La sécurité des systèmes d’information et la protection des infrastructures critiques sont devenues des priorités pour l’UE. L’arrivée de deux réglementations européennes majeures en témoigne: le règlement sur la résilience opérationnelle numérique (Dora) et la directive sur la sécurité des réseaux et des systèmes d’information (Nis2). D’autres textes, à commencer par l’AI Act, s’inscrivent plus largement dans cette tendance.
«Dora et Nis2 sont les deux faces d’une même médaille: ils visent la sécurisation de notre société de l’information», résume le consultant . «Nous vivons dans un monde où toutes les industries, qu’il s’agisse de l’énergie, de la santé ou des infrastructures, reposent de manière essentielle sur l’informatique. Cette dépendance rend la continuité numérique indispensable.»
«Dora et Nis2, c’est un peu comme Brett Sinclair et Danny Wilde dans la série ‘Amicalement vôtre’: ils sont un peu similaires, mais complètement différents», image le responsable de la sécurité des systèmes d’information (Ciso) de la Bil, Nicolas Remarck. Les principales différences ont trait aux acteurs concernés, à leurs obligations et à la nature juridique de ces textes.
1. Acteurs concernés
Si Dora et Nis2 visent une même finalité, leurs cibles et leurs cadres diffèrent. Alors que Dora s’applique strictement aux institutions financières, les directives Nis couvrent un spectre plus large, incluant les infrastructures critiques. «Nis2 touche des secteurs clés pour le bon fonctionnement de nos sociétés, allant des hôpitaux aux opérateurs de réseaux en passant par les gestionnaires de domaines internet et même les systèmes de traitement des eaux usées», relève Nicolas Remarck. «En France, par exemple, des acteurs comme Rungis (le plus grand marché alimentaire) sont concernés par les obligations de Nis2.»
En outre, ajoute David Hagen, «Dora s’applique également aux petites entités du secteur financier, contrairement à Nis, qui exclut généralement les petites entreprises, sauf si elles jouent un rôle clé dans des secteurs critiques».
Nis2 cible principalement les infrastructures critiques pour protéger la sûreté des citoyens.
Nis2 répond ainsi à une préoccupation majeure: l’impact des défaillances informatiques sur la sécurité publique. «Nis2 cible principalement les infrastructures critiques pour protéger la sûreté des citoyens. Une perturbation dans ces secteurs pourrait en effet affecter directement la vie quotidienne des personnes», souligne l’ancien responsable de la surveillance de l’informatique du secteur financier et des PSF de support à la CSSF.
De son côté, Dora se concentre exclusivement sur la résilience des institutions financières, afin d’éviter des crises résultant de chocs systémiques informatiques. «Une panne de données ou une incapacité de restaurer des systèmes financiers pourrait facilement provoquer une crise de liquidité pour une banque, entraînant une crise financière potentielle.»
Il existe une exclusion mutuelle entre les deux réglementations: une entité soumise à Dora n’est pas concernée par Nis2, et vice versa. Toutefois, «il y a des exceptions pour certains acteurs ayant une double casquette, comme les chambres de compensation», observe Nicolas Remarck. Il prend l’exemple de Clearstream, qui doit être conforme à la fois à Dora et à Nis2 en raison de la nature hybride de ses activités.
2. Obligations spécifiques
Dora et Nis2 visent tous deux à protéger contre les menaces cyber et les risques numériques, mais la manière d’y parvenir diffère. Là où Dora édicte des exigences techniques détaillées, Nis2 reste généraliste dans son approche, en imposant des obligations de vigilance et de notification des incidents.
Dans le détail, «Nis2 impose aux entités couvertes de divulguer leurs vulnérabilités, une obligation que l’on ne retrouve pas dans Dora», explique Nicolas Remarck. De plus, Nis2 met en avant des pratiques comme le Secure Development Lifecycle, qui impose aux développeurs de suivre des normes de sécurité dans la création de code. «C’est concrètement faire attention au code qu’on produit. Dora, en revanche, ne contient pas d’exigence explicite sur ce point, bien que l’esprit de la réglementation s’en inspire», précise le Ciso de la Bil.
En imposant une certaine transparence sur les vulnérabilités, Nis2 marque pour lui un tournant majeur dans la culture de cybersécurité européenne. «Aujourd’hui, les entreprises sont souvent dans une posture réactive, attendant qu’une vulnérabilité soit découverte pour commencer à la corriger. Avec Nis2, cette attitude devra évoluer vers une gestion proactive des risques, ce qui améliorera grandement la cybersécurité en Europe.»
3. Nature juridique
Si Nis2 semble aujourd’hui moins présente que Dora dans le débat public, c’est probablement en raison de leur nature juridique. Dora est un règlement, ce qui signifie qu’il s’applique directement et uniformément dans l’ensemble de l’UE, sans nécessiter de modifications locales. À l’inverse, Nis2 est une directive, ce qui signifie qu’elle doit être transposée dans la législation nationale – un processus plus lourd et plus long.
Ce processus de transposition peut donner lieu à des retards et des disparités entre les pays. Ce qui peut engendrer des délais, voire des cafouillages. La date butoir pour la transposition de Nis2 dans le droit national était fixée au 17 octobre. Or, le Luxembourg n’a pas encore finalisé le processus et le texte est toujours en discussion au Parlement. Toutefois, le Grand-Duché n’est pas un cas isolé. «La France, par exemple, a déposé son projet de loi de transposition seulement deux jours avant l’échéance», indique Nicolas Remarck.
La mise en œuvre de Dora pourrait elle aussi prendre du retard en raison d’un (ESA). La Commission souhaite introduire un identifiant unique européen (EUID), ce qui, selon les ESA, complexifie l’identification des prestataires ICT tiers et alourdit la charge administrative pour les entités financières. Ce différend pourrait retarder le déploiement de Dora, dont l’entrée en vigueur complète est prévue le 17 janvier 2025.