Que nous réserve l’Europe en matière de réglementations cyber ?
Publié le 27/1/2022
Auteur : Arnaud Dufournet, Chief Marketing Officer
En ce début d’année où la France vient de prendre la présidence de l’Union Européenne, il est bon de rappeler les impacts des réglementations européennes à venir en matière de cybersécurité. D’autant plus que la France a fait savoir que « le renforcement de la cybersécurité sera un axe de travail prioritaire de la présidence ». Dans cet esprit, elle s’efforcera dans les six prochains mois de faire progresser les négociations sur la révision de la directive Network and Information System Security (NIS). La régulation de l’espace numérique sera l’autre grande priorité avec l’espoir, caressé par Thierry Breton, de faire adopter le DSA (Digital Service Act) et le DMA (Digital Market Act).
Face au constat implacable de la perte de souveraineté concédées principalement au GAFAM, l’Europe semble vouloir réagir et manifeste désormais une volonté « d’autonomie stratégique ». Premier signe de cette réaction, un plan de relance élaboré par Bruxelles l’an passé et dont 20% est consacré à la transition numérique et en particulier à l’investissement dans des technologies souveraines. L’autre levier est la réglementation avec la volonté de réduire le niveau de dépendance vis-à-vis des services cloud américains.
La directive NIS : les bases d’un cyber bouclier européen
Revenons plus spécifiquement au domaine de la cybersécurité et à la directive NIS 2016/1148 dont les contours de la deuxième version viennent d’être adoptés par la Commission.
Pour rappel, cette directive sur la sécurité des réseaux et des systèmes d’information a été adoptée le 6 juillet 2016 par les membres de l’UE. S’inspirant grandement de la LPM (Loi de Programmation Militaire) instaurée en France depuis 2013, elle vise à rendre plus résiliente l’Europe en développant les protections et la collaboration face aux cybermenaces. Pour ce faire, elle établit des exigences minimales en matière de cybersécurité pour les entreprises et les organisations fournissant des services dits essentiels ; c’est-à-dire des services dont l’arrêt causerait des dommages sérieux à l’économie ou à la société.
Désignés par le terme d’OSE (Opérateur de Services Essentiels), ces entités appartiennent à sept secteurs d’activité retenus par la directive à savoir : la finance/assurance, l’énergie, les transports/logistique, la santé, l’eau potable et le digital (infrastructure et services). Pour ce dernier secteur, la directive introduit la notion de FSN (Fournisseurs de Services Numériques).
La directive dans son ensemble impose trois types d’obligations aux OSE et FSN :
- Identifier les risques qui menacent la sécurité des réseaux et systèmes d’information (SI)
- Prendre les mesures techniques et opérationnelles adaptées pour se prémunir de ces risques
- Informer l’autorité nationale compétente (l’ANSSI pour la France) ou un Centre de réponse aux incidents de sécurité informatique (CSIRT) sur les incidents subis et leurs conséquences
Plus de la moitié des Etats-membres ont ajouté quelques secteurs et sous-secteurs supplémentaires afin de couvrir des activités qu’ils estimaient sensibles pour leur nation. L’Espagne et l’Allemagne ont par exemple rajouté le secteur du Commerce et de la Distribution. La France, de son côté, a transposé la directive dans la loi du 26 février 2018. Elle a rajouté l’Education et les activités sociales parmi les activités essentielles ou encore la distribution de médicaments dans le secteur de la Santé.
Et voici NIS 2 et son cortège de nouveaux OSE
La réévaluation des textes est un processus classique de la Commission européenne. Celle concernant la directive NIS était prévue au plus tard le 9 mai 2021. Les travaux et les consultations menées en 2020 ont montré une amélioration des capacités de résilience. Ils ont aussi mis en évidence des axes de progrès comme par exemple l’hétérogénéité des niveaux de protection entre les Etats. Les évolutions technologiques, la digitalisation des processus métier ou encore les interconnexions qui accroissent les interdépendances, poussent également à reconsidérer le périmètre initial de la directive.
C’est ainsi que dans le cadre de sa « Stratégie de cybersécurité pour la décennie numérique », la Commission européenne a présenté, le 10 décembre dernier, sa proposition de révision de la directive. L’objectif de cette proposition est de réduire les écarts de protection entre les Etats, d’accroitre le niveau de collaboration et de contrôle et de renforcer les obligations pour les organisations concernées.
L’une des premières conséquences sera l’élargissement du nombre de secteurs concernés par la directive. La Commission considère par ailleurs que la notion de FSN n’est plus adaptée. Exit donc les FSN ; ce sont désormais des « entités importantes » dans la nouvelle proposition. Au passage leur nombre croît en incluant d’autres fournisseurs d’infrastructures et de services numériques comme : les fournisseurs de points d’échange internet, les fournisseurs de services DNS, les registres de noms de domaines de premier niveau, les fournisseurs de cloud, les datacenters, les fournisseurs de réseaux de diffusion de contenu, les prestataires de services de confiance ou encore les fournisseurs de réseaux de communications électroniques publics.
De nouveaux secteurs font également leur apparition comme les services postaux et de courrier, la gestion des déchets, la production alimentaire, l’industrie manufacturière ou encore les administrations publiques. Ces ajouts de secteurs comportent encore des zones de flou relevées par le Syntec Numérique comme par exemple le secteur de la fabrication. Dans la proposition, ce secteur parait très large. Il comprend ainsi toutes les organisations qui fabriquent des produits électriques, informatiques, électroniques, optiques, des machines, des véhicules et autres matériels de transports ainsi que des dispositifs médicaux !
Autre secteur qui pose question : les administrations publiques. Les administrations centrales sont concernées en premier lieu. Mais le cabinet Alain Bensoussan pense également que les « principales métropoles, départements et/ou régions, seront intégrées, tout comme les syndicats informatiques et autres structures de mutualisation exerçant des compétences sensibles (hébergement, archivage, services informatiques, etc.) » qui rentreraient alors aussi dans le champ de la directive.
Enfin, la taille des entités appartenant à des secteurs désignés OSE sera un critère pris en considération. Une notion de « plafond » devrait voir le jour pour n’impacter que les grandes et moyennes structures. Les micro entreprises et entreprises de petites tailles restent donc hors champ.
Plus de coopération et un durcissement des obligations
Parmi les obligations contraignantes, figure l’obligation de déclaration des incidents aux autorités compétentes dans un délai de 24 heures. La Commission introduit également la notion un peu vague de « quasi-accident » (article 20) qui serait à notifier au même titre que les incidents significatifs. Le Syntec craint à juste titre une « surcharge des notifications ».
Un autre aspect notable de la proposition porte sur la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs. De nouvelles exigences à l’égard des prestataires de services des entités essentielles ou importantes sont par conséquent à anticiper.
Les autorités de contrôle voient leur pouvoir renforcé avec la possibilité de mener régulièrement des audits portant sur l’évaluation des risques. Quant aux sanctions proposées, elles peuvent aller jusqu’à 2% du chiffre d’affaires mondial en cas de non-conformités (article 31). Les cas de non conformités et d’infraction seraient rendues publiques.
En matière de coopération, la proposition pousse au partage d’information en créant un cadre pour la divulgation coordonnée des vulnérabilités et demande aux Etats membres de désigner des CSIRT. Créé officiellement en septembre 2020, le réseau CyCLONe (Cyber Crisis Liaison Organisation Network) se voit confier la tâche de coordonner la gestion des incidents et des crises cyber majeures et de garantir les échanges d’informations entre tous les acteurs. Quant à L’ENISA (European Union Agency for Cybersecurity), elle sera chargée de tenir à jour un registre européen des vulnérabilités déclarées et de produire un rapport sur l’état de la cybersécurité dans l’union tous les deux ans.
En attendant DORA
Une fois la version définitive du texte entérinée par le Parlement européen et le Conseil, les Etats membres auront deux ans à compter de l’entrée en vigueur de la directive pour transposer les nouvelles dispositions dans leur droit national. Si la France réussit à faire passer l’adoption du texte lors de sa présidence du Conseil de l’UE, il pourrait alors entrer en vigueur courant 2024.
Les entités essentielles ou importantes devront alors jongler entre les différentes réglementations qui les concernent et parfois faire face à certaines incohérences. Par exemple, le RGPD impose la notification des incidents dans les 72 heures contre seulement 24h pour NIS 2.
La directive NIS doit composer avec les autres réglementations déjà en vigueur ou à venir. Les fournisseurs de réseaux de communications électroniques qui intègrent le champ de la directive sont déjà soumis au Code européen des communications électroniques (EECC).
Deux autres textes vont compléter la directive :
- La proposition de directive de décembre 2020 qui porte sur la résilience des entités critiques. Cette directive traite le sujet de la sécurité physique des infrastructures critiques c’est-à-dire de la prévention des risques non cyber (catastrophes naturelles, terrorisme, …).
- La proposition de règlement sur la résilience opérationnelle du secteur financier. DORA (Digital Operational Resilience Act) est un règlement dont l’objectif est d’améliorer la résilience des entreprises du secteur financier à tous les types de menaces liées aux technologies de l’information et de la communication. Il fixera des exigences minimales pour professionnels de la banque, de la finance et des assurances ainsi que les tiers fournisseurs de services informatiques. Nous aurons l’occasion d’en reparler plus dans le détail dans un prochain article.
Les prochains mois s’annoncent donc particulièrement chargés en matière de réglementations européennes. Un plus grand nombre d’entreprises et administrations va se retrouver impacté par ces réglementations. L’adoption du texte final de la directive NIS 2 est évidemment à suivre de très près pour identifier les nouveaux OSE. En s’engageant dans un processus de certification continue, TheGreenBow offre aux OIV et OSE des solutions VPN de confiance qui leur assurent la protection de leurs communications en toutes circonstances et les aident à élever leur capacité de résilience. N’hésitez pas à nous consulter pour vos projets de mise en conformité des accès à votre système d’information.
