Avec NIS2, le risque cyber n’est plus cantonné à l’IT. Les organes de direction seront tenus pour responsables ! Les cadres devront être sensibilisés et régulièrement formés…

« Les organes de direction des entités dites essentielles et importantes seront tenus pour responsables », nous apprend l’Article 20. La directive NIS2, qui sera effective en octobre 2024, responsabilise les dirigeants. En conséquence, il incombe aux équipes de direction d’approuver les mesures de cybersécurité et d’assumer la responsabilité en cas de violation de la directive. L’objectif est de créer un sentiment d’urgence concernant sa mise en œuvre de la directive et de définir clairement les responsabilités en cas de non-respect.

« Dans nombre d’entreprises, ce sera une révolution, note Stanislas Van Oost, Founder & MD, Be Agile, partenaire de Cyber Security Management. Le risque cyber n’est toujours pas entré dans les cultures ! Qui plus est, compte tenu de l’âge moyen des dirigeants, ce sera un véritable choc ! »

Telle fut une des conclusions de la deuxième édition de la All Cyber School sur le thème de NIS2 qui s’est tenue à Waterloo mercredi 6 décembre. « L’objectif ici est clair : induire l’appropriation du risque par les cadres supérieurs et le conseil d’administration pour garantir une meilleure gouvernance. La perspective de sanctions est plus efficace lorsque les individus sont clairement identifiés comme responsables. »

NIS2, une affaire de chefs

La différence la plus importante entre NIS2 et NIS1 mais aussi les législations d’autres pays est, comme on dit en Allemagne, le « Chefsache ». C’est une « affaire de chef », de conseil d’administration. La cybersécurité, ça ne peut plus être de dire à un informaticien : « OK, peu importe, fais ce que tu veux ou ce que tu peux. » Le CEO et le conseil d’administration doivent être au courant des dernières évolutions sur ce qu’il faut faire, comment prendre le contrôle et où en est l’organisation.

Très concrètement, NIS2 permet aux autorités des États membres d’ordonner aux entités contrevenantes de rendre publics les aspects de non-conformité avec la directive. Egalement de faire une déclaration publique qui identifie la ou les personnes physiques et morales responsables de la violation, et la nature de cette violation.

Dans le cadre d’une entité dite « essentielle », ces sanctions peuvent aller jusqu’à :

• la suspension des certifications et autorisationsconcernant les services ou activités fournis par l’organisation ;
• une interdiction temporaire d’exercer des fonctions de directionau sein de l’entité pour toute personne exerçant des responsabilités de direction à un niveau de directeur général ou de représentant légal

Éduquer et former les cadres supérieurs à la gestion du risque cyber

Heureusement, la directive ne se cantonne pas à faire planer des sanctions sur le top management. NIS2 préconise la formation et la responsabilisation des dirigeants en matière de gestion des risques. Le CISO est l’un des mieux placés pour endosser ce rôle au sein de l’entreprise -ou du moins pour orienter le choix du prestataire de formation.

En matière de gouvernance, l’Article 20 dispose que les organes de direction des entités essentielles et importantes doivent :

• approuver les mesures de gestion du risque de cybersécuritéprises par ces entités ;
• superviser leur mise en œuvre(et répondre des manquements) ;
• suivre « des formations, sur une base régulière », afin d’acquérir des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité (la directive encourage également une formation similaire pour les employéssur une base régulière).

Concrètement, cette responsabilité portera sur un en ensemble de mesures de gestion des risques. A minima, rappelle Christophe Hohl, Technical Advisor, Cyber Security Management, les organisations sont tenues de mettre en place une mesure de gestion des risques dans chacun des domaines suivants :

• les politiques d’analyse des risques et de sécurité des systèmes d’information ;
• la gestion des incidents ;
• la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
• la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
• la sécurité de l’acquisition, le développement et la maintenance des réseaux et systèmes d’information ;
• mesurer l’efficacité des mesures de gestion des risques ;
• les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité ;
• les stratégies et procédures concernant l’utilisation de la cryptographie et, le cas échéant, le chiffrement ;
• la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs.
• l’utilisation de solutions d’identification à plusieurs facteurs (MFA)

Des sanctions administratives, comparables à celles prévues par le GDPR

Pour les entités « essentielles » ou « importantes », on aura de nouvelles obligations, plus ou moins contraignantes. La première obligation sera de prendre des mesures techniques, opérationnelles et organisationnelles plus détaillées qu’aujourd’hui, telles que :

• l’adoption d’un plan de continuité,
• un audit de la chaine d’approvisionnement.
• l’obligation de suivre une formation en matière de cybersécurité.
• l’obligation de notification des incidents importants par une alerte précoce dans les 24 heures, puis par une notification d’incidentcomplète dans les 72 heures.

Le non-respect de ces obligations pourra dorénavant entraînera des sanctions administratives, comparables à celles prévues par le GDPR :

• entité « essentielle » :  jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent ;
• entité « importante » : jusqu’à 7 000 000 EUR ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.