NIS2 et DORA : Deux Directives Européennes Indispensables pour la Cybersécurité à l’Ère Numérique

Le paysage numérique actuel est en constante évolution, apportant son lot d’innovations mais aussi de menaces cybernétiques de plus en plus sophistiquées. En réponse à ces défis, l’Union Européenne a mis en place deux directives majeures : NIS2 (Network and Information Systems Directive 2) et le Digital Operational Resilience Act (DORA). Ces réglementations visent à renforcer la résilience numérique et la cybersécurité à travers divers secteurs critiques, transformant ainsi la manière dont les entreprises et les professionnels abordent la sécurité de leurs systèmes d’information.

La Directive NIS2 : Un Impératif Stratégique pour la Résilience en Cybersécurité

La directive NIS2 (UE 2022/2555), entrée en vigueur en janvier 2023 et effective depuis octobre 2024, marque un tournant décisif dans la gouvernance des risques numériques dans les secteurs critiques. Elle étend considérablement le champ d’application de la directive NIS originale, introduisant des exigences plus strictes et des mécanismes d’application renforcés.

Qui est concerné par NIS2 ? NIS2 s’applique à un large éventail de secteurs jugés critiques pour la stabilité nationale et économique. Ces entités sont classées en deux catégories : “essentielles” et “importantes”. Pour le secteur automobile, cela inclut les fabricants de véhicules et les équipementiers (essentiels), ainsi que les fournisseurs de pièces et de services (importants, sous certaines conditions de taille et de secteur). Plus largement, la directive couvre:

• L’énergie
• La santé
• Les transports
• Les infrastructures numériques
• La banque et la finance (également couvertes par DORA)
• L’administration publique
• La fabrication
• Les services postaux et de messagerie
• La gestion des déchets
• L’approvisionnement en eau et les eaux usées
• Les fournisseurs de services numériques (par exemple, les services cloud)
• Les produits et services TIC
• La recherche
• L’espace

Un aspect particulièrement marquant de NIS2 est son accent sur la chaîne d’approvisionnement. La directive n’est pas seulement ciblée sur les fabricants d’équipement d’origine (OEM) ; elle impose des obligations directes et indirectes à tous les niveaux de l’écosystème de la chaîne d’approvisionnement, des fournisseurs de rang 1 à 3 et au-delà.

Quelles sont les obligations clés sous NIS2 ? Les entreprises couvertes par NIS2 doivent mettre en œuvre des mesures techniques et organisationnelles appropriées, notamment:

• Gestion des risques cybernétiques et gouvernance : Mise en place de politiques, de formations et de responsabilisation au niveau du conseil d’administration.
• Sécurité de la chaîne d’approvisionnement : Évaluation et gestion des risques de cybersécurité posés par les fournisseurs et prestataires de services.
• Signalement des incidents : Les incidents de sécurité doivent être signalés aux autorités nationales dans les 24 heures suivant leur prise de connaissance.
• Planification de la continuité des activités et de la reprise : Établissement de stratégies documentées pour la résilience opérationnelle en cas de perturbation.
• Responsabilité exécutive : Les administrateurs d’entreprise peuvent être tenus personnellement responsables en cas de non-conformité, avec des sanctions et des mesures correctives obligatoires possibles.

De plus, NIS2 exige l’adoption des principes de “Secure by Design” et de “Privacy by Design (PbD)”. Le PbD, introduit dans les années 1990 par le Dr Ann Cavoukian, est un cadre proactif qui intègre la protection des données et la sécurité dans le tissu même des systèmes technologiques et des processus métier, dès la phase de conception. Cela signifie que la confidentialité et la sécurité ne sont pas des ajouts ultérieurs, mais des éléments fondamentaux intégrés par défaut.

Conséquences de la non-conformité : Pour de nombreux fournisseurs, ne pas respecter ces nouvelles normes signifie risquer l’exclusion du marché. Les équipementiers, tenus de faire preuve de diligence raisonnable envers leurs fournisseurs, exigeront des preuves de conformité. Les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial. La maturité en cybersécurité est donc devenue une exigence commerciale, et non plus un simple facteur de différenciation.

DORA : Une Nouvelle Doctrine pour la Résilience Numérique du Secteur Financier

Le Digital Operational Resilience Act (DORA), en vigueur depuis janvier 2025, est une réglementation essentielle pour le secteur financier européen. Son objectif est de garantir que les institutions financières puissent résister, réagir et se remettre des perturbations liées aux technologies de l’information.

Qui est concerné par DORA ? DORA s’applique principalement aux institutions financières (banques, assurances, fonds d’investissement, etc.), mais également aux entreprises informatiques et à de nombreux autres fournisseurs de services TIC opérant dans ce secteur.

Les cinq piliers de DORA : DORA repose sur cinq piliers fondamentaux pour la résilience opérationnelle:

1. Gestion des risques TIC
2. Signalement des incidents majeurs
3. Tests de résilience
4. Surveillance des fournisseurs tiers critiques
5. Partage d’informations

Le signalement des incidents sous DORA : DORA établit des délais stricts pour le signalement des incidents TIC matériels:

• Notification initiale : Dans les 4 heures suivant la prise de connaissance de l’incident.
• Rapport intermédiaire : Au plus tard dans les 3 jours ouvrables.
• Rapport final : Au plus tard 1 mois après la notification initiale.

Ces délais nécessitent une coordination parfaite entre les équipes SOC (Security Operations Center), juridiques et de conformité.

Impact des menaces cybernétiques intelligentes : DORA arrive à un moment critique où les cyberattaques sont de plus en plus sophistiquées, souvent orchestrées par l’intelligence artificielle (IA). Elles sont automatisées, s’auto-adaptent, et peuvent être presque invisibles pour les défenses traditionnelles. DORA exige donc une approche proactive, anticipatoire et intégrée pour faire face à ces attaques systémiques. Cela inclut l’intégration de l’IA dans la chaîne défensive pour détecter les anomalies, simuler des scénarios d’attaque et automatiser les rapports d’incidents.

Impact sur les Entreprises et les Individus (Leurs Métiers)

Les directives NIS2 et DORA sont bien plus que de simples listes de conformité ; elles représentent une transformation profonde dans la gestion de la cybersécurité et de la résilience numérique.

Pour les entreprises :

• Investissement stratégique : La cybersécurité doit être vue comme un facteur stratégique essentiel pour la fidélisation des clients, l’accès au marché et la résilience à long terme, et non comme une simple dépense réglementaire.
• Maturité requise : Les entreprises doivent nommer un responsable cybersécurité, effectuer des évaluations des risques, aligner leurs politiques avec des normes reconnues (comme ISO/IEC 27001, ISO 31000, ISO 22301, ISO/IEC 42001 pour l’IA) et documenter leurs capacités de réponse aux incidents.
• Gouvernance intégrée : Une approche unifiée de la gouvernance des risques, intégrant la sécurité de l’information, la gestion des risques et la continuité des activités, est cruciale pour une résilience opérationnelle globale.
• Coopération avec les tiers : Les entreprises doivent renforcer leurs relations contractuelles avec les fournisseurs critiques, incluant des tests conjoints et le partage de métriques de robustesse.
• Avantage concurrentiel : Les “early adopters” qui priorisent la confidentialité et la sécurité gagnent une réputation de fiabilité et d’innovation, attirant clients et partenaires.

Pour les individus et leurs métiers :

• Demande accrue de professionnels de la cybersécurité : Le secteur fait face à une pénurie significative de compétences. Des rôles comme analyste SOC, analyste GRC, analyste de sécurité informatique, ou CISO (Chief Information Security Officer) sont en forte demande.
• Responsabilité accrue des dirigeants : Les cadres dirigeants et les membres du conseil d’administration ont une responsabilité directe dans la gestion des risques cybernétiques et la conformité. Ils doivent avoir une visibilité et une supervision claires des risques cybernétiques.
• Nécessité d’une alphabétisation à l’IA (AI Literacy) : Avec l’adoption croissante de l’IA, notamment dans les systèmes d’IA à haut risque, la directive européenne sur l’IA (EU AI Act) exige des programmes d’alphabétisation à l’IA pour le personnel concerné. Cela est crucial pour comprendre le fonctionnement de l’IA, évaluer ses applications, interpréter ses résultats et superviser son déploiement de manière responsable.
• Évolution des rôles existants : Les avocats spécialisés en cybersécurité doivent combiner une expertise juridique approfondie avec une compréhension des technologies modernes et du monde numérique, en s’adaptant rapidement aux nouvelles exigences législatives. Les équipes SOC doivent être formées pour identifier et classer les incidents selon les critères réglementaires de DORA.
• Déplacement et création d’emplois : L’IA déplacera certains emplois répétitifs, mais en créera de nouveaux dans la supervision de l’IA, l’ingénierie des “prompts”, la gestion des données et l’éthique. Le développement des compétences et l’adaptation des stratégies de main-d’œuvre sont essentiels.

Conclusion

NIS2 et DORA sont des catalyseurs puissants pour la professionnalisation de la cybersécurité en Europe. La conformité n’est pas une fin en soi, mais une fondation. La véritable résilience est une question d’état d’esprit : la capacité d’une organisation à absorber, s’adapter, apprendre et pivoter face aux perturbations. Pour les entreprises, cela implique des investissements stratégiques et une gouvernance robuste. Pour les professionnels, cela signifie une opportunité de carrière majeure et la nécessité d’un apprentissage continu pour naviguer dans ce paysage numérique complexe et en constante évolution.

Cet article est extrait, traduit et résumé du Magazine n°51 (avril-juin 2025) édité par PECB, un organisme axé sur la formation, la certification et l’expertise dans les domaines de la gouvernance, des risques, de la conformité (GRC), de la cybersécurité, de la sécurité de l’information, de la continuité des activités et de l’intelligence artificielle (IA).

PECB a conçu des programmes de formation et certifications dédiés NIS2, délivrés via son réseau de partenaires agréés comme Learneo.