NIS2, CRA ou encore DORA, derrière tous ces acronymes se cachent en réalité des directives ou lois à venir pour renforcer la cybersécurité des entreprises. Déjà, la nouvelle directive NIS2 sera transposée en droit français au deuxième semestre 2024 au plus tard et permettra d’augmenter le niveau de cybersécurité de milliers d’entités, allant de la PME de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires aux grandes entreprises du CAC40. Rappelons que la NIS2, qui s’appuie sur NIS1, élargit notamment le nombre de secteurs d’activités concernés passant de 19 dans sa première version à 35 aujourd’hui. Elle définit également de manière plus précise l’obligation de notification aux autorités compétentes en cas d’incident de sécurité et supprime le statut d’OSE (opérateur de services essentiels ) pour le remplacer par deux typologies d’organisations, à savoir les entités essentielles (EE) et les entités importantes (EI). De plus, la NIS2 intègre les entreprises de sous-traitance et dans certains cas les collectivités territoriales à la liste des acteurs concernés. Concernant la CRA (Cyber Resilience Act), cette loi va imposer des obligations de sécurité aux fournisseurs IT, mais aussi aux importateurs et distributeurs pour commercialiser ces produits connectés. Pour résumer, la loi demande déjà plus de Security by design, c’est-à-dire de prendre en compte la sécurité dès la conception du produit et qu’aucune faille de sécurité connue ne soit détectée au moment de la livraison. Ensuite, la documentation technique évaluant les cyber risques doit être plus rigoureuse. Enfin, il y aura une obligation de fournir pendant 5 ans des mises à jour du produit pour corriger d’éventuelles failles. Enfin, tout incident devra par ailleurs être notifié à l’Enisa (European Union Agency for Cybersecurity). Aujourd’hui, nous ne connaissons pas encore le calendrier de la mise en œuvre de la loi CRA et sa transposition dans chaque pays européen. Pour DORA (Digital Operational Resilience Act), c’est là aussi une réglementation européenne qui sera applicable dès janvier 2025. Elle aura pour mission de renforcer la résilience opérationnelle IT des acteurs du secteur financier, les banques et les assurances notamment. Au total, près de 22 000 organisations seraient concernées. Initié par la Commission européenne en 2020, ce règlement DORA vise donc à garantir le fonctionnement de l’entreprise même en cas d’attaque IT ou d’incident cyber. Pour ce faire, les institutions financières concernées devront mettre en place une série de mesures et les documenter. Les exigences de DORA se portent surtout sur chaque aspect de la cybersécurité, y compris la surveillance des cybermenaces et le signalement des cyberattaques, mais aussi sur les exigences en matière de sauvegarde. De même, DORA exige que les institutions financières tiennent un registre décrivant les arrangements contractuels avec les fournisseurs informatiques et qu’elles incluent des dispositions spécifiques dans les contrats avec ces derniers.
Commentaire