Un règlement d’exécution de la directive NIS 2 vient tout juste d’être adopté. Ce texte, qui complète la directive NIS 2, constitue un pont essentiel entre les objectifs généraux de cette directive et les mesures pratiques que les entités concernées doivent prendre pour améliorer leur cybersécurité.

En définissant des cadres clairs de gestion des risques, des procédures de traitement des incidents et des obligations de déclaration, le règlement vise à garantir que les entités essentielles et importantes soient mieux équipées pour atténuer efficacement les risques de cybersécurité.

De quoi parle-t-on ?

Le règlement d’exécution de la Commission fournit un cadre essentiel permettant de traduire les principes généraux de la directive NIS 2 — directive (UE) 2022/2555 — en obligations concrètes et opérationnelles.

Ce règlement est important parce qu’il transforme les objectifs généraux de cybersécurité de la directive NIS 2 en mesures pratiques applicables à des entités clés, notamment :

• les fournisseurs de DNS ;
• les fournisseurs de services cloud ;
• les fournisseurs de réseaux de diffusion de contenu ;
• les marchés en ligne ;
• les plateformes de réseaux sociaux ;
• d’autres entités essentielles ou importantes relevant du champ d’application de la directive NIS 2.

Le règlement définit des mesures précises de gestion des risques liés à la cybersécurité. Il met notamment l’accent sur le principe de proportionnalité, afin que les entités, y compris les plus petites, puissent adapter ces mesures sans contrainte excessive.

Les principaux éléments du règlement comprennent :

• des procédures robustes de gestion des incidents ;
• des exigences claires en matière de sécurité de la chaîne d’approvisionnement ;
• des protocoles détaillés de test de sécurité ;
• des mesures telles que la segmentation du réseau et l’authentification multifactorielle ;
• des critères permettant de déterminer si un incident doit être considéré comme significatif.

Il est important de noter que le règlement établit des critères permettant d’identifier les incidents significatifs devant être signalés. Il prévoit également des orientations destinées à aider les entités concernées à se conformer aux exigences applicables.

Cet acte d’exécution constitue ainsi un lien direct entre les ambitions générales de la directive NIS 2 et les pratiques opérationnelles que les entités doivent mettre en œuvre.

Qu’est-ce que la directive NIS 2 ? Petit rappel

La directive NIS 2 vise à renforcer la cybersécurité dans l’ensemble de l’Union européenne en améliorant la résilience des entités essentielles et importantes ainsi que la coopération entre elles et avec les autorités compétentes.

Elle élargit le champ d’application du cadre européen de cybersécurité à davantage de secteurs, notamment :

• les infrastructures numériques ;
• les services publics de communications électroniques ;
• les services postaux ;
• le secteur chimique ;
• certains services numériques ;
• d’autres secteurs critiques pour le fonctionnement du marché intérieur et de la société.

Les entités concernées doivent adopter des mesures appropriées de gestion des risques liés à la cybersécurité. Ces mesures couvrent notamment :

• la gestion des incidents ;
• les plans de continuité des activités ;
• la sécurité de la chaîne d’approvisionnement ;
• la sécurité des réseaux et des systèmes d’information ;
• les politiques de contrôle d’accès ;
• les procédures de notification des incidents.

Elles sont également tenues de signaler rapidement les incidents aux autorités compétentes, avec des notifications initiales dans les 24 heures et des rapports plus détaillés dans les 72 heures.

Chaque État membre doit établir une stratégie nationale de cybersécurité, désigner des autorités compétentes et mettre en place des équipes de réponse aux incidents de sécurité informatique — CSIRT.

La coopération est renforcée par le biais :

• du groupe de coopération ;
• du réseau des CSIRT ;
• du réseau EU-CyCLONe, chargé de contribuer à la gestion coordonnée des incidents et crises de cybersécurité de grande ampleur.

La directive met également l’accent sur la sécurité de la chaîne d’approvisionnement, en reconnaissant les vulnérabilités propres aux services TIC critiques.

Des amendes administratives peuvent être imposées en cas de non-conformité, ce qui souligne l’importance de la mise en œuvre effective des obligations prévues.

Globalement, la directive NIS 2 vise à harmoniser les mesures de cybersécurité dans l’ensemble de l’Union européenne, avec une gouvernance plus claire, une gestion de crise renforcée et une meilleure coopération transfrontalière pour faire face aux menaces de cybersécurité.

Quels sont les huit principaux aspects du règlement d’exécution ?

Le règlement d’exécution de la Commission fournit des lignes directrices essentielles pour mettre en œuvre la directive NIS 2. Il met particulièrement l’accent sur la gestion des risques de cybersécurité et sur les critères de signalement des incidents significatifs.

Il s’applique à des secteurs clés, notamment :

• les fournisseurs DNS ;
• les fournisseurs de services cloud ;
• les fournisseurs de réseaux de diffusion de contenu ;
• les marchés en ligne ;
• les moteurs de recherche en ligne ;
• les plateformes de services de réseaux sociaux ;
• d’autres entités essentielles et importantes définies par la directive NIS 2.

1. Portée et exigences en matière de cybersécurité

Le règlement s’applique à un large éventail d’entités couvertes par la directive NIS 2, notamment les fournisseurs de services DNS, les fournisseurs de cloud computing, les fournisseurs de réseaux de diffusion de contenu, les marchés en ligne et d’autres entités essentielles ou importantes.

Les entités doivent mettre en œuvre des mesures de gestion des risques de cybersécurité comprenant notamment :

• l’établissement de politiques de sécurité des réseaux et des systèmes d’information ;
• la définition claire des rôles et responsabilités au sein de l’organisation ;
• la mise en place de mesures efficaces de réponse aux incidents ;
• la surveillance continue de la sécurité ;
• la documentation des mesures adoptées ;
• l’évaluation régulière de l’efficacité des dispositifs de sécurité.

2. Cadre de gestion des risques

Les entités sont tenues d’établir et de maintenir un cadre de gestion des risques.

Ce cadre doit comprendre :

• l’identification des risques pour la sécurité des réseaux et des systèmes d’information ;
• la réalisation d’évaluations des risques ;
• la priorisation des risques ;
• la mise en œuvre de mesures de traitement des risques ;
• le suivi de l’efficacité des mesures adoptées ;
• l’adaptation des mesures aux évolutions de la menace.

Le processus de gestion des risques doit donc permettre aux entités d’évaluer et d’atténuer les risques de cybersécurité de manière structurée.

Le cadre doit également prendre en compte les risques liés aux fournisseurs et aux prestataires de services. La sécurité de la chaîne d’approvisionnement fait ainsi partie intégrante de la posture globale de cybersécurité.

3. Gestion et classification des incidents

Les entités doivent établir et mettre en œuvre une politique de gestion des incidents afin de traiter efficacement les incidents de cybersécurité.

Cette politique doit préciser :

• les rôles et responsabilités en matière de réponse aux incidents ;
• les procédures de détection ;
• les procédures de journalisation ;
• les modalités de réponse ;
• les mesures de confinement ;
• les procédures de récupération ;
• les modalités de communication interne et externe ;
• les mécanismes d’escalade vers les autorités compétentes.

La classification des incidents constitue un élément essentiel de ce processus. Les incidents doivent être classés en fonction de leur impact potentiel et traités en conséquence.

Le règlement exige également un examen post-incident afin d’identifier les enseignements à tirer et de mettre en œuvre des améliorations destinées à prévenir de futurs incidents.

4. Continuité des activités et sécurité de la chaîne d’approvisionnement

Les entités doivent maintenir un plan de continuité des activités et de reprise après sinistre afin de garantir leur résilience face aux incidents de cybersécurité.

Ce plan doit être :

• régulièrement testé ;
• mis à jour ;
• adapté à l’évolution des menaces ;
• aligné sur les vulnérabilités propres à l’entité ;
• intégré aux procédures générales de gestion de crise.

Les entités sont également tenues d’établir une politique de sécurité de la chaîne d’approvisionnement.

Cette politique doit notamment définir :

• les critères de sélection des fournisseurs ;
• les exigences de cybersécurité imposées aux prestataires ;
• les obligations contractuelles applicables ;
• les mécanismes de contrôle des fournisseurs ;
• les exigences de notification en cas d’incident affectant la chaîne d’approvisionnement.

L’objectif est de minimiser les risques liés aux fournisseurs et d’éviter que des vulnérabilités externes ne compromettent la sécurité des réseaux et systèmes d’information de l’entité.

5. Tests de sécurité et conformité

Des tests de sécurité réguliers sont obligatoires afin de vérifier la mise en œuvre et l’efficacité des mesures de gestion des risques de cybersécurité.

Ces tests peuvent notamment comprendre :

• des tests de pénétration ;
• des analyses de vulnérabilité ;
• des audits de sécurité ;
• des exercices de simulation ;
• des tests des plans de continuité d’activité ;
• des contrôles de conformité interne.

Les entités doivent également garantir le respect de leurs politiques internes de cybersécurité par une surveillance et un examen continus.

Cette démarche permet de s’assurer que les mesures de sécurité restent efficaces et qu’elles sont adaptées aux nouveaux risques et aux nouvelles menaces.

Le règlement encourage les entités à procéder à des évaluations régulières des risques et à ajuster leurs mesures de cybersécurité en conséquence.

6. Critères relatifs aux incidents significatifs

Le règlement précise les critères permettant d’évaluer si un incident doit être considéré comme significatif et, par conséquent, être signalé aux autorités compétentes.

Un incident peut notamment être considéré comme significatif lorsqu’il est susceptible :

• d’affecter un grand nombre d’utilisateurs ;
• de causer de graves perturbations opérationnelles ;
• d’entraîner des pertes financières importantes ;
• de provoquer des dommages matériels ou immatériels significatifs ;
• de porter atteinte à la réputation de l’entité ;
• d’affecter la fourniture de services essentiels ou importants.

Les entités doivent signaler rapidement les incidents significatifs sur la base de critères prédéfinis.

Le règlement fournit des indications sur les seuils de signalement, afin de garantir que les incidents ayant des répercussions importantes soient transmis sans délai aux autorités compétentes.

7. Soutien de l’ENISA et des autorités nationales

L’Agence de l’Union européenne pour la cybersécurité — ENISA — et les autorités nationales compétentes sont chargées de fournir des orientations afin d’aider les entités à mettre en œuvre les mesures de gestion des risques requises.

Ces orientations peuvent notamment porter sur :

• les évaluations des risques ;
• l’élaboration de cadres de gestion des risques ;
• l’identification de solutions de traitement des risques appropriées ;
• les bonnes pratiques sectorielles ;
• les outils de conformité ;
• les modèles de documentation.

L’ENISA peut également fournir des outils et modèles sectoriels que les entités peuvent utiliser pour se conformer aux exigences applicables.

Ces ressources contribuent à harmoniser les pratiques dans les différents secteurs et à garantir que les entités atteignent le niveau de cybersécurité attendu.

8. Conformité aux normes et aux meilleures pratiques

Le règlement met l’accent sur l’utilisation des meilleures normes et techniques disponibles en matière de cybersécurité.

Cela concerne notamment :

• la sécurité des réseaux ;
• la sécurité des systèmes d’information ;
• la sécurité des courriels ;
• la sécurité DNS ;
• la gestion des identités et des accès ;
• l’authentification multifactorielle ;
• la segmentation des réseaux ;
• la journalisation et la surveillance.

La participation de plusieurs parties prenantes est considérée comme essentielle pour développer les meilleures pratiques en matière de cybersécurité.

Le règlement encourage ainsi la collaboration avec :

• le secteur des télécommunications ;
• les prestataires de services numériques ;
• les fournisseurs de technologies ;
• les autorités nationales compétentes ;
• l’ENISA ;
• les autres parties prenantes concernées.

Cette collaboration vise à garantir que les mesures de cybersécurité soient solides, actualisées et efficaces face aux menaces actuelles et émergentes.

traduction et synthèse du texte par Pierre Berthelet

 

• règlement d’exécution
• annexe au règlement d’exécution