Présentation de la directive NIS 2 et du règlement DORA

Directive NIS 2 : les infrastructures critiques

La Directive dite NIS 2, adoptée le 14 décembre 2022, vise à renforcer le niveau de cybersécurité d’entités, dans de nombreux secteurs d’activités qualifiés de sensibles (énergie, santé, gestion des eaux, etc.). Ces entités étant « classées en deux catégories, essentielles et entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille » (Considérant 15, Directive NIS 2). Cette directive étend considérablement le champ d’application de la précédente législation (dite NIS, adoptée en 2016), touchant un plus grand nombre d’entreprises et d’organismes publics à travers l’UE.

La transposition de cette directive en droit français est en cours, avec une échéance fixée au 17 octobre 2024 pour l’ensemble des États membres (article 41, Directive NIS 2).

La directive NIS 2 prévoit trois catégories d’obligations :

• les mesures relatives à la gouvernance de la cybersécurité (implication de la Direction, obligation de formation notamment) ;
• la mise en place d’un plan de gestion des risques comprenant plusieurs aspects (procédure de gestion des incidents et de continuité d’activité, sécurité de la chaîne d’approvisionnement, etc.);
• la notification des incidents.

Règlement DORA : la cybersécurité du secteur « Banque, Finance & Assurance »

Le règlement DORA (Digital Operational Resilience Act) vise à renforcer la gestion des risques liés aux technologies de l’information et de la communication dans le secteur financier. Ce règlement, entré en vigueur le 16 janvier 2023, s’appliquera à partir du 17 janvier 2025. Il concerne non seulement les entreprises financières mais aussi leurs prestataires de services, mettant en avant la nécessité d’une harmonisation accrue des pratiques de cybersécurité au sein du secteur.

Les obligations du règlement DORA s’articulent autour de quatre axes, chacun déclinant un plan d’actions dédié :

• la gestion du risque informatique (gouvernance appropriée, cadre de gestion du risque et mesures techniques) ;
• la mise en place de processus de gestion, classification et notification des incidents ;
• la réalisation de tests de résilience ;
• la gestion du risque de tiers (intégrant des conditions strictes au regard du contenu des engagements contractuels).

Ces réglementations, en s’adressant à des secteurs cruciaux, illustrent la volonté de l’Union européenne de renforcer la cybersécurité au sein de l’UE. Pour les juristes et les experts en cybersécurité, ces évolutions représentent des défis, mais aussi des opportunités significatives, pour renforcer la résilience des systèmes d’information européens face aux menaces numériques de plus en plus sophistiquées.

L’ensemble des parties prenantes de l’entreprise concernées par l’obligation de formation

La directive NIS 2 et le règlement DORA imposent des obligations de formation dont le non-respect peut conduire à des sanctions.

Formation des collaborateurs : une nécessité opérationnelle inscrite dans NIS 2 et DORA

La directive NIS 2 et le règlement DORA soulignent l’importance de former tous les collaborateurs aux enjeux de la cybersécurité. Conformément à l’article 20 de la directive NIS 2, les entreprises doivent adopter des mesures de sécurité comprenant des formations permettant aux employés de comprendre et d’évaluer les risques de cybersécurité ainsi que leur impact sur l’organisation.

Le règlement DORA, pour sa part requiert des entités financières d’élaborer « des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires » (article 13). Ces formations doivent doter les employés de connaissances pour appliquer les bonnes pratiques et adopter les bons réflexes en cas d’incident, garantissant ainsi une base solide de résilience opérationnelle au sein de chaque entité.

Formation des organes de direction : une exigence stratégique

Pour les organes de direction, la directive NIS 2 impose une formation spécialisée en cybersécurité, comme indiqué à l’article 20. Cette formation est cruciale pour que les membres de la Direction puissent prendre des décisions éclairées et superviser efficacement les stratégies de cybersécurité.

Le règlement DORA rejoint cette exigence en stipulant que la direction doit également suivre une formation proportionnée au risque TIC géré (article 5), assurant une compréhension approfondie des enjeux et des réponses appropriées en matière de sécurité digitale. Ainsi, la formation des dirigeants n’est pas seulement une question de conformité, mais un élément central de la gouvernance et de la gestion des risques dans les entreprises.

Formation des prestataires dans le secteur « Banque, Finance & Assurance » : une responsabilité partagée

Dans le secteur spécifique de la « Banque, Finance & Assurance », le règlement DORA étend la responsabilité de la formation à la cybersécurité aux prestataires de services.

Le règlement DORA impose en effet que ces formations soient intégrées par les entités financières dans les contrats avec leurs prestataires, comme le prévoit l’article 13. Ce cadre réglementaire assure que tous les acteurs impliqués dans les opérations critiques financières, qu’ils soient internes ou externes, possèdent une compréhension adéquate des menaces et des pratiques de sécurité, renforçant ainsi la chaîne de défense contre les cyberattaques dans un secteur hautement sensible et réglementé.

Le risque de sanction

Des sanctions sont prévues en cas de non-respect des dispositions de la directive NIS 2 et du règlement DORA, incluant les obligations en matière de formation.

La directive NIS 2 prévoit une amende administrative dont le montant peut aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires total annuel de l’entité concernée, le montant le plus important étant choisi.

Concernant DORA

L’appréciation de la sanction est laissée aux États membres et à leurs autorités compétentes, qui peuvent « adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales ». (article 50.4 c)

Concernant les prestataires critiques de services TIC, l’autorité compétente pourra procéder à des contrôles sur pièces ou sur place et pourra également prononcer des sanctions en cas de non-conformité, notamment des pénalités financières et des astreintes journalières s’élevant à 1 % au maximum du chiffre d’affaires mondial du prestataire de services TIC concerné, et ce pendant une période totale de 6 mois maximum. (article 35).

Ces formations spécifiques par niveaux et rôles sont essentielles pour atteindre les objectifs de cybersécurité dans l’ensemble des secteurs visés par la directive NIS 2 et le règlement DORA. Pour les spécialistes du droit et de la cybersécurité, comprendre et mettre en œuvre ces exigences de formation n’est pas seulement une question de conformité, mais un pilier fondamental pour sécuriser les activités économiques dans l’environnement numérique actuel.

L’équipe de Mathias Avocats est à votre disposition pour échanger sur vos besoins de formations, pour vous et vos équipes. Contactez-nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.