Adoptée en novembre 2022, la directive NIS2 reste encore en attente de transposition en droit luxembourgeois. Malgré tout, il est temps de préparer les acteurs du marché aux futurs changements législatifs en matière de cybersécurité, considère , directeur de l’Institut luxembourgeois de régulation (ILR). Il se réjouit d’ailleurs de l’intérêt porté par les médias à ce sujet, car «il est crucial d’informer les parties concernées le plus tôt possible pour leur permettre de se préparer en conséquence». 

Le délai de transposition est de 21 mois, explique Sheila Becker, head of network and information systems’ security à l’ILR, à compter de la date de publication du texte. S’il ne faut pas attendre de loi avant 2024, elle insiste, elle aussi, sur les préparatifs que doivent mettre en place les opérateurs économiques. «Cette approche pro­active permettra aux entreprises de se préparer en amont, assurant une meilleure conformité et une sécurité renforcée», anticipe-t-elle. 

À son tour, Luc Tapella ajoute que l’enjeu concerne un nombre croissant de petites entreprises qui font face à des cyberattaques ou des ransomwares. Ces entreprises peuvent être indirectement affectées, même si elles ont recours à des logiciels utilisés par une grande industrie. «Si une faille est trouvée, toutes les entreprises utilisant le même logiciel seront attaquées, peu importe leur taille», déclare le directeur de l’ILR. Plus aucune entreprise, indépendamment de sa taille, ne se trouve à l’abri. «Nous vivons dans un monde où tout le monde est vulnérable, que ce soit les acteurs importants qui offrent des services essentiels ou les petites entreprises.»

Identifier les acteurs

Depuis l’adoption de NIS1 en 2016, la digitalisation de l’économie s’est incontestablement accélérée. D’autres secteurs sont donc naturellement devenus, eux aussi, exposés aux risques cyber­nétiques. «Les secteurs couverts par NIS2 comprennent, entre autres, les télécoms, les fournisseurs de services digitaux, les services de courrier, le traitement des eaux usées, la valorisation des déchets et l’industrie manufacturière», indique Sheila Becker. Toutefois, elle précise qu’il n’existe pas encore d’estimation du nombre d’entreprises supplémentaires qui tomberont sous le coup de la loi par rapport à NIS1. 

Jusqu’à présent, les secteurs régulés par NIS1 étaient essentiellement les télécoms et l’énergie. «Nous avons une bonne connaissance de ces secteurs», mentionne Luc Tapella, qui salue «la collaboration étroite» entre l’ILR et les ministères, la Fedil, les Chambres des métiers et de commerce, en vue d’identifier les opérateurs qui seront concernés par NIS2. Afin que la mise en conformité avec NIS2 se déroule de façon efficace d’ici sa transposition dans le droit national, «nous allons prendre le temps de travailler avec les différents organismes pour mieux comprendre les marchés et informer leurs acteurs des nouvelles législations à venir», affirme Luc Tapella. Cela passe également par de la sensibilisation au sujet de la valeur ajoutée d’un budget alloué à la cybersécurité. 

Amener les acteurs à maturité

Si les compétences des dirigeants d’entreprise doivent monter en gamme, au risque de sanctions individuelles, les efforts de conscientisation de l’ILR en la matière ne sont pas neufs. Outre un exercice annuel de simulation d’attaques pendant deux ou trois jours, «nous avons déjà fourni des informations pour que les dirigeants puissent comprendre où se situe leur entreprise aujourd’hui et ainsi prendre les bonnes décisions», rapporte Luc Tapella. À cet égard, chaque CEO d’une entreprise luxembourgeoise régulée sous le régime de NIS1 a reçu un rapport personnalisé qui présente les résultats d’analyse de risque de son organisation, ainsi qu’une comparaison avec la moyenne du secteur. En effet, aussitôt le texte transposé au Luxem­bourg, ce sera alors aux chefs d’entreprise de réaliser une analyse de risque annuelle. «Avec la directive NIS2, la responsabilité des CEO en matière de cybersécurité est clairement établie, noir sur blanc», souligne Luc Tapella.

Si une faille est trouvée, toutes les entreprises utilisant le même logiciel seront attaquées, peu importe leur taille. 

Sheila Becker  , Head of network and information systems’ security  , Institut luxembourgeois de régulation (ILR)

Tout le travail d’éducation mené par l’ILR a notamment pour but de rendre les entreprises capables d’actionner les mécanismes de communication rapide en cas d’incident. «Déjà avec NIS1, nous avons mis en place une deadline de 24 heures pour nous notifier les incidents», précise Sheila Becker. Aucun rapport détaillé n’est pour autant nécessaire à ce stade-là. «L’idée est que nous puissions être au courant et vérifier si d’autres entreprises ou secteurs subissent les mêmes problèmes, et ainsi avertir les acteurs des marchés concernés, voire d’autres pays.» Avec NIS2, les entreprises auront un mois pour communiquer un rapport d’incident approfondi au régulateur après la première notification. 

Dora, la cyber-résilience du secteur financier

 Sous les multiples incitations des trois autorités européennes de supervision financière – les European Supervisory Authorities (ESA) –, la Commission européenne a proposé, en septembre 2020, un projet de règlement visant à encadrer la résilience opérationnelle des institutions financières, baptisé «Dora» (Digital Operational Resilience Act). Un texte qui s’inscrit dans le paquet de la finance digitale, ratifié par le Conseil européen et le Parlement en novembre 2022.

Publié au Journal officiel de l’UE le 27 décembre 2022, il entrera en application dans un délai de 24 mois. Étant le pendant de NIS2 pour le secteur financier, à la différence qu’il s’agit d’un règlement et non d’une directive, Dora a pour vocation de répondre, à son tour, à la révolution numérique, la complexité des systèmes et la multiplication de la taille et du volume des données traitées par les acteurs des services financiers. Tout particulièrement au sein du secteur bancaire, les systèmes d’information occupent plus que jamais une place centrale et stratégique, notamment en raison de l’usage croissant de la robotisation, de l’automatisation et, plus récemment, de l’intelligence artificielle. Autant de technologies qui rendent les institutions financières davantage exposées aux cyberattaques.

Dans l’attente que le règlement prenne vie, les entreprises européennes du secteur financier ont déjà pour obligation d’effectuer des analyses de leurs systèmes d’information en vue d’établir une feuille de route, qui servira de base à la mise en œuvre de leur cadre de résilience opérationnelle. Elles ont jusqu’au 17 janvier 2025 pour finaliser ce chantier. Au Luxembourg, l’ILR sera en charge de réguler les entreprises soumises à NIS2; ce sera la Commission de surveillance du secteur financier (CSSF) qui sera chargée de superviser la bonne mise en conformité des acteurs de la Place avec Dora.

Cependant, il ne sera pas surprenant qu’une même entité puisse être supervisée par les deux régulateurs en même temps. Pour illustrer ce cas de figure, Sheila Becker, head of network and information systems’ security à l’ILR, prend l’exemple de certains professionnels du secteur financier (PSF) de support qui fournissent des services au secteur financier tout en offrant d’autres services dans d’autres secteurs. «Un opérateur qui fournit de l’électricité et qui est en même temps PSF de support sera alors régulé par l’ILR pour la première activité et par la CSSF pour la seconde», clarifie-t-elle.

Cet article a été rédigé pour l’édition magazine de  parue le 26 avril 2023. Le contenu du magazine est produit en exclusivité pour le magazine. Il est publié sur le site pour contribuer aux archives complètes de Paperjam.  

. 

Votre entreprise est membre du Paperjam + Delano Business Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via