Responsabilités des Dirigeants en Matière de la Cybersécurité en Vertu de la Directive NIS2

La directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité de décembre 2022 (directive NIS2) est entrée en vigueur le 16 janvier 2023 et elle vient abroger la précédente directive (UE) 2016/1148 sur la sécurité des réseaux et des systèmes d’information dans l’Union, connue sous le nom de  » directive NIS ».

La directive NIS2 a introduit des mesures de gestion des risques de cybersécurité et des obligations de déclaration supplémentaires par rapport à la directive NIS. L’objectif de la directive NIS2 est d’établir des exigences communes en matière de cybersécurité et de mettre en œuvre des mesures de cybersécurité dans l’ensemble de l’UE (Union européenne).

Obligations et responsabilité des organes de gestion

La directive NIS2 prévoit, pour les dirigeants, de nouvelles obligations et responsabilités en matière de renforcement de la cybersécurité. Ces nouvelles obligations nécessitent une sensibilisation à la cybersécurité de la part des dirigeants des entités concernées.

Deux catégories d’entités entrent dans le champ d’application de la directive NIS2 : (i) les entités importantes (EI) et (ii) les entités essentielles (EE) . Un large éventail d’organisations et de secteurs, tels que, entre autres,  l’énergie, les transports, les soins de santé, les infrastructures des marchés financiers, l’eau potable, l’administration publique ont été inclus dans le champ d’application de la directive NIS2. D’ici le 17 avril 2025, les États membres établiront une liste d’entités essentielles et importantes.

Conformément à l’article 20 de la directive NIS2, les organes de gestion des entités essentielles et importantes doivent approuver les mesures de gestion des risques de cybersécurité prises au sein de leurs entités. Les organes de direction sont également chargés de superviser la mise en œuvre de ces mesures. Le non-respect de ces obligations peut engager la responsabilité des organes de direction en vertu du même article.

En vertu de la directive NIS2, les organes de direction sont également tenus de se familiariser avec la cybersécurité et de posséder des connaissances et des compétences suffisantes pour identifier les cyberrisques et leur impact. L’article 21 de la directive NIS2 impose aux entités d’adopter des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les cyberrisques et prévenir ou réduire au minimum l’impact des cyberincidents sur les destinataires de leurs services et sur d’autres services.

Mesures techniques, opérationnelles et organisationnelles

Ces mesures comprennent au moins les éléments suivants:

1. Des politiques en matière d’analyse des risques et de sécurité des systèmes d’information;
2. Traitement des incidents ;
3. La continuité des activités, y compris la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ;
4. Sécurité de la chaîne d’approvisionnement ;
5. L’acquisition, le développement et la maintenance des réseaux de sécurité et des systèmes d’information, le traitement et la divulgation des vulnérabilités;
6. Les politiques et les procédures permettant d’évaluer l’efficacité des mesures de gestion des risques liés à la cybersécurité;
7. Les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
8. Les politiques et les procédures relatives à l’utilisation de la cryptographie et du chiffrement;
9. La sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs;
10. L’utilisation de solutions d’authentification multifactorielle ou d’authentification continue de communications vocales, vidéo et textuelles sécurisées, et de systèmes de communication d’urgence sécurisés au sein de l’entité.

Obligations d’information 

La directive NIS2 exige, des entités entrant dans son champ d’application, qu’elles informent les équipes d’intervention en cas d’incidents liés à la (CSIRT) ou leur autorité compétente de tout incident significatif. Les entités doivent également informer leurs clients des incidents importants qui pourraient avoir une incidence sur la fourniture de leurs services respectifs.

En outre, les entités concernées doivent informer leurs clients de toute cybermenace importante et des mesures que ces derniers peuvent prendre pour contrer ces menaces.

La directive NIS2 décrit un incident significatif comme un incident qui (i) a causé ou peut causer une grave perturbation opérationnelle du service ou une perte financière pour l’entité concernée, ou (ii) a affecté ou peut affecter d’autres personnes physiques ou morales en causant des dommages matériels ou immatériels significatifs.

Les États membres ont jusqu’au 17 octobre 2024 pour adopter les lois nationales transposant la directive et doivent les appliquer à partir du 18 octobre 2024. Il est important de souligner que la directive NIS2 ne s’applique pas seulement aux entités établies dans l’UE, mais également aux entités établies en dehors de l’UE qui fournissent des services dans l’UE.