Qui devrait lire ceci : décideurs politiques, représentants gouvernementaux, planificateurs stratégiques.
La directive NIS2 est plus qu’un ensemble d’exigences opérationnelles pour les organisations gérant des infrastructures critiques. C’est également un cadre pour la gouvernance des États membres : elle exige des gouvernements qu’ils établissent des stratégies nationales globales de cybersécurité, désignent des autorités, coordonnent la supervision sectorielle et évaluent le risque national. L’article 7 établit le mandat.
L’article 7 exige de chaque État membre qu’il développe et maintienne une stratégie nationale de cybersécurité traitant des objectifs stratégiques, des approches sectorielles et de l’évaluation des risques. La stratégie n’est pas un manuel de conformité détaillé ; c’est un cadre politique guidant l’approche du gouvernement en matière de cybersécurité dans tous les secteurs, et informant la désignation des autorités, la portée des réglementations et la coopération public-privé.
Pour les décideurs politiques et les représentants gouvernementaux, comprendre les exigences de l’article 7 clarifie la portée des obligations stratégiques et la relation entre les stratégies nationales et les autorités désignées et organes réglementaires qui mettent en œuvre NIS2. Cet article décortique l’article 7, explore les éléments d’une stratégie nationale conforme et discute de la manière dont les stratégies nationales informent la mise en œuvre sectorielle.
Exigences de l’article 7 : les éléments fondamentaux
L’article 7 exige des États membres qu’ils développent et maintiennent une stratégie nationale de cybersécurité qui inclut :
Objectifs stratégiques : la stratégie doit définir ce que l’État membre vise à accomplir par la gouvernance de la cybersécurité. Les objectifs stratégiques peuvent inclure : protéger les infrastructures critiques contre les cybermenaces, garantir la continuité des services essentiels, développer les capacités nationales de cybersécurité (recherche, compétences, industrie) et renforcer la coopération internationale sur les cybermenaces.
Approche sectorielle : la stratégie doit aborder la cybersécurité dans tous les secteurs, reconnaissant que différents secteurs font face à différentes menaces et ont différents profils de risque. La stratégie doit identifier quels secteurs sont les plus critiques, quels risques chacun fait face et quelle approche de gouvernance est appropriée.
Évaluation des risques : la stratégie doit être informée par une évaluation nationale du risque de cybersécurité identifiant les menaces majeures auxquelles la nation est confrontée, les vulnérabilités dans les systèmes critiques et l’impact potentiel d’incidents majeurs. Cette évaluation guide la priorisation des ressources et la focalisation de la gouvernance.
Cadre de gouvernance et institutionnel : la stratégie doit définir quelles autorités sont responsables de la supervision de la cybersécurité dans chaque secteur, comment les autorités se coordonnent et comment les secteurs public et privé coopèrent.
Gouvernance sectorielle : dans le cadre de la stratégie, les États membres traitent chaque secteur critique (énergie, santé, transport, infrastructure numérique, etc.) avec des approches de gouvernance reflétant les caractéristiques du secteur. Cela peut inclure des autorités sectorielles spécifiques, des standards sectoriels spécifiques et des procédures de réponse aux incidents sectorielles spécifiques.
La stratégie n’est pas un document statique ; elle doit être révisée et mise à jour périodiquement (typiquement tous les 2-3 ans) pour refléter l’évolution des menaces, les changements technologiques et les leçons tirées des incidents.
Objectifs stratégiques et orientation politique
L’élément des objectifs stratégiques d’une stratégie nationale de cybersécurité articule les priorités de cybersécurité du gouvernement. Les objectifs stratégiques peuvent inclure :
Dissuasion et attribution : établir des capacités pour attribuer les cyberattaques aux acteurs de la menace et imposer des coûts aux attaquants (par sanctions, inculpations ou contre-opérations). Cela nécessite des agences de renseignement, de l’application de la loi et de la coopération internationale.
Protection des infrastructures critiques : garantir que les services essentiels les plus critiques au fonctionnement national (énergie, santé, finance, communications) sont résilients aux cyberattaques. Cela nécessite des cadres de gouvernance, une supervision réglementaire et des partenariats public-privé.
Développement des capacités : construire les capacités nationales de cybersécurité par l’éducation, le développement des compétences, l’investissement en recherche et le soutien à l’industrie cyber nationale. Cela reconnaît que la cybersécurité est un avantage compétitif et que les dépendances envers des fournisseurs étrangers d’outils ou d’expertise en cybersécurité créent des vulnérabilités stratégiques.
Coopération internationale : établir des partenariats avec d’autres gouvernements et organisations internationales pour partager le renseignement sur les menaces, se coordonner sur la cyberdiplomatie et développer des normes contre les cyberopérations destructrices.
Sécurité des citoyens et des PME : étendre la sensibilisation à la cybersécurité et les pratiques de sécurité de base aux citoyens et aux petites et moyennes entreprises, réduisant la prévalence des appareils personnels et réseaux de petites entreprises compromis.
Chaque objectif stratégique se traduit par des politiques concrètes : par exemple, un objectif de dissuasion peut exiger un investissement dans les capacités d’attribution des cybermenaces ; un objectif de protection des infrastructures critiques peut exiger des cadres de gouvernance sectoriels ; un objectif de développement des capacités peut exiger des investissements dans l’éducation et le financement de la R&D.
Approche sectorielle : reconnaître les différences entre industries
L’élément d’approche sectorielle reconnaît que différents secteurs font face à différents défis de cybersécurité et nécessitent différentes réponses de gouvernance. Une stratégie nationale traite typiquement les secteurs majeurs :
Énergie (production électrique, distribution, réseaux gaziers) : les systèmes énergétiques sont fortement interconnectés et s’étendent sur plusieurs pays (les réseaux électriques sont transfrontaliers). Les perturbations se répercutent rapidement. La gouvernance doit aborder à la fois la sécurité physique et la cybersécurité, et doit se coordonner avec les pays voisins.
Santé (hôpitaux, pharmaceutiques, fabricants de dispositifs médicaux) : les systèmes de santé sont vitaux ; les cyberincidents peuvent affecter directement la sécurité des patients. La gouvernance doit équilibrer la sécurité avec la flexibilité opérationnelle (le personnel clinique doit pouvoir répondre rapidement aux besoins des patients) et doit protéger des données de santé personnelles hautement sensibles.
Finance (banques, systèmes de paiement, marchés financiers) : les systèmes financiers sont systémiquement importants ; les perturbations se répercutent dans les économies. La gouvernance doit aborder la continuité opérationnelle et la prévention de la fraude.
Transport (aviation, rail, maritime, route) : les systèmes de transport sont critiques pour le mouvement des biens et des passagers à travers l’UE. La gouvernance doit aborder les aspects critiques de sécurité et la coordination transfrontalière.
Infrastructure numérique (fournisseurs cloud, services DNS, réseaux de diffusion de contenu) : les fournisseurs d’infrastructure numérique sont intégrés dans presque tous les autres secteurs critiques. Une perturbation chez un grand fournisseur cloud affecte la santé, la finance, le e-commerce et d’autres.
Télécommunications : les réseaux de télécommunications transportent des services critiques (communications d’urgence, transactions financières, contrôle d’infrastructure). La gouvernance doit aborder à la fois la continuité du service et les garanties d’écoute/surveillance.
Pour chaque secteur, la stratégie nationale traite :
Menaces sectorielles spécifiques : quelles sont les principales cybermenaces à ce secteur ? Qui sont les adversaires probables ? Quels sont les vecteurs d’attaque probables ?
Vulnérabilités sectorielles spécifiques : quelles caractéristiques du secteur créent des vulnérabilités de cybersécurité ? (Par ex. les dispositifs médicaux hérités de la santé ; la dépendance de l’énergie aux systèmes de contrôle industriel ; les systèmes de trading à haute fréquence de la finance.)
Gouvernance sectorielle spécifique : quelle autorité supervise la cybersécurité dans ce secteur ? Quelles réglementations s’appliquent ? Comment le secteur coopère-t-il avec le gouvernement sur les menaces et les incidents ?
Capacités et résilience sectorielles spécifiques : quelles capacités le secteur possède-t-il pour détecter et répondre aux incidents ? Quelles lacunes existent ?
Évaluation nationale des risques
L’article 7 exige que la stratégie nationale soit informée par une évaluation nationale du risque de cybersécurité. Cette évaluation identifie les cybermenaces majeures auxquelles l’État membre est confronté et les vulnérabilités dans les systèmes critiques, et évalue l’impact potentiel d’incidents majeurs.
Une évaluation nationale des risques pourrait identifier, par exemple :
Menaces géopolitiques : cyberopérations par des nations particulières ou des groupes parrainés par l’État ciblant l’État membre. Celles-ci peuvent être caractérisées par nation, motif (espionnage, perturbation, désinformation), secteurs cibles et schémas d’attaque typiques.
Menaces rançongiciel : la prévalence et les caractéristiques des attaques par rançongiciel, les secteurs cibles typiques et les demandes de rançon.
Menaces internes : la prévalence du vol de données, du sabotage ou de la perturbation par des initiés (employés actuels ou anciens).
Vulnérabilités de la chaîne d’approvisionnement : dépendances envers des logiciels ou matériels de fournisseurs particuliers, et risques de compromission chez le fournisseur.
Vulnérabilités systémiques : vulnérabilités communes dans les systèmes critiques, par ex. dépendance à des plateformes logicielles particulières, dépendances d’infrastructure partagée ou systèmes hérités impossibles à corriger.
Lacunes de capacités : domaines où les capacités défensives de la nation sont faibles, par ex. personnel qualifié en cybersécurité insuffisant, capacités d’enquête forensique limitées ou ressources CSIRT faibles.
L’évaluation des risques informe la priorisation : les ressources sont dirigées vers les plus grands risques.
Cadre de gouvernance et désignation d’autorité
L’article 7 exige que la stratégie nationale articule le cadre de gouvernance par lequel la cybersécurité est coordonnée. Cela inclut :
Désignation d’autorité : quel(s) organe(s) gouvernemental(aux) sont responsables de la supervision de la cybersécurité ? Y a-t-il une seule autorité nationale de cybersécurité, ou les responsabilités sont-elles distribuées entre régulateurs sectoriels spécifiques ?
Mécanismes de coordination : comment les autorités se coordonnent-elles ? Y a-t-il un organe national de coordination (par ex. un niveau national du Groupe de coopération, ou un comité interministériel) ?
Partenariats public-privé : comment le gouvernement engage-t-il avec les entités du secteur privé (fournisseurs de services essentiels, fournisseurs, opérateurs d’infrastructure critique) ? Quels canaux de communication existent pour le partage d’information, la notification de menace et la coordination d’incident ?
Coordination internationale : comment l’État membre se coordonne-t-il avec les autres États membres de l’UE et avec des partenaires internationaux sur les cybermenaces et la réponse aux incidents ?
Mise en œuvre de la gouvernance sectorielle
Dans le cadre de la stratégie nationale globale, les États membres traitent chaque secteur critique avec des approches de gouvernance spécifiques. Cette gouvernance sectorielle traduit la stratégie en cadres opérationnels. Par exemple, une approche de gouvernance sectorielle pour la santé pourrait inclure :
La désignation d’une autorité du secteur de la santé (par ex. le ministère de la santé ou une agence dédiée à l’informatique de santé) responsable de la mise en œuvre de NIS2 dans la santé.
L’identification des fournisseurs de services essentiels de santé (hôpitaux, fabricants pharmaceutiques) soumis à NIS2.
L’établissement d’orientations sectorielles spécifiques clarifiant les mesures de cybersécurité proportionnées pour les entités de santé de différentes tailles.
Le développement de procédures de réponse aux incidents spécifiques au secteur de la santé, reconnaissant les défis uniques de la réponse aux incidents en milieu clinique.
La coordination avec les régulateurs de santé (autorités des dispositifs médicaux, régulateurs pharmaceutiques) pour aligner la cybersécurité avec la réglementation existante de sécurité des produits.
L’engagement avec les associations de prestataires de soins, les réseaux hospitaliers et les groupes de fournisseurs pour communiquer les attentes et faciliter la conformité.
Évolution et mise à jour des stratégies nationales
Les stratégies nationales de cybersécurité ne sont pas des documents statiques. Elles doivent être révisées et mises à jour périodiquement (typiquement tous les 2-3 ans, et plus fréquemment si des incidents majeurs ou des développements de menaces le justifient).
Les mises à jour peuvent traiter :
Menaces évolutives : à mesure que de nouveaux acteurs de la menace émergent ou que les schémas d’attaque changent, la stratégie doit être mise à jour pour refléter le paysage de menaces changeant.
Changement technologique : à mesure que de nouvelles technologies émergent (par ex. intelligence artificielle, calcul quantique, cloud computing), la stratégie doit aborder leurs implications en matière de cybersécurité.
Changement réglementaire : à mesure que de nouvelles directives UE sont mises en œuvre ou que les réglementations existantes sont amendées, la stratégie nationale doit s’aligner.
Leçons apprises : les incidents majeurs ou les enquêtes sur les violations révèlent souvent des vulnérabilités systémiques. La stratégie doit être mise à jour pour traiter les lacunes identifiées.
Évaluation de l’efficacité : évaluation périodique de l’atteinte des objectifs par la stratégie, et des ajustements nécessaires.
Relation aux exigences opérationnelles de NIS2
Il est important de noter la relation entre l’article 7 (stratégies nationales) et les articles 20-26 (exigences opérationnelles pour les entités désignées). L’article 7 établit le cadre politique stratégique ; les articles 20-26 établissent les exigences opérationnelles pour les organisations gérant des infrastructures critiques.
La stratégie nationale n’est pas elle-même l’ensemble des exigences opérationnelles. Au lieu de cela, la stratégie nationale fournit le contexte politique et le cadre de gouvernance dans lesquels les exigences opérationnelles sont définies, les autorités sont désignées et les entités sont régulées.
En pratique, cela signifie :
Une stratégie nationale articulant les objectifs stratégiques et les approches sectorielles informe quelles autorités sont désignées pour réguler chaque secteur.
Les autorités compétentes, informées par la stratégie nationale, promulguent des orientations sectorielles spécifiques clarifiant à quoi ressemblent des mesures de cybersécurité proportionnées dans leurs secteurs.
Les entités désignées, connaissant la stratégie nationale et les orientations sectorielles, mettent en œuvre des mesures proportionnées adaptées à leur taille, secteur et profil de risque.
La stratégie informe également l’engagement international : les États membres utilisent les stratégies nationales comme base pour discuter des priorités de cybersécurité de l’UE avec les États membres pairs et dans les mécanismes de coordination UE.
Points clés à retenir
- L’article 7 exige des États membres qu’ils développent et maintiennent des stratégies nationales de cybersécurité traitant des objectifs stratégiques, des approches sectorielles et de l’évaluation des risques.
- Les objectifs stratégiques définissent ce que l’État membre vise à accomplir : protéger les infrastructures critiques, développer les capacités nationales, renforcer la coopération internationale et construire des partenariats public-privé.
- L’approche sectorielle reconnaît que différents secteurs (énergie, santé, finance, transport, infrastructure numérique) font face à différentes menaces et nécessitent différentes réponses de gouvernance.
- L’évaluation nationale du risque de cybersécurité identifie les menaces et vulnérabilités majeures auxquelles l’État membre est confronté et informe la priorisation des ressources et de la focalisation gouvernementales.
- Le cadre de gouvernance articule quelles autorités sont responsables de la supervision de la cybersécurité, comment les autorités se coordonnent et comment les secteurs public et privé coopèrent.
- Les stratégies nationales sont des documents vivants, révisés et mis à jour périodiquement (tous les 2-3 ans) pour refléter l’évolution des menaces, les changements technologiques et les leçons apprises.
- La stratégie nationale fournit le contexte politique stratégique pour la mise en œuvre de NIS2 ; elle informe la désignation d’autorité et les orientations sectorielles, mais n’impose pas directement d’exigences opérationnelles aux entités (qui sont établies dans les articles 20-26).
