Les Entreprises de Services Numériques (ESN) évoluent dans un macroenvironnement législatif dynamique, marqué notamment par les entrées en vigueur du règlement européen sur la résilience numérique du secteur financier (DORA) et la deuxième mouture de la directive européenne sur la cybersécurité (NIS 2). Dans cet article, Provigis explore l’impact de ces nouvelles dispositions sur l’activité des ESN.
DORA, le règlement européen sur la résilience numérique du secteur financierLa crise financière de 2007 et l’accroissement exponentiel des cyberattaques dans un contexte de transformation digitale ont poussé le législateur européen et les organismes de certification à multiplier les initiatives pour renforcer la résilience du système financier.
Des normes (ISO 27000), des accords (Bâle 3), des directives (NIS 1 et DSP 2) et des règlements (RGPD) ont été mis en place lors des 15 dernières années. Si ces initiatives ont indéniablement assaini l’écosystème financier, elles ont engendré des incohérences, des exigences redondantes et des coûts administratifs élevés pour les entités concernées entamant la compétitivité, la stabilité voire l’intégrité du système financier européen.
C’est ainsi que l’Union Européenne a lancé une réflexion ambitieuse pour produire un règlement détaillé, exhaustif et permettant une meilleure coordination entre les initiatives nationales en matière de résilience opérationnelle numérique des acteurs du secteur financier. Cette réflexion se concrétisera par la signature de l’acte final de DORA le 14 décembre 2022.
Comprendre DORA
Le Digital Operational Resilience Act, ou DORA, est un règlement européen de gouvernance et de contrôle interne visant à garantir la résilience opérationnelle numérique des acteurs du secteur financier au sens large.
L’objectif est d’unifier la gestion des risques informatiques dans le secteur financier et d’assurer la continuité des activités et l’opérationnalité des services critiques en cas d’incident de sécurité informatique majeur à travers des normes de sécurité minimales et des règles contraignantes qui couvrent quatre points :
- La gestion des risques informatiques ;
- Le signalement des incidents de sécurité majeurs liés aux technologies ;
- Les tests de résilience opérationnelle informatique ;
- La gestion du risque tiers, avec notamment la supervision directe des prestataires de services « critiques ».
Entrée en vigueur
Publié au Journal officiel de l’UE (JOUE) le 27 décembre 2022, le règlement DORA est entré en vigueur début 2023 et s’appliquera à partir de 2025 aux 27 Etats membres de l’UE.
Champ d’application
DORA est un règlement sectoriel qui dispose d’un champ d’application relativement large. Il concerne les banques, les bourses, les gestionnaires de fonds, les compagnies d’assurance mais aussi les tiers prestataires de services informatiques (cloud, services de paiement, infrastructures de marché), hors micro-entreprises. L’article 28 du règlement est clair à ce sujet : les acteurs du secteur financier sont responsabilisés sur leurs prestataires externes.
Quel impact sur les ESN ?
C’est simple : les acteurs du secteur financier qui entrent dans le champ d’application de DORA exigeront de leurs prestataires ESN de se mettre en conformité avec la réglementation. L’impact est donc imminent et direct sur la compétitivité et la performance globale des ESN. Dans la pratique, l’impact de DORA sur les ESN se traduit à plusieurs niveaux :
- Les ESN devront désormais prendre en charge la gestion de leur système d’information au siège ;
- Elles sont responsabilisées sur la conformité de leurs propres tiers au règlement DORA ;
- Les ESN considérées comme « critiques » en vertu du nouveau règlement seront contrôlées par une autorité de supervision qui évaluera leur conformité, à travers des contrôles sur pièces ou sur place. Des pénalités financières et/ou astreintes journalières (1 % du CA mondial sur N-1) peuvent être prononcées en cas de manquement ;
- Les contrats entre les ESN et les établissements financiers devront être renforcés par des clauses relatives à la conformité à DORA.
Pour se préparer, les ESN disposent déjà d’un cadre de mise en conformité avec la norme ISO 27000, dont les quatre thèmes (contrôle de l’organisation, contrôle des personnes, contrôles physiques et contrôles techniques) convergent avec les dispositions DORA.
NIS 2, la directive qui renforce la cybersécurité à l’échelle européenneLa transformation digitale, accélérée par la crise sanitaire, s’est logiquement accompagnée d’une recrudescence des cyberattaques, des vols de données et des atteintes à la vie privée. En plus des attaques par rebond, qui consistent à cibler des tiers mal protégés pour atteindre des structures plus importantes, les pirates informatiques visent certaines infrastructures critiques comme les systèmes de transport, les services de santé et les réseaux électriques.
Entrée en vigueur en 2016, la directive Network and Information Security (NIS) est venue harmoniser les législations nationales en matière de cybersécurité afin de favoriser la coopération transfrontalière et optimiser la réponse aux incidents à l’échelle européenne. NIS couvrait deux catégories d’acteurs : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN).
Malgré des avancées substantielles, cette directive a été rattrapée par un macroenvironnement turbulent marqué par la digitalisation effrénée, les nouveaux enjeux de souveraineté post-Covid, la guerre en Ukraine… des facteurs conjoncturels qui ont exacerbé les limites intrinsèques de la directive comme son champ d’application limité, les obligations insuffisamment détaillées et les pouvoirs d’enquête et de sanction limités. Pour combler ces lacunes, les Etats membres ont produit NIS 2.
Comprendre NIS 2
La deuxième mouture de la directive NIS 2 présente plusieurs évolutions majeures. Quelques exemples :
- Élargissement du champ d’application aux entreprises du privé (voir partie « champ d’application ») ;
- Le nombre de secteurs dits « essentiels » passe de 7 à 11 : énergie et transports, banques, infrastructures de marché financier, infrastructures numériques, eau potable, eaux usées, alimentaire, santé, administration publique et espace ;
- Obligation de mettre en place des stratégies nationales de résilience pour chaque secteur « essentiel » ;
- Mise en place du CyCLONe, un réseau européen d’organisations de liaison en cas de crises de cybersécurité.
Pour aller plus loin, n’hésitez pas à consulter notre guide complet sur la directive NIS 2.
Entrée en vigueur
Publiée au Journal officiel de l’Union Européenne le 27 décembre 2022, la réglementation NIS 2 est entrée en vigueur le 17 janvier 2023. La transposition par les Etats membres est attendue pour le 17 octobre 2024, avec une mise en application dès le lendemain.
Champ d’application
NIS 2 concerne toutes les entreprises qui évoluent dans les secteurs d’activité dits « essentiels », ayant un effectif de plus de 250 salariés et réalisant un CA supérieur à 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros.
Quel impact sur les ESN ?
Comme tous les sous-traitants et prestataires de services ayant un accès à une infrastructure, les ESN sont soumises à l’ensemble des obligations de NIS 2, dans l’éventualité où elles remplissent les critères cités plus haut. Plusieurs leviers doivent être activés, sous peine d’essuyer une amende pouvant représenter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise.
Par exemple, les ESN devront mettre en place des mécanismes de communication pour signaler rapidement les incidents de cybersécurité et y réagir efficacement. En vertu de NIS 2, elles sont en effet tenues de prévenir l’ANSSI sous 24h « après avoir pris connaissance de l’indicent ». Cette alerte devra être suivie d’une notification complète dans les 72 heures, puis d’un rapport final présenté dans un délai d’un mois.
Les ESN sont également attendues sur la mise en place d’une liste de mesures de gestion des risques rigoureuse : politiques d’analyse des risques de sécurité des SI, gestion des incidents, plan de continuité des activités, cyberhygiène, chiffrement, politique de contrôle d’accès et de gestion des actifs, etc.
Elles devront être en mesure de démontrer leur conformité à NIS 2 lors de la signature de contrats avec des entreprises des secteurs essentiels, ce qui pourrait nécessiter des audits et des évaluations supplémentaires. Enfin, les ESN doivent évidemment s’assurer de la conformité de leurs propres tiers.
Provigis accompagne les ESN dans leur conformité à DORA et NIS 2Ne laissez pas les nouvelles régulations vous prendre au dépourvu. En tant que Tiers de Collecte Probatoire (TCP), Provigis accompagne les ESN dans la gestion de la conformité de leurs tiers et l’introduction de surveillance des consultants sous-traitants et/ou prestataires.