BlogActualitéDORA et NIS 2 : quels impacts sur les ESN ?

DORA et NIS 2 : quels impacts sur les ESN ?

Les Entreprises de Services Numériques (ESN) évoluent dans un macroenvironnement législatif dynamique, marqué notamment par les entrées en vigueur du règlement européen sur la résilience numérique du secteur financier (DORA) et la deuxième mouture de la directive européenne sur la cybersécurité (NIS 2). Dans cet article, Provigis explore l’impact de ces nouvelles dispositions sur l’activité des ESN.

DORA, le règlement européen sur la résilience numérique du secteur financier

La crise financière de 2007 et l’accroissement exponentiel des cyberattaques dans un contexte de transformation digitale ont poussé le législateur européen et les organismes de certification à multiplier les initiatives pour renforcer la résilience du système financier.

Des normes (ISO 27000), des accords (Bâle 3), des directives (NIS 1 et DSP 2) et des règlements (RGPD) ont été mis en place lors des 15 dernières années. Si ces initiatives ont indéniablement assaini l’écosystème financier, elles ont engendré des incohérences, des exigences redondantes et des coûts administratifs élevés pour les entités concernées entamant la compétitivité, la stabilité voire l’intégrité du système financier européen.

C’est ainsi que l’Union Européenne a lancé une réflexion ambitieuse pour produire un règlement détaillé, exhaustif et permettant une meilleure coordination entre les initiatives nationales en matière de résilience opérationnelle numérique des acteurs du secteur financier. Cette réflexion se concrétisera par la signature de l’acte final de DORA le 14 décembre 2022.

Comprendre DORA

Le Digital Operational Resilience Act, ou DORA, est un règlement européen de gouvernance et de contrôle interne visant à garantir la résilience opérationnelle numérique des acteurs du secteur financier au sens large.

L’objectif est d’unifier la gestion des risques informatiques dans le secteur financier et d’assurer la continuité des activités et l’opérationnalité des services critiques en cas d’incident de sécurité informatique majeur à travers des normes de sécurité minimales et des règles contraignantes qui couvrent quatre points :

  • La gestion des risques informatiques ;
  • Le signalement des incidents de sécurité majeurs liés aux technologies ;
  • Les tests de résilience opérationnelle informatique ;
  • La gestion du risque tiers, avec notamment la supervision directe des prestataires de services « critiques ».

Entrée en vigueur

Publié au Journal officiel de l’UE (JOUE) le 27 décembre 2022, le règlement DORA est entré en vigueur début 2023 et s’appliquera à partir de 2025 aux 27 Etats membres de l’UE.

Champ d’application

DORA est un règlement sectoriel qui dispose d’un champ d’application relativement large. Il concerne les banques, les bourses, les gestionnaires de fonds, les compagnies d’assurance mais aussi les tiers prestataires de services informatiques (cloud, services de paiement, infrastructures de marché), hors micro-entreprises. L’article 28 du règlement est clair à ce sujet : les acteurs du secteur financier sont responsabilisés sur leurs prestataires externes.

Quel impact sur les ESN ?

C’est simple : les acteurs du secteur financier qui entrent dans le champ d’application de DORA exigeront de leurs prestataires ESN de se mettre en conformité avec la réglementation. L’impact est donc imminent et direct sur la compétitivité et la performance globale des ESN. Dans la pratique, l’impact de DORA sur les ESN se traduit à plusieurs niveaux :

  • Les ESN devront désormais prendre en charge la gestion de leur système d’information au siège ;
  • Elles sont responsabilisées sur la conformité de leurs propres tiers au règlement DORA ;
  • Les ESN considérées comme « critiques » en vertu du nouveau règlement seront contrôlées par une autorité de supervision qui évaluera leur conformité, à travers des contrôles sur pièces ou sur place. Des pénalités financières et/ou astreintes journalières (1 % du CA mondial sur N-1) peuvent être prononcées en cas de manquement ;
  • Les contrats entre les ESN et les établissements financiers devront être renforcés par des clauses relatives à la conformité à DORA.

Pour se préparer, les ESN disposent déjà d’un cadre de mise en conformité avec la norme ISO 27000, dont les quatre thèmes (contrôle de l’organisation, contrôle des personnes, contrôles physiques et contrôles techniques) convergent avec les dispositions DORA.

NIS 2, la directive qui renforce la cybersécurité à l’échelle européenne

La transformation digitale, accélérée par la crise sanitaire, s’est logiquement accompagnée d’une recrudescence des cyberattaques, des vols de données et des atteintes à la vie privée. En plus des attaques par rebond, qui consistent à cibler des tiers mal protégés pour atteindre des structures plus importantes, les pirates informatiques visent certaines infrastructures critiques comme les systèmes de transport, les services de santé et les réseaux électriques.

Entrée en vigueur en 2016, la directive Network and Information Security (NIS) est venue harmoniser les législations nationales en matière de cybersécurité afin de favoriser la coopération transfrontalière et optimiser la réponse aux incidents à l’échelle européenne. NIS couvrait deux catégories d’acteurs : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN).

Malgré des avancées substantielles, cette directive a été rattrapée par un macroenvironnement turbulent marqué par la digitalisation effrénée, les nouveaux enjeux de souveraineté post-Covid, la guerre en Ukraine… des facteurs conjoncturels qui ont exacerbé les limites intrinsèques de la directive comme son champ d’application limité, les obligations insuffisamment détaillées et les pouvoirs d’enquête et de sanction limités. Pour combler ces lacunes, les Etats membres ont produit NIS 2.

Comprendre NIS 2

La deuxième mouture de la directive NIS 2 présente plusieurs évolutions majeures. Quelques exemples :

  • Élargissement du champ d’application aux entreprises du privé (voir partie « champ d’application ») ;
  • Le nombre de secteurs dits « essentiels » passe de 7 à 11 : énergie et transports, banques, infrastructures de marché financier, infrastructures numériques, eau potable, eaux usées, alimentaire, santé, administration publique et espace ;
  • Obligation de mettre en place des stratégies nationales de résilience pour chaque secteur « essentiel » ;
  • Mise en place du CyCLONe, un réseau européen d’organisations de liaison en cas de crises de cybersécurité.

Pour aller plus loin, n’hésitez pas à consulter notre guide complet sur la directive NIS 2.

Entrée en vigueur

Publiée au Journal officiel de l’Union Européenne le 27 décembre 2022, la réglementation NIS 2 est entrée en vigueur le 17 janvier 2023. La transposition par les Etats membres est attendue pour le 17 octobre 2024, avec une mise en application dès le lendemain.

Champ d’application

NIS 2 concerne toutes les entreprises qui évoluent dans les secteurs d’activité dits « essentiels », ayant un effectif de plus de 250 salariés et réalisant un CA supérieur à 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros.

Quel impact sur les ESN ?

Comme tous les sous-traitants et prestataires de services ayant un accès à une infrastructure, les ESN sont soumises à l’ensemble des obligations de NIS 2, dans l’éventualité où elles remplissent les critères cités plus haut. Plusieurs leviers doivent être activés, sous peine d’essuyer une amende pouvant représenter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise.

Par exemple, les ESN devront mettre en place des mécanismes de communication pour signaler rapidement les incidents de cybersécurité et y réagir efficacement. En vertu de NIS 2, elles sont en effet tenues de prévenir l’ANSSI sous 24h « après avoir pris connaissance de l’indicent ». Cette alerte devra être suivie d’une notification complète dans les 72 heures, puis d’un rapport final présenté dans un délai d’un mois.

Les ESN sont également attendues sur la mise en place d’une liste de mesures de gestion des risques rigoureuse : politiques d’analyse des risques de sécurité des SI, gestion des incidents, plan de continuité des activités, cyberhygiène, chiffrement, politique de contrôle d’accès et de gestion des actifs, etc.

Elles devront être en mesure de démontrer leur conformité à NIS 2 lors de la signature de contrats avec des entreprises des secteurs essentiels, ce qui pourrait nécessiter des audits et des évaluations supplémentaires. Enfin, les ESN doivent évidemment s’assurer de la conformité de leurs propres tiers.

Provigis accompagne les ESN dans leur conformité à DORA et NIS 2

Ne laissez pas les nouvelles régulations vous prendre au dépourvu. En tant que Tiers de Collecte Probatoire (TCP), Provigis accompagne les ESN dans la gestion de la conformité de leurs tiers et l’introduction de surveillance des consultants sous-traitants et/ou prestataires.

Rémi Lentheric

Au cœur des enjeux métiers des Directions Achats, notamment par l’animation du Club des Acheteurs (réseau CNA), j’accompagne les grandes entreprises et les PME dans l’utilisation de Provigis depuis plus de 10 ans en garantissant leurs processus de conformité fournisseurs. Notre service numérique Provigis s’inscrit en effet pleinement dans les démarches de digitalisation des Achats Responsables pour la prévention des risques et la pérennité des relations clients-fournisseurs. Je me tiens en permanence à l’écoute des clients, du marché et des organismes de référence dans le cadre d’une veille continue sur un contexte règlementaire en pleine mouvance.

Profil linkedin
Ses autres articles
Temps de lecture
6 min
Nous suivre
L’actu de Provigis

Abonnez-vous à notre newsletter pour recevoir nos dernières actualités.

Découvrez des articles de blog

La manière la plus simple d'opérer vos diligences et contrôles de conformité