objectif est d’en informer les fournisseurs de service pour qu’ils puissent les corriger comme il faut, ce, dans un court laps de temps. Dans cette optique, l’ENISA ou l’Agence de l’Union européenne pour la sécurité informatique pourra tenir une base de données des brèches de sécurité découvertes.
Les contrôles
La NIS2 invite aussi les autorités nationales à étendre les pouvoirs de leurs autorités de contrôle. Celles-ci peuvent effectuer un contrôle préalable pour les opérateurs essentiels et un contrôle après les faits pour les opérateurs importants.
Les pénalisations
La NIS2 prévoit également des pénalisations quand les concernés ne respectent pas ces obligations. Ces sanctions se traduisent par une amende pouvant aller jusqu’à 10 M d’euros ou par 2 % du CA annuel mondial de l’entité fautive. Aussi, la direction retient le montant le plus élevé.
Au cas où des organisations continuent à aller contre les mesures mentionnées, la NIS2 peut mettre en jeu la responsabilité de leurs dirigeants ou de leurs représentants. Un amendement de la nouvelle directive affirme en outre que les États membres doivent s’assurer du suivi et du respect de ces obligations sur leur territoire national respectif. Cela ne signifie pas respecter les obligations par peur des représailles, mais agir pour mieux lutter contre les attaques informatiques.
La NIS2 établirait enfin de manière officielle le Cyber Crisis Liaison Organisation Network de l’UE ou CyCLONe en vue de la préparation et de la gestion des crises informatiques. Cette entité contribuera à la gestion coordonnée des grands incidents de sécurité informatique.
Les étapes suivantes
Les deux institutions doivent ensuite approuver cet accord provisoire sur la nouvelle NIS2. Normalement, cela ne devrait créer une quelconque discorde vu que son contenu a été élaboré d’un accord commun par les 2 organisations. Ceci fait, il reste aux États membres de l’intégrer dans leur législation nationale respective dans les 21 mois qui suivent.
Dans tous les cas, on salue les efforts menés pour mettre au goût du jour, renforcer et harmoniser les exigences européennes en matière de sécurité informatique. En effet, les risques d’attaques informatiques se trouvent actuellement au centre de toutes les préoccupations, que ce soit sur le plan économique, social ou géographique.
Aussi, ce texte est un pas de plus pour inciter l’Europe à se développer et à s’unir pour être plus puissante sur le plan numérique. Pour cause, il prend en compte les autres organisations, les encourage à être proactives et apprécie leurs efforts à signaler toute faille de sécurité décelée.
Pour en savoir plus
ATLANTIC FINANCE
Conseil en Fusion Acquisition dédié au secteur IT. ESN, Editeurs de logiciels, technologies et Internet. Le coeur de notre activité est de vous présenter des cédants ou des acquéreurs.- 91 rue du Faubourg Saint Honoré
75008 Paris - 06 16 81 34 17
- herve.camus@a-finance.fr
- Contact : Hervé CAMUS
