NIS2 pour le secteur de l'énergie : conformité en matière d'électricité, de pétrole, de gaz et d'hydrogène

Qui devrait lire ceci : les dirigeants du secteur de l'énergie, les services publics, les producteurs, les opérateurs, les équipes d'approvisionnement, les équipes de sécurité et toute personne responsable de la conformité dans les opérations d'électricité, de pétrole, de gaz, de chauffage urbain ou d'hydrogène.

Le secteur de l'énergie est explicitement désigné dans le NIS2 comme étant essentiel à la sécurité et à la prospérité de l'Europe. Les activités liées à l'électricité, au pétrole, au gaz, au chauffage urbain et à l'hydrogène sont répertoriées à l'annexe I comme étant essentielles au fonctionnement de la société. Ce secteur fait face à une pression réglementaire accrue et à des attentes élevées en matière de cybersécurité.

Ce guide décrit la conformité NIS2 pour le secteur de l'énergie : qui est concerné, quelles sont les principales vulnérabilités et comment élaborer des programmes de conformité spécifiques aux opérations énergétiques.

Champ d'application du secteur de l'énergie : cinq sous-secteurs

Le secteur 1 de l'annexe I du NIS2 couvre cinq sous-secteurs énergétiques :

Electricité

Le sous-secteur de l'électricité couvre l'ensemble de la chaîne d'approvisionnement, de la production à la distribution :

Entreprises d'électricité qui assurent une fonction de fourniture.

Les gestionnaires de réseaux de distribution (GRD) qui gèrent les réseaux de distribution qui fournissent de l'électricité aux consommateurs.

Les gestionnaires de réseaux de transport (GRT) qui gèrent les réseaux à haute tension qui acheminent l'électricité entre les régions.

Producteurs d'électricité à partir de n'importe quelle source (fossile, renouvelable, nucléaire).

Opérateurs du marché de l'électricité désignés qui gèrent les marchés de gros.

Les acteurs du marché fournissant des services d'agrégation, de réponse à la demande ou de stockage d'énergie.

Les exploitants de points de recharge pour véhicules électriques sont responsables de la gestion et de l'exploitation.

Concrètement, si vous produisez, transmettez, distribuez ou fournissez de l'électricité dans l'UE et que vous atteignez le seuil de taille (plus de 250 employés ou plus de 50 millions d'euros de chiffre d'affaires), vous êtes concerné. Si vous êtes plus petit mais que votre État membre vous a désigné comme essentiel, vous êtes également concerné.

Chauffage et refroidissement urbains

Les exploitants de systèmes de chauffage ou de refroidissement urbains, c'est-à-dire des systèmes de chauffage ou de refroidissement centralisés qui acheminent de l'eau chaude ou du liquide réfrigéré vers les bâtiments, sont concernés. Cela inclut à la fois les opérateurs publics et privés.

Pétrole

Le sous-secteur pétrolier couvre la production, le transport, le stockage et le commerce :

Les exploitants d'oléoducs (principaux oléoducs transportant du pétrole sur de longues distances).

Exploitants d'installations de production, de raffinage et de traitement du pétrole.

Exploitants d'installations de stockage.

Entités stockistes centrales (entités qui conservent des réserves stratégiques de pétrole).

Tous ces éléments entrent dans le champ d'application s'ils atteignent le seuil de taille.

Gaz

Le sous-secteur du gaz est vaste :

Entreprises de fourniture qui vendent du gaz à des clients.

Les gestionnaires de réseaux de distribution qui gèrent les réseaux de distribution.

Les gestionnaires de réseaux de transport qui gèrent les réseaux à haute pression.

Les opérateurs de systèmes de stockage qui gèrent le stockage souterrain de gaz.

Les opérateurs de systèmes de GNL qui gèrent les installations de gaz naturel liquéfié et la regazéification.

Entreprises de gaz naturel.

Exploitants d'installations de raffinage et de traitement du gaz naturel.

Hydrogène

Un nouveau sous-secteur a été ajouté pour refléter la stratégie énergétique de l'UE en matière d'hydrogène :

Exploitants d'installations de production d'hydrogène.

Opérateurs de stockage d'hydrogène.

Opérateurs de réseaux de transport d'hydrogène.

L'hydrogène n'en est qu'à ses débuts, mais à mesure que le secteur se développe, ces opérateurs deviennent essentiels à la transition énergétique.

Considérations nucléaires

Remarque spéciale sur le nucléaire : le NIS2 s'applique explicitement aux entités « menant des activités de production d'électricité à partir de centrales nucléaires ».

Le considérant 10 reconnaît toutefois que certaines activités nucléaires peuvent être liées à la sécurité nationale. Lorsque la sécurité nationale est en jeu, un État membre peut assumer la responsabilité de garantir la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités de l'UE.

Dans la pratique, cela signifie que :

Les exploitants de centrales nucléaires sont tenus de se conformer à la norme NIS2.

Les États membres peuvent réserver certains aspects de la cybersécurité nucléaire (par exemple, la protection des infrastructures nationales sensibles) au traitement de sécurité nationale.

Les entités devraient vérifier auprès de leur régulateur national (et des autorités nationales de sécurité) quelles obligations NIS2 s'appliquent aux opérations nucléaires et lesquelles peuvent être traitées en dehors du cadre NIS2.

Panorama des cybermenaces dans le secteur de l'énergie

Le secteur de l'énergie est confronté à des cybermenaces uniques :

Attaques parrainées par l'État : les infrastructures énergétiques sont la cible d'acteurs parrainés par l'État qui cherchent à saper la résilience ou les intérêts économiques de l'UE. Les attaques proviennent de Russie, de Chine, d'Iran et de Corée du Nord contre des cibles énergétiques du monde entier.

Ransomware : des groupes criminels de rançongiciels ciblent les opérateurs du secteur de l'énergie à des Une attaque réussie peut perturber l'approvisionnement et causer des dommages économiques.

Compromis de la chaîne d'approvisionnement : les entreprises du secteur de l'énergie dépendent de fournisseurs essentiels (fournisseurs de SCADA/ICS, fournisseurs de logiciels, sous-traitants). La compromission de ces fournisseurs peut s'infiltrer dans les activités énergétiques.

Convergence physique et cybernétique : l'infrastructure énergétique est à la fois physique (pipelines, sous-stations, centrales électriques) et cybernétique. Un attaquant qui compromet les systèmes réseau contrôlant l'infrastructure physique peut provoquer des dommages physiques.

Espionnage : les concurrents et les gouvernements étrangers cherchent à recueillir des renseignements sur les opérations énergétiques, les réserves, les prix et la géopolitique.

Menaces internes : les employés ayant une connaissance des opérations énergétiques pourraient divulguer des informations sensibles ou saboter des systèmes.

Systèmes existants : une grande partie des infrastructures énergétiques ont été construites il y a des décennies et utilisent des systèmes de contrôle plus anciens (SCADA, systèmes de contrôle distribués) qui n'ont pas été conçus avec la cybersécurité comme priorité. La mise à niveau de ces systèmes peut être difficile ou coûteuse tout en maintenant la continuité opérationnelle.

Défis de mise en œuvre spécifiques au secteur

Les opérateurs du secteur de l'énergie sont confrontés à des défis particuliers pour mettre en œuvre le NIS2 :

Technologie opérationnelle et technologie de l'information

Les activités énergétiques s'appuient sur les technologies opérationnelles (OT) (systèmes SCADA, systèmes de contrôle industriels (ICS), contrôleurs logiques programmables (PLC), qui contrôlent directement l'infrastructure physique (générateurs, transformateurs, vannes, commutateurs). Les systèmes OT sont fondamentalement différents des systèmes informatiques :

Les systèmes OT donnent la priorité à la disponibilité et à la sécurité plutôt qu'à la confidentialité. Une centrale électrique doit fonctionner de manière fiable même si la connectivité est compromise.

Les systèmes OT utilisent souvent des protocoles propriétaires et des normes plus anciennes (Modbus, DNP3) qui ne sont pas conçus pour la cybersécurité moderne.

Les systèmes OT peuvent avoir de longs cycles de déploiement (plus de 10 ans), ce qui rend difficile l'application rapide de correctifs.

De nombreux systèmes OT ne prennent pas en charge les contrôles modernes tels que l'authentification multifactorielle.

La mise en œuvre de NIS2 dans les environnements OT nécessite de trouver un équilibre entre cybersécurité et continuité opérationnelle. Vous ne pouvez pas mettre les systèmes hors ligne pour y apporter des correctifs ou les mettre à niveau si cela perturbe l'approvisionnement en énergie.

Infrastructure existante

Les infrastructures énergétiques ont une longue durée de vie. Les pipelines construits dans les années 1970 sont peut-être toujours en service. Les centrales électriques peuvent être vieilles de plusieurs décennies. Ces systèmes n'ont pas été conçus dans un souci de cybersécurité.

La mise à niveau de contrôles de cybersécurité modernes sur l'infrastructure existante est coûteuse et techniquement difficile. Il se peut que vous ne puissiez pas mettre à niveau les systèmes pour répondre aux exigences du NIS2 sans un investissement en capital important ou une interruption opérationnelle.

Stratégie : réaliser une évaluation des risques pour identifier les systèmes existants les plus risqués et hiérarchiser les mises à niveau. Pour les systèmes qui ne peuvent pas être mis à niveau, mettez en œuvre des contrôles compensatoires (par exemple, segmentation du réseau, surveillance, contrôles d'accès) afin de réduire les risques.

Systèmes interconnectés

Les systèmes énergétiques sont interconnectés à plusieurs niveaux :

Les TSO et les DSO sont connectés entre eux et à des générateurs.

Les marchés de l'énergie mettent en relation de multiples opérateurs à des fins commerciales et de coordination.

Les systèmes énergétiques dépendent de services externes (télécommunications, gaz pour le refroidissement, eau pour le refroidissement).

Une attaque contre une entité peut se répercuter sur d'autres entités. NIS2 vous oblige à gérer votre propre sécurité, mais vous devez également être conscient de la manière dont les violations en amont peuvent vous affecter et de la manière dont vous pourriez affecter par inadvertance les opérateurs en aval.

Cette interconnexion signifie également que la sécurité de la chaîne d'approvisionnement est essentielle. Une faille dans un fournisseur de systèmes SCADA pourrait infiltrer simultanément plusieurs opérateurs du secteur de l'énergie.

Article 21 Mise en œuvre dans les contextes énergétiques

Les dix mesures prévues à l'article 21, paragraphe 2, s'appliquent aux opérateurs du secteur de l'énergie. Voici comment ils se traduisent dans les contextes énergétiques :

Analyse des risques et politiques de sécurité

Les opérateurs du secteur de l'énergie doivent effectuer des évaluations des risques portant spécifiquement sur :

Menaces pesant sur les infrastructures physiques (sabotage, terrorisme, accidents).

Menaces pesant sur les systèmes OT (cyberattaques ciblant les systèmes SCADA, les automates programmables, les communications).

Interdépendances avec d'autres opérateurs et services critiques.

Risque lié à la chaîne d'approvisionnement pour les fournisseurs SCADA et les fournisseurs de systèmes de contrôle.

Gestion des incidents

La réponse aux incidents pour les opérateurs du secteur de l'énergie doit prendre en compte :

Continuité opérationnelle : comment rétablir les opérations si les systèmes sont endommagés ou compromis.

Sécurité physique : comment protéger le personnel en cas de dysfonctionnement des systèmes physiques à la suite d'une cyberattaque.

Coordination avec les autres opérateurs : en cas d'incident intersectoriel ou transfrontalier, comment assurer la coordination.

Application de la loi et régulateurs : les incidents liés à l'énergie attirent souvent l'attention des autorités chargées de l'application de la loi et de la réglementation.

Continuité des activités

Les opérateurs du secteur de l'énergie doivent maintenir leurs activités critiques même lors d'incidents majeurs. Les systèmes de sauvegarde des infrastructures critiques sont essentiels. Pour une centrale électrique, cela peut signifier :

Systèmes de contrôle alternatifs capables de faire fonctionner manuellement des fonctions critiques si les cybersystèmes sont compromis.

Sauvegarde hors site des configurations et des données critiques du système.

Procédures de reprise après sinistre qui permettent à l'opérateur de restaurer les systèmes dans des délais définis (souvent très limités en termes d'énergie, quelques minutes ou heures, et non plusieurs jours).

Sécurité de la chaîne d'approvisionnement

Les opérateurs du secteur de l'énergie dépendent des fournisseurs pour :

Logiciel et matériel du SCADA et du système de contrôle.

Équipements de réseaux et de télécommunications.

Services de conseil et de maintenance.

La sécurité de la chaîne d'approvisionnement de ces fournisseurs est essentielle. Un fournisseur de SCADA compromis constitue une menace pour tous les opérateurs du secteur de l'énergie qui utilisent leurs produits.

Mise en œuvre : évaluez tous les fournisseurs critiques, exigez des certifications de sécurité, exigez contractuellement la notification des vulnérabilités et l'application rapide de correctifs, et établissez des plans d'urgence en cas de compromission d'un fournisseur essentiel.

Développement sécurisé

Pour les opérateurs du secteur de l'énergie qui développent des logiciels ou des microprogrammes personnalisés :

Exiger des pratiques de développement sécurisées (codage sécurisé, révision du code, tests).

Mettez en œuvre la gestion et la divulgation des vulnérabilités.

Testez minutieusement les logiciels avant de les déployer dans des environnements de production.

Pour les fournisseurs fournissant des produits et services :

Demandez-leur de révéler les vulnérabilités et de fournir des correctifs.

Demandez-leur de procéder à des évaluations de sécurité de leurs produits.

Évaluation de l'efficacité

Les opérateurs du secteur de l'énergie doivent évaluer régulièrement leurs contrôles de cybersécurité :

Réalisez des exercices sur table simulant des cyberattaques contre des systèmes critiques.

Effectuez des tests d'intrusion sur les périmètres du réseau et les systèmes OT (avec précaution, pour éviter de perturber les opérations).

Consultez les journaux des systèmes OT pour détecter les activités suspectes.

Mesurez les indicateurs clés : temps moyen de détection (MTTD) en cas d'intrusion, temps moyen de réponse (MTTR) en cas d'incident, pourcentage de systèmes corrigés, etc.

Cyberhygiène et formation

Les employés du secteur de l'énergie ont besoin d'une formation en matière de sécurité adaptée à leur rôle :

Personnel opérationnel : comment reconnaître les attaques, comment signaler les activités suspectes, pratiques de sécurité physique.

Personnel IT/OT : développement sécurisé, gestion des correctifs, contrôle d'accès, réponse aux incidents.

Gestion : compréhension des risques de cybersécurité, gouvernance, risques liés à la chaîne d'approvisionnement.

Cryptographie

Les systèmes énergétiques communiquent souvent des informations de commande sensibles. La cryptographie est essentielle :

Chiffrez les communications de contrôle entre les appareils de terrain et les systèmes centraux.

Chiffrez toutes les données transmises sur les réseaux publics.

Pour les protocoles industriels, utilisez des extensions cryptographiques (par exemple, Authentification sécurisée DNP3, IEC 62351-1 pour les systèmes d'alimentation).

Contrôle d'accès

Les systèmes énergétiques disposent de nombreux points d'accès :

Accès à distance pour la maintenance et la surveillance.

Accès depuis les centres de contrôle et les installations d'expédition.

Accès depuis des postes de travail d'ingénierie.

Tous les accès doivent être enregistrés et surveillés. L'authentification multifacteur pour l'accès à distance et privilégié est essentielle.

Authentification multifactorielle

Implémentez la MFA pour :

Accès administratif aux systèmes OT.

Accès à distance aux installations énergétiques.

Accès aux systèmes de contrôle critiques.

Pour les systèmes OT existants qui ne prennent pas en charge le MFA, implémentez des contrôles compensatoires (VPN avec MFA, segmentation du réseau, surveillance).

Évaluation des risques de la chaîne d'approvisionnement du secteur de l'énergie

L'article 22 autorise le Groupe de coopération à effectuer des évaluations coordonnées des risques des chaînes d'approvisionnement critiques. Pour le secteur de l'énergie, les principaux risques liés à la chaîne d'approvisionnement sont les suivants :

Fournisseurs de systèmes SCADA et ICS : un fournisseur compromis pourrait infiltrer plusieurs opérateurs du secteur de l'énergie. Il est essentiel de faire preuve de diligence raisonnable à l'égard de ces fournisseurs.

Fournisseurs de télécommunications : les opérateurs du secteur de l'énergie dépendent des télécommunications pour les communications entre sites. Un fournisseur de télécommunications compromis pourrait perturber les opérations énergétiques.

Fournisseurs de matériel : la manipulation du matériel (serveurs, équipements réseau, dispositifs de contrôle) peut compromettre les systèmes.

Chaîne d'approvisionnement en énergies renouvelables : fabricants de panneaux solaires, fabricants d'éoliennes et leurs chaînes d'approvisionnement.

Surveillez les évaluations des chaînes d'approvisionnement en énergie par le groupe de coopération et intégrez les résultats dans la gestion de vos fournisseurs.

Considérations relatives à la sécurité nationale

L'énergie est essentielle à la sécurité nationale. Les États membres de l'UE ont tout intérêt à protéger les infrastructures énergétiques contre les menaces étrangères.

Certaines obligations du NIS2 peuvent être soumises à des exceptions en matière de sécurité nationale. Par exemple :

Un État membre peut restreindre l'emplacement de certains systèmes énergétiques.

Un État membre peut restreindre les pays dans lesquels les fournisseurs peuvent fournir des composants critiques.

Un État membre peut classer certaines infrastructures énergétiques comme sensibles pour la sécurité nationale, limitant ainsi le partage d'informations.

Les opérateurs du secteur de l'énergie devraient dialoguer avec leurs autorités de sécurité nationales (qui font souvent partie du ministère de la Défense ou des services de renseignement) pour clarifier quelles obligations NIS2 s'appliquent et lesquelles peuvent être gérées dans le cadre des cadres de sécurité nationaux.

Calendrier et feuille de route de conformité

Pour les opérateurs du secteur de l'énergie, le calendrier de mise en conformité est le suivant :

D'ici le 17 octobre 2024 : les exigences en matière de gouvernance (article 20) sont devenues obligatoires. Les conseils d'administration doivent approuver les mesures de cybersécurité, superviser la mise en œuvre et accepter la responsabilité.

D'ici au 12 mai 2025 : pleine conformité avec l'article 21 (mesures de cybersécurité) et l'article 23 (signalement des incidents).

Pour les opérateurs du secteur de l'énergie, les mesures immédiates devraient inclure :

Déterminez le statut de votre périmètre : êtes-vous une entité essentielle ou importante ? Précisez cela auprès de l'autorité de réglementation de votre État membre.

Procédez à une évaluation des risques de cybersécurité portant spécifiquement sur les infrastructures énergétiques, les systèmes OT et les risques liés à la chaîne d'approvisionnement.

Cartographiez vos pratiques actuelles conformément à l'article 21 (2) et identifiez les lacunes.

Élaborez un plan de mise en œuvre donnant la priorité aux lacunes à haut risque.

Impliquez votre conseil d'administration dans la gouvernance de la cybersécurité (article 20) par le biais de rapports trimestriels et d'approbations formelles.

Commencez à évaluer les fournisseurs essentiels (fournisseurs SCADA, fournisseurs de télécommunications, etc.).

Mettre en place une capacité de réponse aux incidents capable de détecter et de signaler les incidents importants dans les 72 heures.

Réaliser des évaluations de sécurité (tests d'intrusion, analyses de vulnérabilité) des systèmes OT.

Mettez à jour toutes les politiques de sécurité pour refléter les exigences NIS2.

Testez la capacité de réponse aux incidents grâce à des exercices sur table.

Ressources du secteur de l'énergie

Des organisations telles que l'ENISA, l'Agence européenne chargée de la sécurité des réseaux et de l'information, fournissent des orientations sectorielles. Vérifiez :

Rapports de bonnes pratiques de l'ENISA sur la cybersécurité du secteur de l'énergie.

Actes d'exécution de la Commission spécifiques aux entités du secteur de l'énergie.

Conseils de la part de l'autorité de réglementation de votre État membre.

Groupes et associations industriels susceptibles de fournir des conseils sectoriels (par exemple, Eurelectric pour le secteur de l'électricité, Gas Infrastructure Europe pour le secteur du gaz).

Principaux points à retenir

- Le secteur de l'énergie (électricité, pétrole, gaz, chauffage urbain, hydrogène) est explicitement critique dans le cadre du NIS2 ; le champ d'application couvre les producteurs, les GRT, les GRD, les producteurs, les opérateurs de stockage et les fournisseurs ; un seuil de taille (plus de 250 employés ou plus de 50 millions d'euros de chiffre d'affaires) s'applique, plus la marge de manœuvre des États membres pour les petites entités.

- Les opérateurs du secteur de l'énergie sont confrontés à des défis uniques en matière de cybersécurité : systèmes technologiques opérationnels conçus dans un souci de fiabilité et non de sécurité, infrastructures existantes difficiles à mettre à niveau, systèmes interconnectés créant des risques en cascade et menaces parrainées par l'État visant les infrastructures énergétiques.

- Les mesures de l'article 21 doivent être adaptées aux contextes énergétiques : l'évaluation des risques doit prendre en compte les menaces physiques et les systèmes OT, la continuité des activités est essentielle (les systèmes doivent rester opérationnels), la sécurité de la chaîne d'approvisionnement est essentielle (les fournisseurs de systèmes SCADA sont des cibles de grande valeur) et l'authentification multifactorielle doit être mise en œuvre pour tous les accès à distance et privilégiés.

- L'intégration de l'énergie et de l'IoT est un défi : les systèmes SCADA et existants peuvent ne pas prendre en charge les contrôles modernes ; des contrôles compensatoires (segmentation du réseau, surveillance, journaux d'accès) sont essentiels lorsque les systèmes ne peuvent pas être mis à niveau ; des considérations de sécurité nationale peuvent exclure certaines obligations du NIS2.

- Le calendrier de mise en conformité est serré : la gouvernance du conseil d'administration (article 20) est devenue obligatoire en octobre 2024 ; la conformité complète aux articles 21 et 23 est requise d'ici mai 2025 ; les opérateurs du secteur de l'énergie devraient immédiatement effectuer des évaluations des risques, cartographier les lacunes, élaborer des plans de mise en œuvre et associer les conseils d'administration à la gouvernance de la cybersécurité.

- La sécurité de la chaîne d'approvisionnement est essentielle pour le secteur de l'énergie : les fournisseurs de SCADA, les fournisseurs de télécommunications et les fournisseurs de matériel sont des cibles de grande valeur ; les évaluations des fournisseurs, les exigences de sécurité contractuelles et les délais de notification des incidents sont essentiels ; surveillez les évaluations des chaînes d'approvisionnement en énergie par le Groupe de coopération.