Quelles sont les nouveautés de la réglementation NIS2 ?

André Lameiras

13 mars 2023

 

Par rapport à sa version précédente, la nouvelle directive NIS supprime la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les entités seront classées en fonction de leur importance et divisées en deux catégories, les entités essentielles et les entités importantes, qui seront soumises à des régimes de surveillance différents. Cela signifie que tous les secteurs et toutes les organisations relevant de NIS2 sont d’une grande importance pour les États membres de l’UE. Il est entendu que leur perturbation causerait un préjudice grave à la société s’ils n’étaient plus en mesure d’exercer leurs fonctions. Malgré tout, les deux catégories ont été créées pour distinguer le fait que tous les secteurs n’ont pas le même impact sur la société en cas d’incident. Nous examinons ci-dessous la différence entre les deux groupes, essentiel et important, et l’impact des changements apportés par la directive NIS2.

Essentiel ou important ?
L’introduction de la directive NIS2 élargira le champ d’application réglementaire de la directive initiale. Plus précisément, un plus grand nombre d’organisations devront se conformer aux exigences. Mais quelles sont ces exigences et comment seront-elles appliquées ?

Devoir de diligence et devoir de signalement
Toutes les organisations couvertes par la directive NIS2, qu’elles soient essentielles ou importantes, devront commencer à se conformer à leur devoir de diligence. La directive contient une liste de types de mesures que les fournisseurs de services doivent respecter au minimum. Il s’agit notamment d’évaluer les risques pour vérifier si une organisation accorde suffisamment d’attention à la sécurité des systèmes d’information, la gestion de crise et la continuité opérationnelle en cas de cyber incident majeur, et si elle peut garantir la sécurité de sa chaîne d’approvisionnement. Le devoir de diligence consiste par ailleurs à assurer la sécurité des réseaux et des systèmes d’information, utiliser la cryptographie et le chiffrement, et disposer de politiques et de procédures permettant d’évaluer l’efficacité des mesures de gestion des risques. L’obligation de notification s’appliquera également à toutes les organisations couvertes par la directive NIS2. Cette obligation de notification exigera des organisations concernées qu’elles informent leurs autorités nationales dans les 24 heures suivant la découverte d’un incident, qu’elles fassent ensuite un compte rendu dans les 72 heures, et qu’elles procèdent à une évaluation finale un mois plus tard.

Prise de conscience et Anticipation
Les deux types d’entités ont les mêmes devoirs et obligations, par exemple, les membres des organes de direction des entités essentielles et importantes sont tenus de suivre une formation et doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. Les entités utilisent ces mesures pour leurs opérations ou la prestation de services afin de prévenir ou de minimiser l’impact des incidents sur les bénéficiaires de leurs services ou d’autres services.

Les organisations essentielles devront également disposer d’un cadre de préparation proactive pour évaluer l’impact d’une mauvaise gestion, même en l’absence d’incident. Pour la seconde catégorie, les entités importantes, la conformité est attendue de manière réactive. Cela signifie que la conformité de ces organisations avec les lois et les exigences ne sera vérifiée qu’après un incident. S’il s’avère que des mesures insuffisantes ont été prises et que les exigences n’ont pas été respectées, les mêmes sanctions s’appliqueront aux deux types d’entités.

Il est important de noter qu’au plus tard le 17 avril 2025, et ensuite tous les deux ans, les autorités compétentes indiqueront à la Commission et au groupe de coopération le nombre d’entités essentielles et importantes pour chaque secteur.