Pouvoirs d'application de la NIS2 : ce que les régulateurs peuvent faire et comment s'y préparer
Qui devrait lire ceci : les responsables de la conformité, les équipes juridiques, les directeurs financiers, les membres du conseil d'administration, les gestionnaires des risques et toute personne chargée de garantir la conformité organisationnelle et de gérer les risques réglementaires.
NIS2 fournit aux régulateurs de puissants outils pour garantir la conformité. Les régulateurs peuvent effectuer des audits, ordonner des mesures correctives, accuser publiquement les contrevenants, suspendre les opérations et infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Il ne s'agit pas de risques abstraits. À mesure que la conformité à la NIS2 deviendra exécutoire, les régulateurs utiliseront ces pouvoirs.
Les articles 32 à 34 définissent le pouvoir d'exécution. Ce guide explique ce que les régulateurs peuvent faire, comment ils utiliseront probablement ces pouvoirs, quelles sanctions s'appliquent et comment les organisations doivent s'y préparer.
Qui applique le NIS2 ?
Chaque État membre de l'UE désigne une « autorité compétente » chargée de faire appliquer le NIS2 sur son territoire. Il s'agit souvent de :
L'autorité nationale de cybersécurité (par exemple, l'Office fédéral allemand de la sécurité de l'information, l'Agence nationale française de cybersécurité).
Un régulateur sectoriel (par exemple, le régulateur de l'énergie pour les entreprises du secteur de l'énergie, le régulateur de la santé pour les entités du secteur de la santé).
Dans certains États membres, une autorité NIS2 dédiée, distincte des régulateurs sectoriels.
Votre première étape de conformité consiste à identifier votre autorité nationale compétente. Il s'agit de l'organisme de réglementation qui vous supervisera, vous demandera des informations, effectuera des audits et veillera à la conformité.
Pouvoirs de supervision : ce que les régulateurs peuvent faire aux entités essentielles
L'article 32 décrit les pouvoirs de surveillance qu'ont les régulateurs sur les entités essentielles. Ces pouvoirs sont étendus.
Inspections sur site et supervision hors site
Les régulateurs peuvent effectuer des inspections inopinées ou planifiées sur place dans vos installations. Ils peuvent également effectuer une supervision hors site (examen de documents, demande d'informations). Ils peuvent effectuer des contrôles aléatoires à tout moment pour vérifier la conformité.
Ces inspections ne sont pas des visites polies. Les régulateurs auront le pouvoir d'accéder aux systèmes, de revoir les contrôles de sécurité, d'interroger le personnel et de demander toutes les informations dont ils ont besoin.
Pour vous y préparer : assurez-vous que vos contrôles de sécurité sont réellement mis en œuvre (et pas seulement documentés), que votre documentation est précise et à jour et que votre personnel comprend les exigences en matière de cybersécurité. Effectuez régulièrement des audits internes afin de découvrir les lacunes avant que les régulateurs ne le fassent.
Audits de sécurité réguliers et ciblés
Les régulateurs peuvent demander à votre entité de se soumettre à des audits de sécurité réalisés par des auditeurs indépendants ou par le personnel du régulateur. Ces audits sont ciblés (axés sur des risques spécifiques) et basés sur des évaluations des risques.
Il est important de noter que vous payez pour les audits réalisés par des auditeurs indépendants, sauf dans des cas exceptionnels où le régulateur en décide autrement. Il s'agit d'un coût qui est exécutoire.
Pour vous préparer : engagez des auditeurs indépendants qualifiés (certifiés ISO 27001, certification CREST ou équivalente) pour effectuer des audits réguliers. Utilisez les résultats des audits pour identifier et corriger les lacunes avant que les régulateurs n'effectuent leurs propres audits.
Audits ad hoc
En cas d'incident important ou si le régulateur dispose de preuves de non-conformité, il peut effectuer des audits surprises à tout moment. Elles ne sont ni prévues ni annoncées.
Pour vous préparer : maintenez un état de préparation continu. Ne mettez pas en œuvre des mesures de cybersécurité uniquement lorsque vous vous attendez à un audit.
Analyses et évaluations de sécurité
Les régulateurs peuvent effectuer des analyses de sécurité (analyses de vulnérabilité, tests d'intrusion) pour identifier les faiblesses. Elles doivent être fondées sur des critères objectifs, non discriminatoires et équitables.
Pour vous y préparer : effectuez régulièrement des analyses de vulnérabilité et des tests d'intrusion sur vos systèmes. Corrigez rapidement les vulnérabilités afin que les régulateurs ne trouvent pas les vulnérabilités que vous connaissiez déjà (ce qui n'est pas une bonne chose).
Demandes d'informations
Les régulateurs peuvent demander toutes les informations nécessaires pour évaluer votre conformité : politiques de cybersécurité documentées, évaluations des risques, résultats d'audit, procédures de réponse aux incidents, dossiers de formation, politiques de contrôle d'accès, etc.
Le régulateur doit indiquer l'objet de la demande et préciser quelles informations sont recherchées. Mais le champ d'application est vaste.
Pour vous préparer : conservez une documentation complète de votre programme de cybersécurité. Assurez-vous que les documents sont à jour et reflètent exactement ce que vous faites réellement. Mettez en place un processus pour répondre aux demandes d'informations dans des délais raisonnables (généralement de 2 à 4 semaines).
Pouvoirs d'exécution : ce que les régulateurs peuvent faire pour les entités essentielles
Si un organisme de réglementation constate une non-conformité, il dispose de pouvoirs d'exécution. Elles sont de plus en plus nombreuses : elles peuvent commencer par des avertissements et se transformer en amendes et restrictions opérationnelles.
Avertissements et instructions contraignantes
La mesure coercitive la plus modérée est un avertissement écrit concernant la non-conformité. Plus grave encore, une instruction contraignante vous demandant de prendre des mesures spécifiques (par exemple, « implémenter l'authentification multifactorielle sur tous les accès administratifs dans les 90 jours »).
Pour vous préparer : prenez les avertissements au sérieux. Si un régulateur émet une instruction contraignante, donnez la priorité à la conformité. Le non-respect d'une date limite d'instruction contraignante entraîne une accélération de l'exécution.
Ordres visant à mettre fin à la violation
Les régulateurs peuvent vous ordonner de mettre fin à un comportement qui enfreint le NIS2 et vous interdire de répéter ce comportement.
Ordonnances visant à se conformer aux articles 21 et 23
Les régulateurs peuvent émettre des ordonnances spécifiant exactement comment vous devez vous conformer aux mesures de cybersécurité (article 21) ou à la notification des incidents (article 23), et fixer des délais de mise en conformité.
Par exemple : « Dans les 90 jours suivant la date de cette commande, vous devez mettre en œuvre un programme de continuité des activités et de reprise après sinistre avec un objectif de délai de reprise de 4 heures, comme l'exige l'article 21 (2) (c). Vous devez fournir la preuve de la mise en œuvre dans un délai de 120 jours. »
Pour vous préparer : assurez-vous d'avoir des plans pour combler les éventuelles lacunes. Ne promettez pas de conformité que vous ne pourrez pas respecter. Si un délai n'est pas réaliste compte tenu de votre situation, demandez une modification avant que la commande ne soit définitive.
Ordres visant à informer les bénéficiaires de services
Si une cybermenace importante touche vos clients, les régulateurs peuvent vous ordonner de les informer de la menace et des mesures qu'ils peuvent prendre pour se protéger.
Désignation du responsable du suivi
En cas de non-conformité grave, un régulateur peut désigner un agent de contrôle chargé de superviser votre conformité aux articles 21 et 23. Cet agent aura accès à vos systèmes, à votre documentation et à votre personnel.
Cela est intrusif et coûteux (vous devrez peut-être payer les honoraires de l'agent). Il s'agit en fait d'un contrôleur de conformité externe installé au sein de votre organisation.
Pour vous préparer : évitez d'en arriver là en mettant en œuvre une conformité rigoureuse dès le départ.
Divulgation publique
Les régulateurs peuvent vous ordonner de divulguer publiquement certains aspects de vos infractions d'une manière précise. Si vous avez dissimulé une violation grave ou dissimulé une non-conformité, les régulateurs peuvent vous ordonner de la divulguer publiquement.
Cela porte atteinte à la réputation et constitue une mesure coercitive sérieuse.
Application renforcée : suspension et interdiction
Si un régulateur émet une instruction contraignante et que vous ne vous y conformez pas dans le délai imparti, le régulateur peut passer à l'étape suivante. Ils peuvent :
Suspendez temporairement toute certification ou autorisation concernant vos services (vous mettant ainsi hors service).
Demandez que les cours ou tribunaux interdisent aux dirigeants (au niveau du PDG) d'exercer des fonctions de direction dans votre entité.
Ce sont des mesures extrêmes, mais elles sont disponibles. Ils sont utilisés lorsque l'exécution ordinaire ne fonctionne pas.
Pour vous préparer : n'atteignez jamais ce point. Respectez les instructions contraignantes à temps.
Entités importantes : Lighter Touch
L'article 33 décrit les pouvoirs de surveillance et d'exécution des entités importantes (petites organisations concernées).
La principale différence : la supervision des entités importantes s'effectue « a posteriori », c'est-à-dire une fois qu'un problème a été identifié, et non de manière proactive. Les régulateurs n'inspectent pas au hasard les entités importantes comme ils le font pour les entités essentielles.
Cependant, une fois que des preuves de non-conformité apparaissent, les régulateurs peuvent prendre les mêmes mesures de supervision et d'exécution que pour les entités essentielles.
Les outils d'application sont similaires mais légèrement plus légers : les régulateurs ne peuvent pas désigner d'agents de surveillance ni suspendre les opérations pour des entités importantes (bien qu'ils puissent toujours infliger des amendes et des instructions contraignantes).
Préparation : les entités importantes doivent partir du principe qu'elles ne seront pas soumises à des audits proactifs réguliers, mais doivent tout de même maintenir leur conformité. Un incident ou un signalement de non-conformité peut déclencher une enquête réglementaire complète.
Amendes administratives : la sanction financière
Les articles 34 à 35 établissent le régime des amendes.
Niveaux de pénalité
Entités essentielles qui enfreignent l'article 21 (mesures de cybersécurité) ou l'article 23 (signalement des incidents) :
Amende maximale : au moins 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
Entités importantes qui enfreignent l'article 21 ou l'article 23 :
Amende maximale : au moins 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
Pour les grandes multinationales, l'amende basée sur le chiffre d'affaires domine. Une entreprise ayant un chiffre d'affaires annuel d'un milliard d'euros paie jusqu'à 20 millions d'euros (2 % du chiffre d'affaires) ou 14 millions d'euros (1,4 %) respectivement.
Pour les petites entités, l'amende forfaitaire (10 millions d'euros ou 7 millions d'euros) s'applique.
Notez le mot « maximum ». Dans tous les cas, l'amende réelle peut être inférieure, mais les régulateurs infligent généralement de lourdes amendes pour les infractions graves.
Infractions systématiques
La directive précise qu'en cas de violation systématique de l'article 21 ou de l'article 23, les amendes peuvent atteindre :
Pour les entités essentielles : 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
C'est le double de l'amende standard. Par « systématique », on entend des défaillances répétées dans de multiples domaines ou sur de longues périodes.
Qu'est-ce qui détermine le montant de l'amende ?
Au moment de fixer le montant de l'amende, les régulateurs doivent tenir compte des éléments suivants :
Gravité de l'infraction : est-elle mineure (lacune documentaire) ou majeure (absence de capacité de réponse aux incidents) ?
Durée : depuis combien de temps l'infraction existe-t-elle ?
Infractions antérieures : s'agit-il d'une première infraction ou d'une récidive ?
Dommages causés : L'infraction a-t-elle entraîné un incident matériel ? Combien d'utilisateurs ont été concernés ?
Intention ou négligence : l'organisation a-t-elle délibérément ignoré les exigences ou a-t-elle fait preuve de négligence ?
Mesures prises pour prévenir/atténuer les dommages : l'organisation a-t-elle pris des mesures pour limiter les dommages ?
Respect des codes de conduite ou des certifications : l'organisation respecte-t-elle des normes reconnues ?
Coopération avec les régulateurs : l'organisation a-t-elle coopéré à l'enquête ou y a-t-elle fait obstacle ?
Les infractions graves qui entraînent des amendes élevées sont notamment les suivantes :
Violations répétées.
Absence de notification ou de résolution d'incidents importants.
Non-respect des instructions contraignantes.
Obstruction aux audits.
Fournir des informations fausses ou totalement inexactes.
Pour vous préparer : prenez au sérieux toutes les mesures coercitives. N'ignorez pas et n'entravez pas les enquêtes. Faites preuve de transparence et coopérez avec les régulateurs. Cela réduit votre risque d'amende.
Responsabilité personnelle des décideurs
L'article 32, paragraphe 6, précise que la responsabilité n'incombe pas uniquement à l'organisation, mais aussi aux personnes responsables de la gestion :
« Les États membres veillent à ce que toute personne physique responsable d'une entité essentielle ou agissant en tant que représentant légal d'une entité essentielle sur la base du pouvoir de la représenter, de l'autorité de prendre des décisions en son nom ou de l'autorité chargée d'en exercer le contrôle soit habilitée à garantir sa conformité avec la présente directive. Les États membres veillent à ce qu'il soit possible de tenir ces personnes physiques pour responsables en cas de manquement à leurs obligations de garantir le respect de la présente directive. »
Cela s'applique aux PDG, aux membres du conseil d'administration, aux directeurs juridiques, aux RSSI et à toute personne habilitée à prendre des décisions en matière de cybersécurité.
La responsabilité personnelle signifie que vous pouvez être poursuivi individuellement. Vous pouvez être tenu personnellement responsable d'amendes, de dommages et intérêts ou de sanctions pénales selon la législation nationale.
Pour vous préparer : souscrivez une assurance responsabilité professionnelle et une assurance responsabilité cybernétique qui couvre la responsabilité personnelle des décideurs. Documentez votre gouvernance et vos décisions afin de pouvoir démontrer que vous avez agi de bonne foi. Si l'organisation a fait preuve de négligence en matière de cybersécurité malgré vos directives, documentez le fait que vous avez demandé des mesures correctives.
Protection des données et coordination de la concurrence
L'article 35 exige une coordination avec les régulateurs de la protection des données (ceux qui appliquent le RGPD). Si une violation du NIS2 implique une violation de données personnelles, le responsable de la protection des données (généralement l'autorité nationale de protection des données) peut infliger une amende à l'organisation en vertu du RGPD. Les régulateurs NIS2 et les régulateurs de la protection des données doivent se coordonner pour éviter d'infliger une double amende à l'organisation pour le même comportement.
Ceci est important pour votre stratégie de conformité : un incident qui enfreint à la fois le NIS2 et le RGPD sera soumis à l'application des sanctions par les deux régulateurs, mais ceux-ci sont tenus de coordonner les sanctions.
Protections procédurales
Avant d'imposer des mesures coercitives, l'article 32, paragraphe 8, impose aux régulateurs de :
Exposez les raisons détaillées de la mesure d'exécution.
Informer l'entité des résultats préliminaires.
Prévoyez un délai raisonnable pour permettre à l'entité de présenter ses observations et de se défendre.
Il s'agit de droits procéduraux importants. Vous avez le droit d'être entendu avant que des sanctions ne soient imposées. Utilise ça. Si vous pensez qu'un organisme de réglementation a mal compris les faits ou les circonstances, soumettez des réponses écrites détaillées expliquant votre position.
Ce que les régulateurs vont probablement prioriser
Sur la base du texte du NIS2 et de l'expérience en matière d'application du RGPD, attendez-vous à ce que les régulateurs se concentrent sur :
Gouvernance au niveau du conseil d'administration (article 20) : les organes de direction approuvent-ils et supervisent-ils réellement la cybersécurité ? Ou la gouvernance a-t-elle été déléguée sans aucune implication du conseil d'administration ?
Signalement des incidents (article 23) : les entités informent-elles les régulateurs des incidents importants dans les délais ? Ou cachent-ils des incidents ?
Sécurité de la chaîne d'approvisionnement (article 21, paragraphe 2, point d)) : les organisations disposent-elles de processus d'évaluation et de suivi des fournisseurs ? Ou font-ils aveuglément confiance aux fournisseurs ?
Authentification multifactorielle (article 21, paragraphe 2, point j)) : l'authentification multifactorielle est-elle mise en œuvre sur les systèmes critiques ? Il s'agit d'un contrôle mesurable à fort impact.
Continuité des activités (article 21, paragraphe 2, point c)) : l'organisation peut-elle réellement rétablir ses services après un incident majeur ? Ou est-ce que la reprise après sinistre n'a pas été testée ?
Ce sont les domaines que les régulateurs vérifieront en premier lieu et appliqueront de la manière la plus agressive.
Stratégie d'application de la loi : comment minimiser les risques
Pour minimiser les risques liés à la mise en application :
Mettez sérieusement en œuvre la conformité dès le départ. N'adoptez pas une approche « attentiste ».
Effectuez des audits internes réguliers (au moins tous les trimestres) et répondez rapidement aux conclusions.
Conservez une documentation détaillée sur votre programme de cybersécurité, vos politiques, vos évaluations des risques et vos décisions.
Engagez la gouvernance au niveau du conseil d'administration. Approbation et supervision des tableaux de documentation.
Établissez une capacité de réponse aux incidents et testez-la régulièrement.
Évaluez et surveillez les fournisseurs critiques.
Répondez rapidement et complètement à toutes les demandes d'informations des régulateurs. Ne tardez pas et ne fournissez pas de réponses incomplètes.
Si un régulateur émet une instruction contraignante, respectez les délais. Si vous ne pouvez pas respecter la date limite, demandez la modification avant la fin de la date limite.
Si un incident important se produit, informez-en immédiatement les régulateurs et coopérez pleinement à leur enquête.
Conservez une assurance responsabilité cybernétique avec des limites adéquates.
Engagez un avocat expérimenté si un organisme de réglementation ouvre une enquête.
N'entravez pas les audits ou les enquêtes. La coopération est considérée d'un bon œil dans la détermination des sanctions.
Coordination transfrontalière
L'article 37 impose aux régulateurs des différents États membres de coopérer en matière de mise en œuvre. Si vous exercez vos activités dans plusieurs États membres, attendez-vous à une mise en œuvre coordonnée.
Les régulateurs peuvent mener des actions de surveillance conjointes (par exemple, des audits simultanés dans plusieurs pays) ou demander une assistance mutuelle (un régulateur demande à un autre de réaliser des audits ou de fournir des informations).
Cela signifie que vous êtes confronté à une attention réglementaire coordonnée dans plusieurs pays. Votre programme de conformité doit répondre aux normes les plus strictes de toutes les juridictions.
Principaux points à retenir
- Les régulateurs NIS2 (autorités compétentes des États membres) disposent de pouvoirs de surveillance étendus, notamment des inspections sur site, des audits de sécurité, des tests d'intrusion et des demandes d'informations ; la supervision des entités essentielles est proactive ; la supervision des entités importantes est réactive (après preuve de non-conformité).
- La mise en œuvre s'intensifie, passant d'avertissements et d'instructions contraignantes à des ordres visant à mettre fin à la violation, à la divulgation publique et (pour les entités essentielles) à la suspension des certifications et à l'interdiction des gestionnaires ; des violations répétées ou le non-respect des instructions contraignantes entraînent une intensification de l'application.
- Les amendes administratives pour les infractions à l'article 21/23 sont d'au moins 10 millions d'euros (essentiel) ou 7 millions d'euros (important) ou 2 %/1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu ; pour les infractions systématiques, les amendes infligées aux entités essentielles peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires.
- Les infractions graves entraînant des amendes élevées comprennent les violations répétées, l'absence de notification ou de résolution des incidents, le non-respect d'instructions contraignantes, l'obstruction aux audits et la fourniture de fausses informations ; l'intention, la coopération avec les régulateurs et les mesures correctives prises réduisent le montant des amendes.
- La responsabilité personnelle existe pour les dirigeants, les membres du conseil d'administration et les décideurs ; ils peuvent être tenus individuellement responsables en cas de non-conformité organisationnelle ; l'assurance responsabilité civile est essentielle.
- Pour minimiser les risques liés à l'application de la loi : mettez sérieusement en œuvre la conformité dès le départ, effectuez des audits internes réguliers, maintenez une documentation détaillée, garantissez la gouvernance au niveau du conseil d'administration, répondez rapidement aux demandes des régulateurs, respectez les instructions contraignantes dans les délais et engagez un conseiller juridique en cas d'enquête.
- La coordination transfrontalière signifie que les régulateurs des différents États membres coopèrent en matière de mise en œuvre ; les organisations opérant dans plusieurs pays font l'objet d'une attention coordonnée en matière de supervision et d'application.
