«Les DSI sont tenues de réaliser une

cartographie des risques en intégrant toute

leur chaine contractuelle»
01/12/2022

Suivant la volonté de l’Union de renforcer la lutte contre la

cybercriminalité, le Parlement européen a adopté le 10 novembre
dernier de nouvelles règles en matière de cybersécurité. Xavier Pican,
avocat associé spécialisé en IT au sein du cabinet Osborne Clarke,
revient sur les enjeux de la directive NIS 2 et du futur règlement DORA.
La directive sur la sécurité des réseaux et de l'information (NIS) est en cours de
modifications. La future mouture - dite NIS 2 - a été formellement adoptée par le
Parlement européen début novembre. Le Conseil de l'UE doit encore approuver la
proposition avant qu'elle soit promulguée au journal officiel de l'UE.

La réglementation européenne en matière de cybersécurité existe depuis

2016. Pourquoi la modifier ?

L’Union européenne a souhaité mettre à jour cette directive pour en élargir le

périmètre. Initialement, NIS couvrait les secteurs de l’énergie, des transports, des
institutions financières, de la santé, de l’eau ainsi que certaines infrastructures
numériques. Dans sa nouvelle version, le texte inclut également l’environnement, le
spatial, les fournisseurs de services numériques, les fabricants de produits chimiques et
pharmaceutiques, l’agroalimentaire et les services postaux. Il couvre également
l’ensemble des administrations publiques qui, jusqu’à présent, n’étaient absolument
pas intégrées à la réglementation européenne.

Près de 160 000 entités seraient ainsi concernées en Europe selon les
estimations du Parlement. A quelles obligations devront-elles se conformer ?

Les exigences en matière de cybersécurité sont renforcées par NIS 2. Les acteurs
concernés doivent justifier de la mise en place de mesures techniques et
opérationnelles visant à assurer la sécurité de leurs réseaux informatiques. Il faut, par
exemple, attester que les pares-feux et autres logiciels de sécurité sont acquis puis mis
à jour régulièrement. De plus en plus de grands groupes publient ainsi dans leur rapport
annuel le pourcentage du chiffre d’affaires investi dans la sécurité informatique. Ils
témoignent de leur engagement et adressent un message de confiance à leurs parties
prenantes.

Les directions des systèmes d’information sont également tenues de réaliser une
cartographie des risques en intégrant toute leur chaine contractuelle, autrement dit
leurs fournisseurs et sous-traitants. En cas de défaillance, c’est le donneur d’ordre ou
l’entreprise cliente qui sera tenu pour responsable et non le fournisseur. Il est donc
essentiel que ces éléments de sécurité soient intégrés dans le choix des prestataires.

Quelles sont les sanctions prévues en cas de manquement ?

La directive distingue deux types d’entités : les entités essentielles, et les entités
importantes. Les premières sont soumises à des obligations renforcées, comme la
communication d’un incident à l’Anssi. En cas de non-respect des règles, les sanctions
sont également plus fortes pour ces acteurs. L’amende peut s’élever à 10 millions
d'euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise. Pour les entités
importantes, elle peut monter à 7 millions d'euros ou 1,4 % du chiffre d'affaires.

Ces obligations représentent une grande nouveauté pour les administrations

publiques…

L’inclusion de toutes les entités publiques constitue en effet l’un des principaux apports
de NIS 2. Certes, ces acteurs étaient déjà conscients des enjeux de cybersécurité mais
leurs obligations réglementaires en la matière étaient assez disparates. Le niveau de
maturité des infrastructures IT du secteur public est globalement inférieur à celui du
privé. Il est donc logique que le législateur souhaite relever le niveau d’exigence.

La directive NIS 2 est cependant toujours en phase d’élaboration. La transposition, à

l’échelle nationale, ne devrait donc pas se faire avant la fin 2023, début 2024.

L’Union européenne affirme également vouloir renforcer la coopération entre

les Etats. De quelle manière ?

Le rôle de l’Agence européenne pour la cybersécurité (ENISA) est renforcé. Cette

dernière coordonne les autorités nationales, représentées en France par l’Anssi (Agence
nationale de la sécurité des systèmes d'information). Ce réseau est chargé de veiller à
la bonne application du texte. Il permet également un échange de bonnes pratiques
entre ses membres. Les cyberattaques ne connaissent pas de frontières, et les risques
sont souvent les mêmes d’un pays à l’autre.

Au-delà de NIS 2, des règles supplémentaires s’appliqueront également au

secteur financier avec le règlement sur la résilience opérationnelle numérique
(DORA digital operational resilience act)…

Le secteur financier manipule énormément de données, généralement très sensibles. Il

fonctionne, par ailleurs, en temps continu puisque les marchés ne s’arrêtent pas. Ces
caractéristiques le rendent particulièrement vulnérable aux cyber-attaques ce qui
explique la volonté de l’Union européenne d’établir une réglementation dédiée. Le futur
règlement Dora vise à unifier la gestion des risques IT du secteur financier au niveau
européen en imposant un mécanisme de gouvernance des données très solide. Elle
définit ainsi un protocole pour valider la robustesse des systèmes d’information des
établissements financiers et de leurs prestataires de services. Sa promulguation devrait
avoir lieu début 2023, et sera suivie d’une période d’adaptation de 2 ans. Au vu du
degré de détails et d’exigences du texte, il est préférable que les entreprises
concernées s’y préparent dès à présent.
 Propos recueillis par Coralie Bach

Source URL: https://www.actuel-direction-juridique.fr/content/les-dsi-sont-tenues-de-real-

ser-une-cartographie-des-risques-en-integrant-toute-leur-chaine