NIS2 et DORA sont ainsi deux pièces qui viennent s’ajouter au puzzle complexe que constituent les réglementations de cybersécurité à l'échelle mondiale. La genèse de ces législations est simple : d'une part les incidents de cybersécurité persistent, d'autre part leur impact ne cesse de croître à mesure que la transformation numérique accélère.
Les cyberattaques étant de plus en plus courantes, les cadres NIS2 et DORA sont conçus non seulement pour aider les entreprises à se protéger contre les attaques, mais aussi pour renforcer la cyber résilience. Les entreprises, et plus particulièrement les dirigeants, doivent être conscients que leur responsabilité personnelle est ainsi engagée. Il s'agit d'une stratégie intentionnelle visant à faire des RSSI un élément clé de l'entreprise et à les rendre personnellement responsables de leur posture de sécurité.
La directive NIS2 renforce les normes
NIS2 est une mise à jour importante du cadre NIS1 existant qui devra être mise en œuvre d'ici le 17 octobre 2024. Cette mise à jour élargit le champ des exigences en matière de cybersécurité pour inclure davantage de secteurs tels que l'énergie, les transports, la banque, la santé, les infrastructures numériques, les services numériques, l'alimentation, l'espace et l'industrie manufacturière.Les enjeux sont d'autant plus importants que les sanctions en cas de non-respect sont plus sévères. Les sanctions auront des conséquences lourdes sur le plan personnel, telles que l'interdiction temporaire d'occuper des postes de direction.
En outre, la directive traite de la sécurité de la chaîne d'approvisionnement et fixe des exigences spécifiques : une analyse complète des risques, des protocoles robustes de réponse aux incidents, des normes de chiffrement, des procédures de divulgation des vulnérabilités, des mécanismes de détection des menaces et des programmes
de formation réguliers.
Le règlement DORA se concentre quant à lui sur la protection du secteur financier et entrera en vigueur le 17 janvier 2025 pour renforcer la sécurité numérique du secteur financier de l'UE. Il vise un large éventail d'entités financières qui opèrent dans ou avec l'UE, et étend sa portée réglementaire aux fournisseurs de services TIC tiers jugés essentiels par les régulateurs européens.
Il vise essentiellement à renforcer la résilience du secteur financier en mettant en place un système de gestion des risques, en signalant les incidents et en imposant des tests. À l'image de NIS2, DORA tient la direction responsable de la cybersécurité, se concentre sur la sécurisation de la chaîne d'approvisionnement et encourage l'utilisation de technologies modernes pour détecter les comportements anormaux. Il souligne également l'importance de la gouvernance et du rôle de la direction dans la supervision des initiatives de cybersécurité et encourage une culture de la vigilance et de la responsabilité.
Différents mais identiques : directive vs. règlement
Les cadres contrastés de la directive NIS2 et du règlement DORA montrent des approches différentes de la réglementation avec des objectifs globalement similaires. La directive NIS2 fixe des objectifs généraux, laissant aux États membres le soin d'élaborer leurs propres lois. DORA est un règlement qui est uniformément applicable dans tous les pays de l'UE sans qu'il soit nécessaire d'adopter une législation supplémentaire.Le champ d'application de ces cadres diffère également : NIS2 a un champ d'application plus large, couvrant divers secteurs critiques, tandis que DORA se concentre spécifiquement sur le secteur financier et ses fournisseurs de services technologiques. Le règlement DORA est considéré comme satisfaisant aux exigences prévues par la directive NIS2 pour le secteur financier.
En ce qui concerne la notification des incidents, NIS2 prévoit un processus en trois étapes, qui commence par une alerte rapide dans les premières 24 heures, se poursuit par une notification détaillée dans les 72 heures et se termine par un rapport final un mois plus tard. En revanche, DORA exige un rapport détaillé dans un délai d'un jour ouvrable, ce qui répond au besoin de réaction rapide du secteur financier.
Le règlement DORA prévoit des amendes pouvant aller jusqu'à 2 % du chiffre d'affaires annuel des entreprises et des amendes pour les employés pouvant aller jusqu'à 1 million d'euros. Les fournisseurs tiers critiques sont également passibles d'amendes pouvant aller jusqu'à 500 000 euros. NIS2 établit une distinction entre les entités essentielles et les entités importantes.
Les entités essentielles sont passibles d'amendes pouvant aller jusqu'à 10 millions d'euros (ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu). Les entités importantes sont passibles d'amendes allant jusqu'à 7 millions d'euros (ou 1,4 % du chiffre d'affaires annuel). Notamment, la directive NIS2 permet d'interdire à des cadres de haut niveau d'exercer de nouvelles fonctions en cas de non-respect de la loi.
Deux chemins, une seule destination : Des objectifs communs
Les règlements NIS2 et DORA reposent sur une solide gestion des risques. Les organisations doivent mettre en œuvre des processus complets de gestion des cyberrisques, y compris l'analyse des risques, la détection des risques, la réponse aux risques, la gestion des vulnérabilités et la formation des employés. La continuité des activités et la résilience numérique sont des thèmes clés qui exigent des organisations qu'elles mettent en place des plans pour maintenir leurs activités en cas de perturbations.Les deux règlements mettent l'accent sur l'utilisation de technologies avancées, telles que l'IA et le machine learning, pour la détection proactive des menaces. Le maître mot est d'aller à l'essentiel, c'est-à-dire de rendre obligatoires des éléments de base tels que l'authentification multifactorielle et le chiffrement.
Ces deux directives ont en commun la nécessité de sécuriser l'ensemble de l'écosystème de la chaîne d'approvisionnement. En abordant les relations avec les fournisseurs et les risques liés à la chaîne d'approvisionnement, ces directives visent à garantir l'intégrité et la résilience de l'ensemble de la chaîne d'approvisionnement et des relations avec les tiers.
En outre, les deux règlements accordent aux autorités nationales des pouvoirs de contrôle renforcés pour l'application de la législation par le biais d'inspections, d'audits, d'enquêtes et de sanctions en cas de non-conformité. La continuité des activités et la résilience numérique est un autre thème central de NIS2 et DORA qui prévoient que les organisations élaborent des plans opérationnels et se soumettent à des tests externes tels que des audits et des tests de pénétration fondés sur les menaces.
NIS2 et DORA insistent sur la nécessité d'une coopération transfrontalière et préconisent un meilleur partage des informations entre les États membres de l'UE afin de renforcer les défenses et de faciliter une réaction rapide en cas d'incident.
Par Andy Schneider, Field CISO EMEA chez Lacework
