De la cybersécurité sous le sapin de Noël réglementaire européen !

La France, par le biais de la Loi de Programmation Militaire du 18 décembre 2013, a fortement aiguillonné l’Union européenne au moment de réfléchir au cadre à prévoir afin d’assurer la cybersécurité des entités économiques majeures. En effet, leurs vulnérabilités informatiques pourraient avoir des conséquences désastreuses pour l’ensemble de l’Europe. En France, les Opérateurs d’importance vitale (OIV) ont ainsi hérité d’un cadre et d’une surveillance stricts sous l’égide de l’Anssi, imposant le recours notamment à des prestataires qualifiés par l’Anssi (ainsi que des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information d’importance vitale, etc.).

Deux textes, deux origines, un destin commun

Au niveau européen, la directive NIS du 6 juillet 2016 a posé les bases de la coopération en matière de cybersécurité et de l’échange d’informations sur les cyberattaques. Elle a également imposé des règles en la matière, applicables à un certain nombre d’acteurs, les Opérateurs de services essentiels (OSE), et dans une moindre mesure les Fournisseurs de services numériques (FSN) que chaque État membre désignait de son côté. Cette directive a été transposée en France par la loi du 26 février 2018. Au-delà des déclarations d’intention que l’on retrouve fréquemment dans d’autres textes, il était programmé dès l’origine que cette directive serait effectivement revue et que le niveau des exigences ou le cercle des acteurs concernés ne feraient que s’élargir. C’est désormais chose faite avec la directive NIS 2 du 14 décembre 2022, qui devra être transposée par les États membres d’ici au 17 octobre 2024, pour une application de ses règles au 18 octobre 2024.

NIS 2 et DORA renforcent la gestion des cybermenaces dans l’UE, DORA se focalisant sur la résilience opérationnelle numérique du secteur financier

En parallèle et le même jour que la directive NIS 2, c’est après deux ans de gestation que le Parlement européen a finalement adopté le règlement sur la résilience opérationnelle informatique du secteur financier (appelé "DORA" pour "Digital Operational Resilience Act") qui sera applicable dans deux ans, à partir du 17 janvier 2025. Nous avions déjà parlé de ce projet de texte majeur et de ses apports potentiels dans une précédente chronique. En résumé, nous y rappelions que la résilience, composante de la cybersécurité lorsqu’elle est numérique, était définie comme la "capacité à fonctionner lors d’un incident et à revenir à l’état nominal par la suite. C’est l’aptitude à prévoir et limiter, en amont et au mieux, les impacts d’un accident sur l’état d’un système". Cette résilience est également envisagée par la directive NIS 2 susmentionnée, ainsi que par la directive CER également du 14 décembre 2022 (Critical Entities Resilience) pour les aspects hors cybersécurité, ces trois textes s’inscrivant dans la stratégie de cybersécurité de l’UE.

Le règlement DORA a ainsi pour objet d’harmoniser et renforcer les règles en matière de gestion des risques liés aux nouvelles technologies pesant sur les entités financières de l’Union Européenne (au sens large, incluant les établissements de crédit, les entreprises d’assurance ou encore les sociétés de gestion). Ce texte n’est certes pas une révolution pour ces entités tant il s’inscrit dans la continuité des orientations de l’ABE de 2019 sur la gestion des risques liés aux TIC et à la sécurité des établissements financiers, reprises par l’arrêté du 25 février 2021, ainsi que des "Principes pour une Résilience Opérationnelle" publiés en mars 2021 par le Basel Committee on Banking Supervision. Le règlement DORA est accompagné d’une directive du même jour, ayant pour objectif de modifier les directives déjà applicables au secteur financier pour y opérer tous les renvois utiles au règlement et permettre une bonne coordination des règles.

Vers une harmonisation partielle des règles… et une pression sur les prestataires informatiques ?

NIS 2 et DORA ont en commun de prévoir une approche essentiellement tournée vers les risques, tout comme le RGPD. Appliquant le respect du principe de proportionnalité et alors même que les projets de textes pouvaient envisager une application large, leur version finale prévoit de ne pas s’appliquer aux microentreprises (et petites entreprises pour NIS 2), sauf exception. Si les précisions apportées sont nombreuses et le sujet encadré dans ses différentes composantes (gouvernance, procédures de gestion des risques, notification, tests, partage d’information), les règles de DORA concernant les prestataires informatiques ne s’appliquent finalement que de façon graduée en ciblant les prestataires tiers de services TIC qui concentrent l’essentiel des contraintes, soit ceux opérant les services TIC importants d’une part et ceux opérant les services TIC critiques de l’autre, ces derniers étant en plus soumis aux contrôles de régulateurs européens (et devant verser des redevances de supervision pour cela).

Même principe de proportionnalité côté NIS, alors que la directive NIS 2 fait évoluer les distinctions entre les acteurs concernés : de façon schématique, les OSE deviennent des Entités essentielles (EE) incluant maintenant les fournisseurs de services de Cloud (auparavant catégorisés FSN) et sont régulés ex ante et ex post. De nouveaux acteurs sont visés par la réglementation, les Entités importantes (EI), qui élargissent l’encadrement à de nouveaux secteurs économiques (incluant également le reste des anciens FSN et intégrant maintenant les fournisseurs de plateformes de services de réseaux sociaux) et ne sont régulés qu’ex post.

NIS 2 et DORA ont en commun de prévoir une approche essentiellement tournée vers les risques, tout comme le RGPD

Parmi de nombreux sujets abordés, les deux textes se concentrent notamment sur la gouvernance et le rôle du Comex ("C level") pour insuffler l’exigence de cybersécurité en imposant de prendre à bras-le-corps le sujet, mais également d’y être spécifiquement formé : formation régulière obligatoire pour NIS 2 ou encore obligation de formation "spécifique, proportionnelle au risque lié aux TIC qui est géré" pour DORA.

NIS 2 prévoit également la responsabilité personnelle des dirigeants de l’entité sur le sujet, mais la thématique est loin d’être nouvelle en France : des sanctions pénales sont en effet prévues par la LPM d’une part4 et la loi de transposition de la directive NIS 1 de l’autre.

Si NIS 2 harmonise de façon stricte les exigences de cybersécurité et de notification des incidents applicables dans d’autres secteurs (abrogation des règles spécifiques prévues pour les opérateurs de service de confiance d’une part et les fournisseurs de réseaux publics de communications électroniques ou de services de communication électronique accessibles au public de l’autre), elle se heurte à la spécificité affirmée du domaine financier d’une part (DORA) et des données personnelles de l’autre (RGPD). Au moins est-il émis dans NIS 2 le souhait d’une coordination et d’une transmission des informations concernant les incidents majeurs aux CSIRT, aux autorités compétentes ou aux points de contact uniques mis en place par le RGPD.

Surtout, ces textes sont encore en devenir : si NIS 2 attend quelques actes délégués, ce ne sont pas moins de 11 RTS (Regulatory Technical Standards) rédigés par les régulateurs compétents qui seront soumis à la Commission dans les 12 et 18 mois qui viennent qui doivent éclairer la pratique de la mise en œuvre des règles de DORA. Au vu des thématiques et des moyens d’aborder la réglementation, notamment avec une forte composante technique et organisationnelle, gageons que la prochaine révision de ces textes (au plus tard les 27 octobre 2027 pour NIS 2 et 17 janvier 2028 pour DORA) pourrait être l’occasion d’une harmonisation encore plus poussée.

SUR L’AUTEUR

François Coupez est avocat à la Cour et fondateur du cabinet Level Up Legal. Entouré des membres de l’équipe du cabinet, il met sa double compétence en droit et en cybersécurité au service de nombreuses grandes entreprises depuis plus de vingt ans, afin de les conseiller face à leurs contraintes réglementaires en droit du numérique, de la protection des données et de la cybersécurité. Certifié spécialiste en droit des nouvelles technologies (CNB), mais également ISO 27001 Lead implementer, 27701 Lead Implementer (niveaux avancés – LSTI) et DPO (Cnil – Afnor et Apave), il est aussi Senior advisor du Cybercercle et formateur en droit de la cybersécurité et des données personnelles chez HS2 Formation.