A quelques jours de la transposition de la Directive NIS 2, la Commission supérieure du numérique et des postes (CSNP) recommande dans un avis 32 mesures pour faciliter l’accompagnement des plus de 15 000 entités qui y seront soumises. En voici les principales.
“Actuellement, une majorité des nouvelles entités concernées n’ont pas conscience des mesures à venir et des critères qu’elles devront analyser elles-mêmes pour déterminer leur conformité” préviennent Damien Michallet, sénateur de l’Isère,président de la CSNP et Anne Le Hénanff, députée du Morbihan, rapporteure de l’avis.
Contrairement à la Directive NIS 1, où l’ANSSI désignait les entités régulées, les nouvelles entités doivent désormais s’ auto-évaluer et définir leur propre conformité. De nombreuses entreprises et collectivités locales sont dans l’incertitude quant aux démarches à entreprendre et savoir si elles doivent s’enregistrer auprès de l’ANSSI ou non. La Commission demande la mise en place d’une campagne de communication nationale pour informer des mesures à prendre et que l’ANSSI désigne directement les entités concernées.
Un délai de 3 ans pour la mise en conformité
Si la directive NIS 2 impose des mesures immédiates, la mise en conformité des nouveaux acteurs sera longue. “Il ressort des auditions qu’un alignement sur le délai de mise en œuvre du RGPD, à savoir un délai de 3 ans, apparait comme une option à privilégier car il prendrait en compte le principe de réalité opérationnelle. La définition d’une feuille de route avec un rétroplanning pour la mise en conformité pourrait sensiblement aider les entités à relever leur niveau de cybersécurité. Il sera sans doute nécessaire d’établir des étapes intermédiaires avec des délais spécifiques, en fonction de la nature et des moyens dont disposent les différentes catégories d’entités régulées, pour la mise en place des mesures de sécurité“. L’ANSSI, dans son étude d’impact, a par ailleurs déjà souligné l’importance de ce délai, nécessaire pour les efforts d’investissement, de montée en compétence et de compréhension des exigences.
La responsabilité de la sous-traitance
Un autre point important est levé : l’obligation d’assurer la sécurité des systèmes dans le cadre de la sous-traitance, inquiète de nombreuses entités. La révision des contrats de sous-traitance devra inclure des clauses spécifiques de conformité NIS 2. La Commission recommande une clarification des obligations respectives de chaque acteur dans la chaîne, en fonction de la nature des données protégées et à protéger.
Autre recommandation importante : la création d’une commission indépendante des sanctions “permettra de pérenniser la confiance des entités en l’ANSSI. Si cette
dernière devait se doter du pouvoir de sanction, il aurait été à craindre que certaines entités puissent être frileuses à l’idée de faire part à l’ANSSI de certaines failles de cybersécurité“.
Par ailleurs, la CSNP abonde dans le sens de l’ANSSI qui ne souhaite pas voir les collectivités territoriales être soumises à des sanctions en cas de non-conformité. “L’accompagnement des collectivités dans la mise en conformité sera un véritable enjeu de l’application de cette directive“.
Enfin, compte tenu des délais de mise en conformité pour l’ensemble des entités concernées, la Commission demande “une certaine souplesse dans l’appréciation des infractions aux obligations jusqu’au 31 décembre 2027“.