NIS 2, ISO 27001 & RGPD

RGPD, ISO 27001 & NIS 2 – Qui va gagner? 

En matière de sécurité de l’informa-on, on rapproche facilement la norme ISO 27001 et le RGPD (Règlement général sur la protec-on des données). En effet, ces deux textes se recoupent dans leur objectif de renforcer la sécurité de l’information et la protection des données.

Bien que leurs approches diffèrent légèrement, les deux initiatives visent à protéger l’information détenue par un organisme. D’un côté, ISO 27001 est axée sur la sécurité de cette information, tandis que le RGPD se concentre spécifiquement sur la protection des données personnelles.

En janvier 2023, en réponse à diverses cyberattaques ayant eu un large impact médiatique et des conséquences dommageables, les États membres de l’Union européenne ont adopté une révision de la directive relative aux réseaux et systèmes d’information (NIS) pour arriver à un texte enrichi qui entrera en vigueur en octobre 2024 : la directive NIS 2.

L’arrivée de NIS 2 « Network and Information Security », qui renforce encore la cybersécurité au sein de l’UE, vient impacter le champ d’intervention et les compétences du spécialiste en protection des données.

Au même titre que le RGPD impose aux organismes publics l’obligation de désigner un DPO, la directive NIS 2 obligera les opérateurs et les organismes concernés à désigner un RSSI. La similarité entre ces deux rôles réside dans leur objectif commun : assurer une gouvernance efficace et conforme des données et de la sécurité de l’information au sein des organisations.

Toutefois, on ne peut écarter la question de la cohabitation de ces postes. Jusqu’à présent, les discussions s’orientent vers une coopération, un intérêt collectif, une intelligence commune ; mais on ne peut m’empêcher d’y apercevoir une source de conflit potentiel en termes de gouvernance.

La directive NIS 2 imposera des obligations, certes déjà connues des DPO, aux opérateurs (OSE) et aux fournisseurs de services numériques (FSN), comme la nécessité de me\re en place des mesures de sécurité appropriées, de signaler les incidents de sécurité et de coopérer avec les autorités compétentes. Mais elle viendra aussi encadrer et rationaliser les obligations de no-fica-on, introduira des mesures de surveillance plus strictes et des exigences de mise en œuvre renforcées. Ainsi, elle étend les objectifs et le champ d’ac-on, ce qui semble aujourd’hui essentiel à prendre en compte pour les DPOs.

La complémentarité des rôles doit se préparer dès maintenant. On imagine facilement qu’avec les développements de l’IA et de l’hyperconnectivité, NIS 3, et encore plus loin, NIS 4 définiront un champ d’intervention, mais aussi d’autres exigences plus pointues pour les entreprises.

Dans cet article, nous décortiquons les objectifs, le champ d’application et les incidences de ces trois textes contingents afin de prendre la mesure des changements à venir dans une profession encore jeune.

ISO 27001 et RGPD

Principes de sécurité de l’information

Gestion des risques

ISO 270001 encourage l’identification et la gestion des risques liés à la sécurité de l’information, tandis que le RGPD exige des évaluations d’impact sur la protection des données (EIPD) pour évaluer les risques pour les droits et libertés des personnes concernées.

Les mesures de sécurité doivent être mises en place en tenant compte de l’état de l’art, des coûts de mise en oeuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes concernées.

Mesures techniques et organisationnelles

Les deux textes encouragent la mise en oeuvre de mesures techniques et organisationnelles appropriées pour garantie la sécurité des informations et des données.

L’article 32 du RGPD concerne les mesures de sécurité du traitement des données à caractère personnel. Cet article précise les obligations relatives à la sécurité des données et les mesures que les responsables du traitement et les sous-traitants doivent prendre pour protéger les données personnelles.

Responsabilité

Les deux textes mettent l’accent sur la responsabilité de l’organisation.

ISO 27001 impose la responsabilité de la direction dès la mise en place du SGSI, tandis que le RGPD exige que les organisations démontrent leur conformité et responsabilité envers les principes de protection des données.

Documentation

Les deux nécessitent une documentation appropriée. ISO 27001 exige une documentation du SGSI, tandis que le RGPD exige la documentation des mesures prises pour se conformer aux principes de protection des données.

En résumé, bien que l’ISO 27001 et le RGPD aient des objectifs différents, ils partagent des principes et des exigences similaires en matière de sécurité de l’information de protection des données. Certains organismes choisissent d’adopter l’ISO 27001 comme base pour satisfaire aux exigences de sécurité du RGPD, bien que le RGPD ait des spécificités liées à la protection des données personnelles qui vont au-delà du périmètre de l’ISO 27001.

NIS 2 et RGPD

Le RGPD et la directive NIS 2 sont deux cadres réglementaires distincts avec des autorités régulatrices différentes. La directive NIS 2 traite des systèmes d’information et de la continuité d’activité alors que le RGPD traite des données à caractère personnel.

La notion de DPO, qui est pertinente pour le RGPD, n’est pas entièrement transposable dans NIS 2. Cependant, l’ANSSI ne sera pas prescriptive sur le rôle du DPO. Rien ne s’oppose toutefois à l’utilisation du dispositif RGPD et des DPO s’ils concourent aux objectifs de NIS 2.

En effet, ce qui a été mis en place au titre du RGPD est potentiellement mutualisable avec la directive NIS 2 et ce sera à chaque entité de déterminer le meilleur fonctionnement possible.

Les secteurs d’activité stratégiques

Les secteurs sont répartis en deux groupes et la directive ajoute de nouveaux types d’entités.

La directive comprend des annexes 1 et 2 dans lesquelles sont indiqués les secteurs, sous-secteurs et les types d’entité concernés. Si votre entité se retrouve dans un des secteurs, sous-secteur et type d’entité et que vous respectez les critères de taille alors vous serez concernés par la directive NIS 2.

Les secteurs hautement critiques (entités essentielles – Annexes 1 de la directives)

• Energie (électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène)
• Transports (aériens, ferroviaires, par eau, routiers)
• Banques
• Infrastructure des marchés financiers
• Santé (pas seulement les hôpitaux mais aussi des laboratoires de référence, les fabricants de dispositifs médicaux ou de préparations pharmaceutiques et autres, les produits pharmaceutiques, R&D, dispositifs médicaux critiques)
• Approvisionnement en eau (eau potable et eaux usées)
• Infrastructure numérique
• Prestataires de services numériques (Gestion des TIC)
• Administration publique (centrale et régionale)
• Espace

Les autres secteurs critiques (entités importantes – Annexes 2 de la directive)

• Services postaux et d’expédition
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Producteurs, transformateurs et distributeurs de produits alimentaires
• Fabrication (dispositifs médicaux et de dispositifs médicaux de diagnostic, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines et équipements, construction de véhicule, remorques et semi-remorques, d’autres matériels de transport)
• Fournisseurs numériques (plateformes de réseaux sociaux, moteurs de recherche, places de marché en ligne)
• Recherche
• Fournisseurs de réseaux et de services publics de communications électroniques
• Produits chimiques

Les entités avec NIS 2

NIS 2 définit donc deux catégories d’entités critiques: les entités essentielles et importantes. Les obligations sont uniformes pour les deux, cependant, les entités essentielles sont assujetties à des mesures d’exécution et à des sanctions plus rigoureuses.

La directive NIS 2 concerne toute entité fournissant des services critiques dans un pays membre de l’Union européenne, quelle que soit sa localisation physique. En d’autres termes, une entreprise établie en dehors de l’UE pourrait être assujettie à NIS 2 même si elle n’a pas de présence physique dans l’UE.

Contrairement à la directive de 2016, les exigences en matière de cybersécurité de NIS 2 s’appliquent non seulement aux organisations opérant dans le cadre de sa définition élargie de « critique » et à leurs collaborateurs directs, mais également aux sous-traitants et aux fournisseurs de service.

Champs d’application

Une entité tombe dans son champ d’application lorsque:

• elle est active dans l’un des secteurs (ou sous-secteur) et type d’entité énuméré (annexes 1 et 2)
• elle possède une certaine taille (plus de 50 salariés ou plus de 10 millions de CA).

Les entités essentielles

Ce sont les grandes entreprises actives dans les secteurs hautement critiques de l’annexe 1 de la directive. Une grande entreprise est une entreprise qui occupe minimum 250 personnes ou dont le chiffre d’affaires annuel excède 50 millions d’euros (ou le total du bilan annuel excède 43 millions d’euros).

Les entités importantes

Les entités importantes sont les moyennes entreprises actives dans les secteurs hautement critiques de l’annexe 1 de la directive et les grandes entreprises ou moyennes entreprises dans les secteurs de l’annexe 2 de la directive.

Une entreprise moyenne est une entreprise qui occupe minimum 50 personnes ou réalise un chiffre d’affaires annuel (ou le total du bilan annuel) qui excède 10 millions d’euros, mais qui occupe moins de 250 personnes et qui réalise un chiffre d’affaires annuel n’excédant pas 50 millions d’euros (ou dont le total du bilan annuel n’excède pas 43 millions d’euros).

Sauf exceptions, les petites entreprises ne sont pas soumises aux obligations de la directive.

Une petite entreprise est une entreprise qui occupe moins de 50 personnes et dont le chiffre d’affaire annuel ou le total du bilan annuel n’excède pas 10 millions d’euros. Il existe toutefois quelques exceptions. Dans certains secteurs, les entités sont catégorisées, quelle que soit leur taille, comme « essentielles » et donc soumise à la directive.

Renforcement des mesures de gestion des risques en matière de cybersécurité

Encadré par l’article 21 de la directive NIS 2, les entités essentielles et importantes doivent prendre les mesures appropriées et proportionnées pour gérer les risques par la mise en oeuvre de systèmes, de stratégies et de bonnes pratiques au regard des menaces qui pèsent sur la sécurité de leurs réseaux et de leurs systèmes d’information.

Gestion des risques

Les entités essentielles et importantes doivent prendre les mesures appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.

Ces mesures sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents.

La liste des mesures minimums

• Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information (Art. 21.2.a)
• La gestion et le traitement des incidents (Art. 21.2.b)
• La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises (Art. 21.2.c)
• La sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs.
• La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités.
• Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité.
• Les pratiques de base en matière de cyber hygiène (article 21 de la directive NIS 2) et la formation à la cybersécurité.
• Des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement.
• La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs.
• L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

La gouvernance

Les organes de direction des entités essentielles et importantes devront approuver les mesures de gestion des risques en matière de cybersécurité, superviser leur mise en oeuvre et pourront être tenus responsables des éventuels manquements.

La formation des organes de la direction (art. 20 de la directive NIS 2)

Afin qu’ils comprennent les mesures qu’ils approuvent, les membres des organes de direction des entités essentielles et importantes devront suivre une formation de cybersécurité et encourager leur entités à offrir régulièrement une formation similaire aux membres de leur personnel.

Ils devront acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.

Obligation d’information et de notification d’incident

Les entités essentielles et importantes devront notifier aux autorités nationales compétentes (notamment le CSIRT national) tout incident ayant un impact significatif sur la fourniture des services fournis.

Un incident important est un incident qui:

• soit a causé ou est susceptible de causer une perturbation opérationnelle grave des services fournis ou des pertes financières pour l’entité concernée; ou
• a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Les entités doivent signaler les incidents selon les modalités suivantes:

• une alerte précoce (ent out état de cause dans les 24 heures après avoir eu connaissance de l’incident significatif), reprenant des informations minimales comme le fait de savoir si l’incident est susceptible d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière
• une notification d’incident (en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident significatif)
• un éventuel rapport intermédiaire ou rapport d’avancement (à la demande expresse du CSIRT national)
• un rapport final (un mois après la présence de la notification d’incident). Si l’incident n’est pas encore clôturé après un mois, un rapport intermédiaire est attendu après un mois et un rapport final est établi une fois l’incident clôturé.

Le cas échéant, les entités concernées doivent également notifier, sans retard injustifié, aux destinataires de leurs services les incidents significatifs susceptibles de nuire à la fourniture de leur services.

Outre l’obligation de notification, des notifications peuvent aussi être transmises à titre volontaire par:

• les entités essentielles et importantes en ce qui concerne les incidents, les cybermenaces et les incidents évités.
• les entités autres qu’essentielles et importantes, indépendamment du fait qu’elles relèvent ou non du champ d’applicaiton de la directive

Pour plus de détails sur les notifications d’incident voir notamment articles 23 et 30 de la directive.

Les sanctions (Art. 31 à 37 de la directive NIS 2)

Les mesures administratives

Les Etats membres doivent veiller à ce que les entités relevant du champs d’application de la directive NIS 2 prennent les mesures de sécurité nécessaires et notifient les incidents. A cette fin, ils peuvent, par exemple, exiger la réalisation d’audits externes réguliers, effectuer des inspections ou solliciter la production de certains documents.

Les autorités nationales compétentes devront disposer du pouvoir d’adopter des mesures pour inciter les entités à prendre les mesures qui s’imposent. Elles pourront notamment émettre des avertissements ou des instructions contraignantes afin de remédier aux insuffisances constatées ou encore d’informer leurs clients.

Les amendes administratives

En complément de ces mesures administratives, des amendes administratives effectives, proportionnées et dissuasives pourront être également imposées (Art 34.1).

Ainsi, les violations en matière de mesures de gestion des risques ou de notification d’incident pourront être punies:

• pour les entités essentielles à des amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 EUR ou à au moins 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.
• pour les entités importantes à des amendes administratives d’un montant maximal s’élevant à au moins 7 000 000 EUR ou à au moins 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu.

Pour le secteur public, la loi de transposition pourra prévoir que les amendes administratives ne s’appliquent pas aux autorités publiques, contrairement aux autres sanctions administratives qui s’appliqueront bel et bien.

En outre, les Etats membres pourront prévoir des astreintes pour contraindre une entité essentielle ou importante à mettre un terme à une violation de la directive conformément à une décision préalable de l’autorité compétente.

Afin de sensibiliser le top management, les personnes physiques qui représentent des entités essentielles et importantes pourront être tenues responsables du non-respect des obligation de la directive.

Equivalences des exigences NIS 2, ISO 27001 & RGPD