En 2016, avec la première directive NIS, l’Union européenne introduisait un ensemble de règles visant à assurer un niveau élevé commun de cybersécurité sur l’ensemble de son territoire. L’enjeu était, notamment, de se prémunir contre des incidents touchant des acteurs systémiques, pouvant entrainer des répercussions majeures à l’échelle de l’Union.
Étaient donc principalement concernés par ces nouvelles exigences, les acteurs identifiés dans chaque État membre comme étant des opérateurs de services essentiels, évoluant dans certains secteurs considérés comme vitaux, dans l’énergie, les transports, l’eau, les banques, les infrastructures des marchés financiers, les soins de santé et les infrastructures numériques.
Champ élargi, mesures renforcées
En évoluant rapidement au cœur d’une économique numérique, où tout est de plus en plus connecté et interconnecté, fin 2022, le législateur européen a adopté une révision de cette directive.
« A travers NIS2, la volonté est de moderniser le cadre juridique existant pour accompagner la numérisation de l’économie et de la société, en tenant compte de l’évolution du paysage des menaces en matière de cybersécurité, explique Renaud André, Business Manager & Client Development au sein d’EBRC. Dans cette optique, la directive élargit le champ d’application des règles de cybersécurité à des nouveaux secteurs et entités, dans l’optique d’améliorer encore les capacités de résilience et de réaction aux incidents des acteurs public et privés ainsi que des autorités compétentes et de l’UE dans son ensemble. »
Entrée en vigueur mi-2024
Adoptée au niveau de l’Union européenne, la directive doit être transposée en droit national dans chaque État membre, pour entrer effectivement en application avant octobre 2024. Bien que la liste de ces opérateurs essentiels ne sera pas publiquement dévoilée, pour des raisons de sécurité, celle-ci devrait intégrer davantage d’acteurs.
Chacune des entités concernées par cette directive sera tenue de relever son niveau de sécurité et de répondre à un ensemble d’exigences vis-à-vis du régulateur, dont, pour le Luxembourg, l’ILR et la CSSF.
« Au cœur de notre société numérique, au-delà des acteurs majeurs que peuvent être les banques, les sociétés aéroportuaires, les fournisseurs d’énergie ou encore les opérateurs de services numériques, comme l’est EBRC, de plus petites structures peuvent se retrouver concernées par cette directive, assure Renaud André. Beaucoup d’acteurs innovants par exemple, peuvent jouer un rôle dans la gestion d’opérations considérées comme systémiques, dans le domaine de la santé, de la finance, des paiements ou encore de l’énergie. »
Se préparer sans attendre
L’ensemble des acteurs susceptibles d’être concernés doivent dès à présent, en anticipant une éventuelle notification, prendre la mesure de ces nouvelles exigences fixées par la nouvelle directive et les attentes des régulateurs.
« Parmi ces exigences, celles de documenter les mesures prises en matière de sécurité, de mettre en place des procédures de gestion de crise ou encore de notifier des incidents dans des délais définis », poursuit Renaud André. Ces exigences peuvent être relativement complexes à appréhender et lourdes à mettre en œuvre. Aussi, il est important de se préparer. « Cela commence par une identification des enjeux et des risques, pour l’entreprise ou vis-à-vis de ces prestataires. En travaillant avec les régulateurs, dans une approche constructive et proactive, les acteurs doivent mettre en œuvre ou renforcer leur dispositif de sécurité, et ce dès que possible, en cherchant les solutions les plus appropriées. »
Engager une démarche structurée
Sur ces sujets, les réponses à apporter sont multiples. Il existe, toutefois, un ensemble de standards ou normes sur lesquels se baser pour construire une approche robuste de la sécurité et de la résilience.
Parmi elles, ISO27001, décrivant les bonnes pratiques à suivre dans le cadre de la création d'un système de gestion de la sécurité de l'information, et ISO22301, autour de la gestion de la continuité des opérations. On peut encore évoquer, pour les services hébergés dans le cloud, le schéma européen de certification de cybersécurité pour les services de cloud (EUCS) encore en gestation.
« La bonne appréhension de ces normes constituent une base pour bien se préparer vis-à-vis de ces nouvelles exigences, poursuit le Business Manager. A travers nos services, ayant obtenu les certifications relatives à ces normes pour nous-mêmes, nous pouvons aider les entités concernées à structurer leur approche et à se mettre en conformité vis-à-vis de la directive. D’autre part, avec les expertises du groupe POST, nous pouvons accompagner la mise en place de solutions techniques garantissant à chacun un haut niveau de sécurité et de résilience. »
Pour les acteurs concernés, classés désormais en entités essentielles (EE) ou entités importantes (IE), il s’agira de s’appuyer opérationnellement sur des acteurs conscients et impliqués de la même manière sur ces enjeux.