Jocelyn Pitet
October 21, 2024
15 min

NIS 2 et entités des secteurs numériques : comment répondre aux exigences de la Commission européenne ?

English version available here
Les entités qui fournissent des produits et services dans le secteur du numérique occupent une place singulière dans la directive NIS 2 (Directive (UE) 2022/2555).
Contrairement à d'autres entités essentielles ou importantes, les exigences techniques et méthodologiques de sécurité sont précisés directement par la Commission européenne.
Il s’agit nommément des entités suivantes :
  • Les fournisseurs de services DNS ;
  • Les registres des noms de domaine de premier niveau ;
  • Les fournisseurs de services d’informatique en nuage (SaaS, IaaS, PaaS, etc.) ;
  • Les fournisseurs de services de centres de données,
  • Les fournisseurs de réseaux de diffusion de contenu,
  • Les fournisseurs de services gérés,
  • Les fournisseurs de services de sécurité gérés,
  • Les fournisseurs de places de marché en ligne,
  • Les fournisseurs de moteurs de recherche en ligne,
  • Les fournisseurs de plateformes de services de réseaux sociaux,
  • Et les prestataires de services de confiance.

Pourquoi est-ce la Commission européenne qui précise ces exigences de sécurité ?

En règle générale, ce sont les États membres qui sont responsables de la mise en œuvre du droit de l’Union dans leurs droits nationaux.
Dans le cas d'une directive comme NIS 2, les États membres doivent ainsi transposer ses dispositions dans leur droit interne (sous la forme de lois, règlements, décrets, etc.), ce qui implique pour chaque pays une certaine marge de manœuvre pour l’interprétation des obligations fixées par la directive. Il arrive donc que les États membres adoptent des approches un peu différentes lors de la rédaction de leurs actes de transposition
De plus, chaque État membre désigne ses propres autorités nationales pour superviser et contrôler l'application de la directive NIS 2, comme l'ANSSI en France. 
Pour NIS 2, l’ensemble de ces variations entre États membres peut entraîner des divergences dans la manière dont les exigences en matière de cybersécurité sont mises en œuvre d'un pays à l'autre.
Aussi, lorsque l'uniformité d'application à l'échelle européenne est jugée indispensable, la Commission européenne peut être mandatée pour élaborer des « actes d'exécution ». Ces actes visent à instaurer des règles harmonisées dans l'ensemble des États membres, afin de prévenir toute divergence entre les pays.
C'est précisément pour éviter ces divergences que la directive NIS 2 juge, dans son considérant 84), que la Commission européenne doit intervenir directement pour harmoniser les exigences de sécurité des fournisseurs de services numériques.
Ces services, comme les places de marchés en ligne, les fournisseurs de services cloud, ou les centres de données, opèrent effectivement de manière transfrontalière et souvent dans plusieurs pays simultanément.
En raison de cette nature internationale, ces services requièrent, plus encore que d'autres entités, des règles uniformes afin de garantir des exigences de cybersécurité cohérentes et homogènes à l’échelle de l’Union européenne.
À l’été 2024, la Commission européenne a lancé un appel à contributions concernant son projet d’acte d’exécution. Des entreprises et associations, tant européennes qu’américaines, ont répondu à cet appel, avec un total de 154 contributions soumises, toutes consultables sur le site de la Commission européenne.
Finalement, la Commission, qui avait jusqu’au 17 octobre 2024 pour adopter cet acte d'exécution, a respecté ce délai. L'acte entrera en vigueur le 11 novembre 2024.

Quelles sont les obligations pour les entités des secteurs du numérique ?

Conformément aux articles 21 et 23 de la directive NIS 2, l'acte d'exécution précise deux points majeurs : les exigences techniques et méthodologiques pour la gestion des risques cyber des fournisseurs de services numériques, et les modalités de qualification et de notification d'un incident important.
L’acte1 se divise en deux parties : un règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 qui énonce les obligations à respecter, et son annexe détaillant les mesures à prendre.
Sans surprise, les mesures de gestion des risques sont alignées sur des standards bien établis, comme l'ISO/IEC 27001, ISO/IEC 27002, et ETSI EN 319 401, ainsi que sur des spécifications techniques comme le CEN/TS 18026:2024.
En outre, l’ENISA – au niveau européen – et les autorités nationales, comme l'ANSSI en France, fourniront probablement des orientations pour aider les entités à se mettre en conformité, en leur fournissant des évaluations des risques nationales et sectorielles et concernant des risques spécifiques à un certain type d’entité. Toutefois, les entités concernées restent responsables de l'identification et de la documentation de leurs propres risques.
Pour le résumé, notre cabinet d'avocats vous propose dix points importants à retenir :
  1.  Adopter des mesures adaptées à son contexte spécifique : les mesures de sécurité doivent être adaptées aux contextes spécifiques de chaque entité (taille, activité, incidents potentiels), en suivant le principe de proportionnalité. Pour les structures qui ne peuvent pas répondre à certaines exigences, des mesures compensatoires appropriées peuvent être envisagées. Par exemple, les micro-entités qui ne peuvent séparer les rôles et responsabilités liés à la sécurité devraient envisager d'autres mesures, comme un suivi renforcé des activités et des journaux de sécurité.
  2. Documenter ses écarts de conformité : lorsqu’une entité concernée estime qu’il n’est pas besoin, qu’il n’y a pas lieu, ou qu’il est impossible pour elle d’appliquer certaines exigences, elle doit documenter son argumentation en ce sens.
  3. Adopter des politiques conformes (PSSI, PCRA, etc.) : les entités concernées doivent adopter des PSSI, PCRA, politiques de gestion des risques, politiques de cryptographie conformes à l’acte d’exécution. L’approche à adopter doit être "tous risques" (vol, incendies, inondations, etc.), et inclure des plans de traitement des risques prévoyant la prévention, la réduction, et dans certains cas, l'acceptation de certains risques. Ces politiques doivent être régulièrement testées, réévaluées, s'accompagner d'indicateurs de suivi de leur mise en œuvre et s'appliquer aussi bien aux employés qu'aux tiers (fournisseurs, sous-traitants), ce qui peut nécessiter des avenants contractuels.
  4. Prévenir et détecter en temps utile les événements de sécurité : les entités concernées doivent se doter de procédures de gestion des incidents conformes à l’acte d’exécution, surveiller et journaliser leurs réseaux et systèmes d'information et prendre des mesures pour identifier rapidement les attaques réseau, notamment en se basant sur des schémas anormaux de trafic.
  5. Notifier les incidents importants : l'acte précise les critères pour caractériser un incident important. Cela inclut, sans être exhaustif, les incidents causant une perte financière directe supérieure à 500 000 EUR ou à 5 % du chiffre d'affaires annuel de l'entité (en retenant le montant le plus faible), ceux impliquant l’exfiltration de secrets d’affaires, ceux ayant des conséquences graves sur la santé ou entraînant la mort, ainsi que les accès non autorisés malveillants pouvant gravement perturber les opérations. Les incidents récurrents, même s'ils ne sont pas importants pris individuellement, sont collectivement considérés comme tels s'ils se produisent au moins deux fois en six mois, ont la même cause apparente et causent ensemble des pertes financières significatives dépassant 500 000 EUR ou 5 % du chiffre d'affaires annuel de l'entité. En outre, des critères spécifiques s'appliquent à certains fournisseurs. Les interruptions planifiées et les maintenances programmées ne sont pas considérées comme des incidents importants.
  6. Sécuriser l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information : les entités  doivent mettre en place des procédures pour gérer les risques liés à l’acquisition de services TIC, adopter un cycle de développement sécurisé, gérer les configurations et les changements, réaliser des tests de sécurité réguliers (tests d’intrusion, analyses de vulnérabilités, audits de sécurité), et appliquer des correctifs en temps opportun. Cela inclut également la segmentation des réseaux, la protection contre les logiciels malveillants et la gestion des vulnérabilités, conformément aux exigences de l'acte d'exécution.
  7. Sécuriser la chaîne d'approvisionnement : les entités doivent s’assurer que leurs prestataires respectent aussi des exigences de sécurité élevées, en adoptant une politique de sécurité pour la chaîne d'approvisionnement et des clauses de sécurité adaptées dans leurs contrats.
  8. Former et adopter des pratiques d'hygiène informatique : les entités  doivent mettre en place un programme de sensibilisation continue pour leurs employés, y compris les membres de la direction, ainsi que pour les fournisseurs, afin de promouvoir les bonnes pratiques de cyberhygiène et informer sur les risques de cybersécurité. Un programme de formation spécifique aux rôles critiques en matière de sécurité doit également être établi, régulièrement mis à jour et évalué, pour assurer une réponse appropriée aux cybermenaces et garantir une gestion sécurisée des systèmes d'information.
  9. Sécuriser les ressources humaines : les entités doivent s'assurer que leurs employés, fournisseurs et prestataires de services comprennent et assument leurs responsabilités en matière de sécurité, conformément à la politique de sécurité de l'information. Cela inclut des mécanismes pour garantir que les utilisateurs avec des accès privilégiés connaissent leurs rôles, ainsi que des procédures de recrutement avec vérification des antécédents pour les postes sensibles. Les entités doivent également prévoir des clauses de sécurité post-emploi et établir une procédure disciplinaire pour traiter les violations de sécurité, réexaminée régulièrement.
  10. Contrôle d’accès et gestion des actifs : les entités doivent mettre en place des politiques de contrôle d'accès, gérer les droits d'accès de manière sécurisée et appliquer des procédures renforcées pour les comptes privilégiés et d'administration. Elles doivent établir un inventaire de leurs actifs, classifier ces derniers selon leur importance, et mettre en œuvre des politiques appropriées pour la gestion des actifs tout au long de leur cycle de vie, y compris les supports amovibles.
Evidemment, il ne s'agit ici que d'un résumé succinct, et l'acte d'exécution est plus détaillé et précis. 

Que faire aujourd’hui ?

Ce que vous devez faire dépend naturellement de votre niveau actuel de maturité en matière de cybersécurité.
Si vous souhaitez vous mettre rapidement en conformité avec les exigences de NIS 2, voici comment notre cabinet d'avocats peut vous accompagner :
  • Audit de conformité : Nous réalisons un audit juridique approfondi de vos contrats et procédures (PSSI, PCRA, etc.) pour identifier les écarts de conformité avec la directive NIS 2 et vous proposer des ajustements pour combler ces lacunes. Nous veillons à ce que vos politiques soient juridiquement opposable à vos salariés et à vos tiers (fournisseurs, sous-traitants) par le biais d’avenants contractuels ou via votre règlement intérieur. 
  • Assistance en cas de dérogation ou d’ajustement :Dans les cas où certaines exigences ne peuvent être respectées, nous vous aidons à documenter de manière rigoureuse vos écarts de conformité.
  • Sécurisation de votre chaîne d'approvisionnement : nous veillons à ce que vos contrats avec vos prestataires soient conformes à vos obligation de cybersécurité, notamment en intégrant des clauses de sécurité adaptées à la gestion des relations avec vos prestataires et fournisseurs.
  • Assistance en cas d'incident : nous vous accompagnons dans la rédaction de vos politiques de gestion des incidents afin de garantir leur conformité avec les exigences de NIS 2. En cas d’incident, nous vous aidons également à gérer efficacement les notifications à adresser aux autorités compétentes, que ce soit pour NIS 2, le RGPD ou toute autre réglementation applicable. Cela inclut la coordination des obligations légales, le respect  des délais et la préparation des informations nécessaires pour être en conformité avec vos obligations.
  • Assistance en cas d'audit de sécurité indépendant: Les tests d'intrusion et audits de sécurité sont des opérations particulièrement sensibles qui nécessitent un encadrement rigoureux. Notre cabinet d'avocats vous accompagne dans leur mise en œuvre en rédigeant des clauses spécifiques pour garantir la sécurité juridique et opérationnelle de ces processus. Cela inclut la confidentialité des résultats des tests et audits, afin que ces informations critiques ne puissent être exploitées ou divulguées en dehors du cadre prévu. Nous veillons également à la délimitation précise du périmètre des audits, pour éviter tout risque de dépassement qui pourrait perturber vos activités. Enfin, nous assurons la gestion des responsabilités en cas de problème ou d'incident survenu lors de ces opérations. Ces mesures protègent non seulement vos systèmes, mais aussi la continuité de vos services, en garantissant un cadre sécurisé et conforme à la réglementation en vigueur.
  • Coordination avec les experts techniques : si vous disposez déjà d'une équipe interne en cybersécurité ou des partenaires techniques, nous collaborons avec eux pour assurer une mise en œuvre complète et efficace des mesures de sécurité en conformité avec NIS 2. Si nécessaire, nous pouvons également vous proposer de travailler avec nos partenaires spécialisés en cybersécurité pour répondre à vos besoins techniques spécifiques.
En prenant ces mesures dès maintenant, vous serez non seulement en conformité avec les obligations de la directive NIS 2, mais aussi mieux armé pour faire face aux défis croissants en matière de cybersécurité.

À propos de l'auteur

Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation. 
En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.

Notes de bas de page

1. Règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 établissant des règles relatives à l’application de la directive (UE) 2022/2555 pour ce qui est des exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité et précisant plus en détail les cas dans lesquels un incident est considéré comme important, en ce qui concerne les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance
En savoir plus ?
voir nos expertises 
Entropy
13, rue du Quatre Septembre
75002 Paris
(+33)9 55 88 62 32
FR
LinkedIn
Mentions légales
Linkedinmentions legales
© 2024 Entropy.
Tous droits réservés.
© 2024 Entropy. Tous droits réservés