NIS2 - Le devoir de diligence

André Lameiras

13 mars 2023

 

Nous avons précédemment décrit le « devoir de diligence* », mais qu’est-ce que cela implique exactement ? En vertu de l’ancienne directive sur la sécurité des réseaux et de l’information, une double obligation s’applique aux fournisseurs de services essentiels et aux fournisseurs de services numériques : une obligation de signalement et une obligation de diligence. Voyons dans cet article ce dernier point. En vertu de l’ancienne directive, le devoir de diligence s’applique à la fois aux fournisseurs de services essentiels et aux fournisseurs de services numériques. Il s’agit de prendre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information.

La nouvelle directive NIS2 établit une distinction, entre les entités essentielles et importantes, qui reflète le degré de criticité de leur secteur ou du type de service qu’elles fournissent, ainsi que leur taille. Les deux types d’entités devront se conformer au devoir de diligence. Il appartient aux États membres d’établir une liste d’entités essentielles et importantes sur la base des mécanismes nationaux les plus appropriés, en permettant aux entités de s’inscrire elles-mêmes. Les entités sont soumises à des mesures de gestion du risque pour la cybersécurité lorsqu’elles sont inscrites dans l’une des deux catégories. Ces mesures doivent être proportionnées au degré d’exposition de l’entité essentielle ou importante aux risques et à l’impact sociétal et économique qu’aurait un incident. Il convient également de tenir dûment compte de la criticité de l’entité, de sa taille et de la probabilité que des incidents se produisent.

Dans ce contexte, la sécurité désigne la capacité des réseaux et des systèmes d’information à résister aux actions qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité. Le règlement de mise en œuvre de la Commission (Règlement (UE) 2018/151) précise les éléments de sécurité à respecter : sécurité des systèmes et des installations, traitement des incidents, gestion de la continuité des activités, surveillance, contrôle et tests, et normes internationales.  

Mesures minimales

La directive NIS2 énumère un ensemble minimum de mesures, notamment :

  • la réalisation d’une analyse des risques
  • la mise en place de politiques relatives :
    • à la sécurité des systèmes d’information,
    • à l’intervention en cas d’incident,
    • à la continuité des activités et la gestion des crises,
    • à la sécurité des chaînes d’approvisionnement
    • à la sécurité dans l’acquisition,

  • le développement et la maintenance des réseaux et des systèmes d’information.

Sont également incluses les politiques et les procédures visant à évaluer l’efficacité des mesures de gestion des risques, et l’utilisation de la cryptographie et du chiffrement.

Les entités essentielles et importantes devraient également adopter un large éventail de pratiques de cyber-hygiène de base, telles que

  • Les principes zero-trust,
  • Les mises à jour de logiciels,
  • La configuration des appareils,
  • La segmentation du réseau,
  • La gestion des identités et des accès ou la sensibilisation des utilisateurs ;
  • L’organisation de la formation pour leur personnel ;
  • La sensibilisation aux cybermenaces, à l’hameçonnage ou aux techniques d’ingénierie sociale.

Ces entités devraient en outre réévaluer leurs moyens de cybersécurité et, le cas échéant, poursuivre l’intégration de technologies renforçant la cybersécurité, telles que l’intelligence artificielle ou les systèmes de machine learning, afin d’améliorer leurs capacités et la sécurité des réseaux et des systèmes d’information.

Pour démontrer la conformité avec ces mesures, les États membres peuvent exiger des entités essentielles et importantes qu’elles utilisent des produits, des services ou des processus spécifiques de TIC qui seront certifiés dans le cadre des systèmes européens de certification de la cybersécurité adoptés en vertu de la loi sur la cybersécurité (Règlement (UE) 2019/881).

La Commission européenne est habilitée à adopter des actes de mise en œuvre et des actes délégués pour préciser les mesures de gestion des risques. Ainsi, les obligations peuvent être mieux définies pour tenir compte des nouvelles cybermenaces, des évolutions technologiques ou des spécificités sectorielles.

Contrôle et application

Les États membres doivent veiller à exercer un contrôle efficace pour garantir le respect des exigences de la directive.

En ce qui concerne les entités essentielles, cela implique un contrôle proactif. En revanche, les entités importantes sont soumises à un control à postériori, qui peut être déclenchée par des preuves, des indications ou des informations selon lesquelles l’entité ne se conformerait pas à la directive.

En effet, dans ce dernier cas, des mesures ne devraient être prises que lorsque, pour un État membre, il apparaît qu’une entité importante ne respecte pas les obligations prévues par la directive.

À cette fin, les autorités de contrôle disposent d’un ensemble complet de pouvoirs de contrôle et d’outils d’application. La directive NIS2 étend également la responsabilité aux personnes physiques qui peuvent être tenues pour responsables d’un manquement au devoir de diligence. Ainsi, outre la personne morale, le directeur d’une organisation peut également être tenu pour responsable.

 


* dans le contexte de la directive NIS2, le "devoir de diligence" encapsule l'obligation pour les entités essentielles et importantes de prendre des mesures proactives et réfléchies pour sécuriser leurs systèmes et réseaux contre les cybermenaces, ainsi que de gérer efficacement les incidents de cybersécurité pour minimiser leur impact.