Comment NIS2 et DORA cherchent à renforcer la cybersécurité des entreprises dans l'UE
La numérisation et les progrès technologiques ont souvent accru le risque de cybermenaces pour les cadres des technologies de l'information et de la communication (TIC) dans tous les secteurs d'activité, en particulier dans le secteur financier. De plus, ces menaces peuvent avoir de graves conséquences, notamment la perte de données financières sensibles, la perturbation des opérations et l'instabilité financière.
En réponse, l'Union européenne cherche à :
- 1. renforcer la stabilité et la sécurité de l'économie européenne au sens large,
- 2. renforcer la protection des données financières des consommateurs, et
- 3. atténuer les cyber-risques critiques.
Aujourd'hui, je vais vous présenter deux textes législatifs clés qui visent à atteindre ces objectifs en renforçant la résilience opérationnelle aux cyberattaques dans l'ensemble du système financier et des secteurs économiques clés : DORA et NIS2 : DORA et NIS2.
#1 : Qu'est-ce que NIS2 et DORA ?
NIS2, ou deuxième directive sur la sécurité des réseaux et de l'information, s'applique dans l'Union européenne, à tous les secteurs d'activité. Son objectif est de renforcer la sécurité des réseaux TIC et de l'information dans les secteurs critiques des États membres de l'UE. Elle a été adoptée par le Parlement européen et devrait entrer en vigueur d'ici la fin de l'année 2024.
Le NIS2 est le successeur du NIS, qui existe déjà depuis quelques années. La NIS2 contient des amendements à la directive originale et élargit le nombre de secteurs couverts par rapport à la NIS1. Elle élargit également le nombre d'entités critiques par rapport à la NIS1. Le champ d'application est assez large et comprend, entre autres, les secteurs suivants
- l'énergie (par exemple, la production d'électricité, de pétrole et de gaz)
- les transports aériens, maritimes et routiers
- le secteur bancaire
- les produits chimiques
- les fournisseurs d'infrastructures numériques, tels que les fournisseurs de services d'informatique en nuage (cloud computing)
Toutes les entreprises de ces secteurs ne sont pas incluses dans le champ d'application - cela dépend de la taille de l'entreprise et du niveau de criticité du secteur. Toutes les moyennes et grandes entreprises, c'est-à-dire les entreprises de plus de 50 employés, sont incluses dans le champ d'application, sauf dans certains secteurs où tous les opérateurs de services essentiels sont inclus dans le champ d'application, quelle que soit leur taille.
La loi DORA (Digital Operational Resilience Act) s'applique spécifiquement aux services financiers. L'objectif principal de DORA est de s'assurer que des exigences uniformes en matière de cybersécurité sont en place pour toutes les entités financières de l'Union européenne, ainsi que pour leurs fournisseurs et leurs prestataires de services, y compris les fournisseurs de services en nuage. Le DORA a également été adopté par le Parlement européen et entrera probablement en vigueur vers la fin de l'année 2024 ou peut-être au début de l'année 2025.
Le DORA découle des lignes directrices de l'Autorité bancaire européenne (ABE), l'un des régulateurs du secteur financier en Europe. En 2015, l'ABE a élaboré des lignes directrices sur l'externalisation qui devaient être respectées si les banques souhaitaient confier certains de leurs services ou infrastructures à d'autres entreprises. DORA s'appuie essentiellement sur ces lignes directrices de l'ABE.
#2 : Pourquoi l'UE adopte-t-elle/publie-t-elle DORA et NIS2 maintenant ?
L'Union européenne veut s'assurer que la cybersécurité est étroitement contrôlée dans tous les secteurs critiques des États membres.
NIS2, et DORA dans le secteur des services financiers en particulier, sont des réponses de l'Union européenne au nombre croissant d'attaques contre des entités du secteur critique, en particulier dans les secteurs de l'électricité, du pétrole et du gaz. L'Union européenne veut s'assurer que son industrie est suffisamment résiliente contre les attaques de cybersécurité qui sont de plus en plus le fait de fraudeurs, de terroristes et éventuellement d'autres États-nations.
Bien que ni le NIS2 ni le DORA ne définissent de contrôles de cybersécurité spécifiques, ils définissent le cadre de gouvernance qui couvre des entités telles que les banques ou les fournisseurs de services d'utilité publique et qu'elles doivent mettre en place.
Ces cadres concernent la gouvernance et la cyber-résilience à un niveau plus élevé - s'assurer qu'un cadre de gestion est en place plutôt que de rendre obligatoire la mise en œuvre de contrôles spécifiques de la sécurité des systèmes d'information, comme le cryptage, par exemple.
#3 : Quel est le champ d'application de DORA et de NIS2 ?
Le contenu de NIS2 et de DORA est assez large. Par exemple, la NIS2 se concentre sur quatre sujets :
- 1. Le premier concerne la responsabilité des dirigeants en matière de cybersécurité. Elle définit les responsabilités que le conseil d'administration ou la direction générale d'une entreprise doivent assumer dans le domaine de la cybersécurité. La NIS2 définit également des pratiques spécifiques de cybersécurité et de gestion des risques auxquelles les entreprises doivent prêter attention, comme l'analyse des risques, la détection des incidents et la gestion de la continuité des activités, par exemple en cas d'incident.
- 2. La sécurité de la chaîne d'approvisionnement est très importante et concerne non seulement l'entreprise elle-même, mais aussi l'ensemble de sa chaîne d'approvisionnement, c'est-à-dire les fournisseurs, les fournisseurs de leurs fournisseurs, etc. Les entreprises couvertes par la directive NIS2 doivent auditer leurs fournisseurs et l'ensemble de leur chaîne d'approvisionnement du point de vue de la sécurité.
- 3. Elles doivent également définir des politiques et des procédures pour vérifier l'efficacité des contrôles de cybersécurité mis en place par les entreprises.
- 4. Enfin, le NIS2 contient également des exigences relatives à la notification des incidents. Lorsqu'une entreprise soumise à la NIS2 est confrontée à un incident de cybersécurité, elle a l'obligation de le signaler à son autorité nationale de régulation. Il peut s'agir d'une banque nationale pour les organisations financières ou d'une autre entité gouvernementale désignée pour les autres types d'entreprises.
#4 : Quel est l'impact réglementaire de NORA et de NIS2 pour les entreprises ?
Les grandes entreprises, en particulier, devront accorder encore plus d'attention à la gouvernance de la cybersécurité, en s'assurant qu'elles ont mis en place les bonnes politiques et procédures pour définir la manière dont elles traitent les risques liés à la cybersécurité. Les entreprises doivent définir clairement les responsabilités en matière de sécurité au sein de l'entreprise, et elles doivent procéder à un audit de leur chaîne d'approvisionnement.
Les entreprises peuvent avoir des centaines, voire des milliers de fournisseurs ; une grande partie de ces fournisseurs devra probablement être examinée du point de vue de la sécurité.
Les entreprises le font peut-être déjà, mais cela devient maintenant obligatoire ; tant le NIS2 que le DORA prévoient des sanctions en cas de non-conformité. Pour le NIS2, les sanctions peuvent aller jusqu'à 10 millions d'euros. Pour DORA, les sanctions ne sont pas encore spécifiquement définies. On s'attend à ce que les gouvernements nationaux soient en mesure de spécifier plus en détail les sanctions applicables.
En ce qui concerne l'administration des sanctions, les régulateurs financiers au niveau européen sont impliqués - l'ABE. Ils travaillent également en étroite collaboration avec tous les régulateurs bancaires nationaux (par exemple, la Banque de France, la Banque nationale de Belgique, etc.)
#5 : Quel sera l'impact sur l'écosystème des partenaires/fournisseurs de l'entreprise ?
Les fournisseurs essentiels des banques ressentiront les effets de la loi DORA. Si vous êtes un fournisseur de services numériques très important, par exemple, vous serez également soumis directement à la loi DORA. Mais même si votre entreprise n'est pas considérée comme critique, vous serez très probablement soumis à la loi DORA de manière indirecte - les conditions contractuelles que la loi DORA impose aux institutions financières se répercuteront sur la plupart des fournisseurs des institutions financières.
Il est important de mentionner que les entreprises qui sont des fournisseurs de banques européennes, mais qui ne sont pas basées dans les États membres de l'Union européenne, seront également soumises à la loi DORA. Si vous êtes, par exemple, un fournisseur de technologie nord-américain, vous serez toujours soumis à la loi DORA si vous fournissez des services à des banques européennes. Tant que le client se trouve dans l'Union européenne, vous serez également soumis aux exigences de la loi DORA.
Comme il n'existe pas de certification DORA ou autre, chaque fournisseur devra mener des négociations contractuelles avec chaque client bancaire, et chaque banque imposera ses exigences. Bien sûr, au bout d'un certain temps, les fournisseurs seront familiarisés avec les exigences réglementaires précises, mais ils devront s'y conformer à nouveau à chaque fois qu'ils concluront un nouveau contrat avec une banque européenne.
Conclusion
Si NIS2 et DORA présentent des exigences de conformité, ils représentent également un certain nombre d'évaluations et de pratiques exemplaires en matière de gouvernance de la cybersécurité qui font partie intégrante de la préparation opérationnelle et de la gestion des risques de sécurité dans le monde actuel de menaces, d'attaques et de cyberincidents.
En outre, elles contribuent à l'objectif plus large de ramener l'intégrité sur l'internet, de sorte que la numérisation et les progrès technologiques puissent continuer à profiter aux entreprises.
Contactez-nous dès maintenant pour savoir comment nous pouvons vous aider à sécuriser vos interactions avec les clients et vos processus commerciaux les plus importants.