NIS2, directive CER et DORA : naviguer dans des cadres qui se chevauchent
Qui devrait lire ceci : responsables de la conformité, responsables des risques, conseillers juridiques internes
Le paysage réglementaire de l'Union européenne en matière de cybersécurité est devenu de plus en plus dense. Les organisations de toute l'UE sont désormais confrontées à de multiples directives imbriquées qui régissent la manière dont elles sécurisent les réseaux, gèrent la réponse aux incidents et certifient leurs pratiques. La directive NIS2, associée à la loi sur la résilience opérationnelle numérique (DORA) et à la proposition de loi sur la cyberrésilience (CER), crée un environnement de conformité à plusieurs niveaux dans lequel la portée, les obligations et les mécanismes d'application se chevauchent, parfois intentionnellement, souvent avec des nuances.
Comprendre ces cadres n'est pas simplement un exercice de conformité. Elle affecte l'allocation des ressources, les structures de gouvernance, les procédures de réponse aux incidents et les stratégies d'investissement dans la cybersécurité. Cet article décrit la relation entre NIS2, DORA et CER, clarifie leurs champs d'application distincts et fournit des conseils pratiques sur la manière de surmonter les chevauchements sans dupliquer les efforts ni créer de lacunes en matière de conformité.
L'interaction réglementaire découle de la conception délibérée des politiques : DORA cible la résilience opérationnelle du secteur financier, CER se concentre sur la sécurité des produits de la chaîne d'approvisionnement et NIS2 établit une base de référence pour les entités critiques et les fournisseurs de services essentiels dans tous les secteurs. Pourtant, leurs définitions opérationnelles, leurs seuils et leurs délais de mise en œuvre diffèrent considérablement. Les responsables de la conformité doivent comprendre où ils convergent et où les règles spécifiques au secteur ont la priorité.
Les trois cadres : portée et applicabilité
La directive NIS2 établit un vaste cadre sectoriel neutre qui s'applique aux fournisseurs de services essentiels (dans des secteurs critiques) et aux principaux fournisseurs de services numériques. L'article 4 définit ces entités en fonction de leur rôle dans les services essentiels (énergie, transports, eau, santé, infrastructure numérique et administration publique) ou de leur importance en tant que fournisseurs de services numériques tels que les fournisseurs de cloud, les fournisseurs de services gérés et les opérateurs de centres de données.
La DORA, en revanche, s'applique explicitement au secteur des services financiers : les établissements de crédit, les entreprises d'investissement, les établissements de paiement, les établissements de monnaie électronique et certains fournisseurs de services de cryptoactifs, ainsi que leurs prestataires de services tiers. Contrairement à l'approche globale de NIS2, DORA établit des exigences de résilience opérationnelle distinctes adaptées à la stabilité du système financier. Le seuil n'est pas la criticité au sens général, mais l'importance systémique pour les marchés financiers.
La directive CER, qui n'est pas encore totalement mise en œuvre mais qui façonne déjà les achats et la conception des produits, cible les fabricants et les importateurs de produits dotés d'éléments numériques connectés à des réseaux. Son objectif est préventif : en sécurisant les produits avant qu'ils n'entrent dans la chaîne d'approvisionnement, le CER vise à réduire la surface d'attaque dont héritent les organisations (y compris celles relevant de la norme NIS2) lorsqu'elles déploient des logiciels et du matériel.
La relation est architecturale. Le CER définit des normes minimales de sécurité des produits ; les organisations soumises au NIS2 déploient ensuite ces produits dans le cadre de leurs propres cadres de gestion des risques ; et si elles opèrent dans le secteur financier, elles mettent en œuvre simultanément les exigences de résilience opérationnelle de DORA. Une entité peut être soumise aux trois : une société de technologie financière proposant des services de paiement (DORA) utilisant une infrastructure cloud (fournisseur de services essentiels NIS2) et achetant des outils de communication cryptés (produits conformes au CER).
Portée juridictionnelle et classification des entités
L'article 4 du NIS2 précise que les prestataires de services essentiels incluent ceux qui sont établis dans un État membre de l'UE ou qui proposent des services à des clients dans un État membre. La directive ne s'applique pas de manière extraterritoriale en ce sens qu'elle réglemente les entités extérieures à l'UE, sauf si elles opèrent dans le cadre juridictionnel de l'UE. La portée de DORA est également axée sur l'UE mais plus restreinte : elle s'applique aux entités financières réglementées et à leurs prestataires de services.
La CER s'étend au-delà des frontières de l'UE : les fabricants et les importateurs du monde entier sont confrontés à des obligations de conformité si leurs produits sont vendus à des clients de l'UE ou à d'autres entités de l'UE. Cela crée une base de référence mondiale en matière de sécurité de la chaîne d'approvisionnement qui affecte les achats dans tous les secteurs.
Pour une multinationale opérant dans différents secteurs et zones géographiques, la matrice de conformité devient complexe. Prenons l'exemple d'un groupe de télécommunications possédant des filiales dans les domaines de l'énergie (fournisseur de services essentiels NIS2), des services financiers (réglementés par la DORA) et des divisions de produits logiciels (obligations CER). Chaque filiale est soumise à des régimes réglementaires distincts. La gouvernance de l'organisation mère doit tenir compte de ces différences tout en tirant parti des pratiques de cybersécurité courantes.
Principales obligations et chevauchements
Les trois cadres exigent le signalement des incidents, mais avec des seuils et des procédures différents. Le NIS2 exige la notification des autorités compétentes et des CSIRT pour les incidents atteignant le seuil « significatif » (article 23). DORA établit des normes de résilience opérationnelle avec des catégories distinctes d'incidents critiques et d'incidents majeurs, chacune déclenchant des délais de reporting et de remédiation spécifiques. Le CER exige une divulgation responsable auprès des fabricants.
De même, tous trois mettent l'accent sur la gouvernance et la gestion des risques. Le NIS2 impose aux entités de mettre en œuvre des mesures techniques et organisationnelles proportionnées (articles 21 à 22). La DORA impose des tests complets de résilience opérationnelle et une gestion des risques liés aux tiers. Le CER veille à ce que la sécurité soit intégrée à la conception des produits (sécurité dès la conception et sécurité par défaut).
Le chevauchement est délibéré mais nécessite des éclaircissements. Une entité soumise à la fois à la NIS2 et à la DORA doit concevoir un programme de cybersécurité répondant aux exigences des deux directives. Il ne s'agit pas de dupliquer les contrôles ; il s'agit plutôt de s'assurer que les contrôles correspondent aux priorités de risque distinctes de chaque directive. L'accent mis par DORA sur la continuité opérationnelle et le risque de concentration par des tiers peut entraîner des contrôles spécifiques (tels que le mappage détaillé des sous-processeurs et les tests des modes de défaillance) que le NIS2 n'impose pas explicitement mais que les bonnes pratiques recommandées dans le cadre du NIS2 recommanderaient.
Architecture de gouvernance et mise en œuvre par les États membres
Une distinction essentielle se dégage dans la manière dont chaque cadre structure la gouvernance. Le NIS2 confère une autorité importante aux États membres : chaque État désigne les autorités compétentes, établit des CSIRT et peut fixer des délais de mise en œuvre spécifiques et des seuils de risque spécifiques au secteur. Le considérant 28 indique que la directive CER complète le NIS2 en abordant la question de la sécurité au niveau des produits, réduisant ainsi la charge de conformité qui pèse sur les organisations mettant en œuvre le NIS2. Cela suggère qu'un CER bien mis en œuvre réduit le besoin de contrôles défensifs contre les vulnérabilités connues des produits au niveau organisationnel.
Le DORA, géré par l'Autorité bancaire européenne et d'autres régulateurs financiers, crée un cadre plus harmonisé. Les régulateurs financiers de chaque État membre mettent en œuvre la DORA avec moins de marge de manœuvre, garantissant ainsi la cohérence des services financiers de l'UE. Cela reflète la nature critique des marchés financiers pour le système et la nécessité d'une réponse réglementaire coordonnée.
Les États membres mettant en œuvre le NIS2 peuvent intégrer la conformité à la CER en tant que contrôle ou exemption reconnu. Par exemple, un fournisseur de soins de santé (service essentiel dans le cadre du NIS2) déployant des dispositifs médicaux conformes à la CER respecterait les éléments de sécurité des produits de ses obligations NIS2. À l'inverse, une institution financière (réglementée par la DORA) ne peut pas se fier uniquement à la conformité à la CER ; les exigences de résilience opérationnelle de la DORA sont distinctes et spécifiques au secteur.
Stratégie d'alignement pratique
Pour les responsables de la conformité, l'essentiel est de cartographier les chevauchements sans traiter chaque framework comme un cloisonnement. Une structure de gouvernance de cybersécurité unique peut prendre en charge NIS2, DORA et CER si elle est conçue pour répondre à leurs priorités en matière de risque distinctes :
Mettre en place un cadre commun de réponse aux incidents qui alimente les mécanismes de reporting spécifiques au secteur. NIS2 et DORA nécessitent tous deux la notification des incidents ; un seul processus bien conçu peut satisfaire les deux, avec une logique de branchement pour acheminer les incidents vers les autorités compétentes.
Documentez l'évaluation des risques et la base de référence en matière de contrôle dans un langage qui répond à tous les cadres applicables. Utilisez le principe de proportionnalité de NIS2 (article 21) comme base, puis ajoutez des contrôles de résilience opérationnelle spécifiques à DORA et des critères de sélection des produits CER.
Tirez parti de la gestion des risques liés aux tiers commune aux trois frameworks, mais adaptez l'orientation : NIS2 met l'accent sur la continuité des services, DORA met l'accent sur la résilience opérationnelle et le risque de concentration, le CER met l'accent sur la gestion de la vulnérabilité des produits.
Coordonner les achats pour s'assurer que les sélections de produits sont conformes au CER, réduisant ainsi le besoin de contrôles compensatoires dans le cadre du NIS2 et de la DORA.
Principaux points à retenir
- Le NIS2 établit une base de référence générale pour les entités critiques ; la DORA cible la résilience des services financiers ; le CER sécurise les produits à la source. Ensemble, ils créent une architecture réglementaire axée sur la défense en profondeur.
- La classification des entités dans chaque cadre est distincte. Une organisation peut être réglementée par le NIS2 mais pas par la DORA, ou vice versa. Déterminez votre classification selon chaque directive avant de concevoir votre programme de conformité.
- Les exigences qui se chevauchent (signalement des incidents, gouvernance, gestion des risques) peuvent être consolidées dans un cadre unique avec des branches spécifiques au secteur ; éviter la duplication des contrôles.
- Les normes de résilience opérationnelle de DORA sont plus prescriptives que l'approche basée sur la proportionnalité de NIS2, ce qui indique que les entités financières sont confrontées à des attentes de sécurité plus élevées.
- La conformité CER réduit les risques de sécurité au niveau des produits dans tous les frameworks ; intégrez une sélection de produits conformes à la CER dans votre stratégie de conformité globale.
