La directive NIS2 vient-elle compléter le RGPD ?
Bien que le RGPD constitue une règlementation fondamentale en matière de protection des données personnelles ayant défini les principes phares à respecter pour assurer une protection active des données personnelles, augmenté les sanctions, renforcé les droits des personnes, et modifié plus globalement la manière dont les entreprises doivent utiliser et traiter les données personnelles, il ne semble pas être le seul à avoir un tel impact et à favoriser la prise de conscience de la nécessité de manipuler les données des personnes dans le respect de leur vie privée.
Une autre règlementation susceptible d’avoir un impact tout aussi important que le Règlement Général sur la Protection des Données est la Directive Network and Information Security , dite NIS2. Cette directive européenne relative à la sécurisation des systèmes d’information a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne1. La NIS2 est une version enrichie de la directive NIS initiale et a pour objectif de renforcer la cybersécurité à l’échelle européenne et d’harmoniser les règles dans ce domaine.
Un renforcement de la protection des données
Bien que le RGPD se concentre sur la protection des données personnelles et que la Directive NIS2 se concentre sur la sécurité des réseaux et des systèmes d’information, les deux réglementations visent à protéger les données personnelles et la vie privée des individus. Leurs règles se complètent et visent à renforcer la protection des données personnelles.
La cybersécurité des données est au cœur de la protection des données personnelles et constitue un pilier de la conformité RGPD, représentant l’aspect technique de la protection des données personnelles.
Le rôle essentiel que joue la sécurité dans la protection des données personnelles est présenté de manière claire dans le RGPD, notamment dans son article 32 qui impose la mise en place de mesures techniques et organisationnelles. Cela signifie que tout organisme traitant des données personnelles est tenu de sécuriser les données qu’il détient en mettant en œuvre des mesures adéquates.
La NIS2 prévoit les règles à respecter par les DSI pour satisfaire à ces exigences et garantir la sécurité des réseaux et des systèmes d’information. Ainsi, les entreprises traitant des données personnelles ou étant responsables de la sécurité des réseaux et des systèmes d’information doivent se conformer à ces règles et mettre en place des mesures appropriées en fonction des risques de failles potentielles de sécurité.
Les nouveautés de NIS2
Le champ d’application de cette nouvelle directive est plus large et concerne de nombreux acteurs appartenant à des secteurs diversifiés, tels que la santé, l’infrastructure numérique, le transport et l’énergie.
Un mécanisme de proportionnalité est également adopté, ce qui signifie que toutes les règles ne s’appliquent pas à tous les acteurs. On distingue les entités qualifiées d’essentielles ou importantes, employant plus de 250 personnes et ayant un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou bilan annuel supérieur à 43 millions d’euros, des autres entités qui ne sont pas soumises à toutes ces obligations.
La NIS2 impose également des exigences plus spécifiques et plus strictes en matière de cybersécurité et de gestion des risques, tout en renforçant les sanctions et les amendes pouvant être prononcées en cas de non-conformité. De manière similaire au RGPD, les entreprises ne respectant pas ces règles peuvent se voir infliger des amendes pouvant atteindre 10 millions d’euros ou 2% de leur chiffre d’affaires annuel mondial.
Il est également exigé d’adopter une approche proactive en matière de protection des données, qui s’apparente à celle introduite par le RGPD. Des mesures appropriées techniques, opérationnelles et organisationnelles appropriées doivent être mises en place pour gérer les risques pesant sur la sécurité selon une approche « tous risques ». Ces mesures incluent, à titre d’exemple, les politiques relatives à l’analyse des risques et à la sécurité d’un système d’information, les processus de gestion des incidents et les mesures garantissant la continuité des activités, etc. De même, en ce qui concerne la protection des données personnelles, les mesures techniques et organisationnelles doivent être adaptées en fonction des risques inhérents au traitement des données.
La Directive exige, au même titre, que la direction des organisations concernées approuve les mesures de gestion des risques prises en matière de cybersécurité et qu’elle supervise leur mise en œuvre. Les états membres de l’UE doivent donc veiller à ce que les instances dirigeantes et le personnel des organisations suivent une formation sur la cybersécurité, afin d’acquérir les connaissances nécessaires pour identifier les risques et évaluer les pratiques de gestion des ces derniers (de même que leur impact sur les services fournis).
Des dispositions détaillées doivent aussi être suivies en matière de notification des incidents de sécurité. Ainsi, les entités essentielles et importantes doivent notifier à l’autorité compétente tout incident ayant un impact important sur la fourniture de leurs services. Des précisions sont également fournies concernant les délais à respecter. Une notification doit également être effectuée aux destinataires de services susceptibles d’être affectés par une cybermenace importante, en indiquant notamment les mesures ou les recours que les destinataires de services peuvent prendre en réponse à l’incident.
Se préparer au déploiement de NIS2 dès maintenant ?
Bien qu’un délai de 21 mois soit accordé aux Etats membres pour transposer ces règles, il est important que les entreprises commencent dès maintenant à définir la stratégie à adopter pour assurer une prise en compte effective des nouvelles obligations. Ces travaux peuvent en effet nécessiter un effort important, en fonction de l’entreprise et des politiques qu’elle a déjà définies. En donnant la priorité à la conformité avec la directive NIS2 dès maintenant, les entreprises peuvent garantir qu’elles respecteront la date limite, et éviteront les difficultés à l’approche de celle-ci.
