NIS 2 et DORA : au-delà du sujet juridique, un projet de transformation d'entreprise

Dès fin 2024, la directive NIS2 puis le règlement DORA marqueront une nouvelle transition au sein des entreprises européennes, qui devront porter la responsabilité d'un espace numérique plus sûr.

Dans les prochains mois, les entreprises de l'Union Européenne (UE) vont intensifier leurs efforts pour renforcer leur résilience en cybersécurité. Face à la montée en puissance de la menace cyber, l’ambition est clairement d’enclencher une dynamique positive visant à collectivement améliorer la cyber résilience des organisations critiques pour le maintien des services aux citoyens. Il en résulte une nouvelle législation européenne, affectant les États membres et les entreprises opérant sur leur territoire.  

La directive NIS 2 d’abord, sera transposée au Sénat en octobre 2024, tandis que le règlement DORA (UE 2022/2554) sur la résilience opérationnelle numérique du secteur financier entrera en vigueur en janvier 2025. 

Evolution ou révolution ? 

La directive NIS 2 se concentre principalement sur les responsabilités que les États membres doivent intégrer dans leurs stratégies et processus, tout en encourageant la collaboration au sein de l'UE pour la gestion d’incidents.  

Evolution directe de la directive NIS 1 de 2016, NIS 2 est concrètement une extension de la cybersécurité avec un champ d’application plus large, et qui intègre une nouvelle dimension essentielle : la prise en compte de la chaîne de sous-traitants, dont on ne cesse de voir les failles ces derniers temps. Onze secteurs jugés « hautement critiques » comme l'énergie, le transport, la finance, la santé, les eaux usées, l'administration publique ou encore l'industrie aéronautique et spatiale, ainsi que sept autres secteurs critiques tels que les services postaux sont concernés. La taille de l'organisation et l'impact potentiel de ses interruptions sur la sécurité publique, la sûreté ou la santé sont des critères déterminants. 

Toutes les organisations concernées vont ainsi devoir mettre en place un cadre de gestion des risques qui sera ensuite décliné d’un point de vue opérationnel. 

Des exigences renforcées… et des sanctions ! 

Beaucoup plus directive que dans sa première version, NIS 2 impose aux entreprises de signaler tout incident significatif dans les 24 heures aux autorités compétentes. Dans les 72 heures, elles doivent soumettre une évaluation détaillant l'impact et la gravité de l'incident. Au plus tard un mois après cette évaluation, elles doivent fournir un rapport complet incluant une analyse des causes sous-jacentes de l'incident. 

Alors que NIS 1 ne prévoyait pas de sanctions, NIS 2 autorise les États membres, sur le même principe que le RGPD, à infliger des amendes. Celles-ci pourront atteindre 10 millions d’euros ou 2 % du chiffre d'affaires annuel pour les entités les plus critiques.  

Responsabilité 

L'article 32 de NIS 2 souligne l'importance pour une entité de prendre la responsabilité de ses décisions en matière de gestion des risques cyber. Il autorise ainsi les autorités compétentes à suspendre temporairement la certification d'une entité, ce qui pourrait en conséquence impacter sa capacité d'exercer. Ces autorités peuvent également interdire au PDG ou au représentant légal d'exercer ses fonctions de direction. 

La directive exige également que les organisations acceptent des inspections locales, se soumettent à des audits de sécurité réguliers et fournissent sur demande des preuves de la mise en œuvre de leurs politiques de cybersécurité. Enfin, les autorités peuvent exiger qu'une organisation communique publiquement sur ses manquements à la directive. 

Risques sur la supply chain 

De nombreuses organisations reconnaissent désormais les risques liés à leur chaîne d’approvisionnement. Pour adresser cette problématique, NIS 2 met l'accent sur l'importance de sécuriser la supply chain, avec des évaluations des risques à l’attention des fournisseurs ainsi que le partage d’informations sur les menaces, les indicateurs de compromission (IOC), des tactiques des acteurs de la menace ou encore des recommandations sur la configuration des outils, renforçant ainsi la résilience des industries à travers leurs chaînes d'approvisionnement. 

Et maintenant ? 

Bien plus qu’un sujet juridique, les nouvelles évolutions réglementaires en matière de cybersécurité marquent une transition collective vers un projet de transformation d’entreprise, dont la finalité est une augmentation de la cyber-résilience. A mesure que le numérique se développe, il apparaît primordial de veiller à en garder le contrôle. Chaque entreprise doit se donner les moyens de combler ses potentielles lacunes en matière de cybersécurité. Transmettre un héritage numérique plus sûr aux prochaines générations est un devoir collectif, voire sociétal.