NIS2 et gestion des risques liés aux tiers

Tirez parti de ces meilleures pratiques pour répondre aux exigences de la NIS2 en matière de gestion des risques pour les tiers.

Personnel de Mitratech
Personnel de Mitratech 3 décembre 2024 8 min de lecture
Decorative image

Consciente que les vulnérabilités au sein des chaînes d'approvisionnement peuvent compromettre la sécurité des services essentiels, l'Union européenne a adopté la directive sur la sécurité des réseaux et de l'information 2 (NIS2) en décembre 2022. Cette version mise à jour, mise en œuvre en 2016, oblige les organisations à mettre en place des mesures robustes pour gérer et atténuer les risques liés à leurs relations avec des tiers. La directive NIS2 est entrée en vigueur en octobre 2024.

Cet article examine les types d'organisations qui doivent se conformer à la directive NIS2, les sanctions en cas de non-conformité et la manière de répondre aux exigences spécifiques en matière de gestion des risques liés aux tiers mentionnées dans la directive NIS2.

Quels types d'organisations doivent se conformer à la directive NIS2 ?

La directive NIS2 s'applique à un large éventail d'organisations dans toute l'Union européenne, en particulier aux entités qui fournissent des services essentiels ou qui sont considérées comme importantes pour l'économie et la société.

Catégories d'entités dans l'UE

NIS2 distingue deux types d'entités : essentielles et importantes.

Les entités essentielles sont les organisations qui fournissent des services essentiels à la sécurité publique, à la sûreté ou à l'économie. Il s'agit par exemple des entreprises des secteurs suivants :

  • Énergie : fournisseurs d'électricité, de pétrole et de gaz
  • Transports : compagnies aériennes, chemins de fer, compagnies maritimes
  • Banque : établissements de crédit
  • Santé : hôpitaux, cliniques et prestataires de soins de santé
  • Infrastructure numérique : centres de données, fournisseurs de services cloud, réseaux de diffusion de contenu
  • Administration publique : autorités responsables des fonctions clés de l'État

Les entités essentielles sont soumises à des exigences plus strictes en vertu de la directive.

Les entités importantes jouent également un rôle essentiel, mais ne sont pas considérées comme aussi critiques que les entités essentielles. Elles sont soumises à une surveillance moins stricte, mais doivent tout de même se conformer à la directive NIS2. Voici quelques exemples de secteurs concernés :

  • Production et distribution alimentaires
  • Services postaux et de messagerie
  • Gestion des déchets
  • Produits chimiques
  • Fabrication de produits critiques (par exemple, produits pharmaceutiques)

En règle générale, la directive NIS2 s'applique aux organisations sur la base de critères spécifiques, tels que le secteur et le service (mentionnés ci-dessus), l'impact critique et la taille. Les entités de taille moyenne et les grandes entreprises (définies par l'UE comme ayant plus de 50 employés ou un chiffre d'affaires supérieur à 10 millions d'euros) sont automatiquement incluses. Cependant, les petites et micro-entreprises ne sont pas automatiquement couvertes, sauf si leurs services sont hautement critiques (par exemple, un petit fournisseur d'énergie dans une région isolée).

Entités situées en dehors de l'UE

La directive NIS2 peut également s'appliquer aux entreprises non européennes si elles fournissent des services à des clients dans l'UE ou exploitent des infrastructures critiques pour les États membres de l'UE. Ces entités doivent désigner un représentant au sein de l'UE afin de garantir le respect des obligations prévues par la directive NIS2.

Exemptions NIS2

La NIS2 ne s'applique pas à certaines fonctions liées à la sécurité nationale (par exemple, les opérations militaires), aux organismes chargés de l'application de la loi (dans certains cas) ou aux petites et micro-entreprises (sauf si elles sont essentielles, comme mentionné précédemment).

Comment NIS2 a évolué à partir de NIS

La NIS2 accorde une importance particulière à la sécurité des chaînes d'approvisionnement et aux relations avec les tiers. Les organisations doivent gérer de manière proactive les risques introduits par les tiers afin de garantir la conformité et de maintenir l'intégrité de leurs services. À cette fin, la NIS2 a introduit plusieurs mises à jour dans ses lignes directrices concernant le champ d'application, la responsabilité et les sanctions en cas de non-conformité.

Champ d'application élargi : la directive NIS2 étend son champ d'application à un plus large éventail de secteurs et de services, ce qui signifie que davantage d'organisations doivent mettre en œuvre des pratiques rigoureuses en matière de gestion des risques liés aux tiers.

Responsabilité accrue : La haute direction est tenue responsable de veiller au respect de la norme NIS2, y compris en supervisant la gestion des risques liés aux tiers. Cela souligne la nécessité d'impliquer les dirigeants dans les initiatives en matière de cybersécurité.

Sanctions potentielles : Le non-respect de la norme NIS2 peut entraîner des amendes substantielles et un contrôle réglementaire accru, ce qui souligne l'importance de se conformer aux exigences en matière de gestion des risques liés aux tiers.

Non-conformité à la directive NIS2

L'UE a défini des domaines spécifiques de non-conformité avec la directive NIS2 qui pourraient entraîner des sanctions :

  • Non-signalement des incidents : ne pas signaler les incidents de cybersécurité dans le délai initial de 24 heures et ne pas fournir de suivi dans les 72 heures.
  • Gestion des risques inadéquate : Ne pas mettre en œuvre des mesures adéquates de gestion des risques, y compris la gestion des risques liés aux tiers.
  • Non-coopération avec les autorités : entraver les enquêtes, refuser les audits ou dissimuler des informations aux autorités de réglementation.
  • Pratiques de sécurité insuffisantes : non-respect des mesures techniques et organisationnelles requises en matière de cybersécurité.

Sanctions en cas de non-conformité à la norme NIS2

La NIS2 prévoit des sanctions importantes pour les organisations qui ne se conforment pas à ses exigences. Ces sanctions visent à garantir que les organisations prennent la cybersécurité au sérieux, en particulier dans les secteurs critiques et essentiels.

Types de sanctions

Amendes : Le non-respect de la directive NIS2 peut entraîner des sanctions financières importantes, dont le montant varie en fonction de la gravité de l'infraction et de la taille de l'organisation. Pour les infractions graves, les amendes sont généralement calculées en pourcentage du chiffre d'affaires annuel mondial de l'organisation, jusqu'à 10 millions d'euros ou 2 %, le montant le plus élevé étant retenu.

Sanctions administratives : Les organismes de réglementation peuvent imposer d'autres sanctions, telles que la délivrance d'instructions contraignantes visant à remédier aux lacunes, l'obligation de se conformer à des mesures spécifiques en matière de cybersécurité ou, dans les cas extrêmes, la suspension des licences d'exploitation.

Les autorités prennent en compte plusieurs facteurs pour déterminer la sanction, notamment la nature et la gravité de l'infraction, l'intention ou la négligence, ou s'il y a eu des violations antérieures. Les efforts démontrés pour atténuer les risques, tels que la mise en œuvre de mesures correctives ou la coopération avec les autorités, peuvent réduire les sanctions.

Il convient de noter que la norme NIS2 tient explicitement les cadres supérieurs responsables du respect de la conformité. Tout manque de surveillance ou toute négligence au niveau de la direction peut entraîner une responsabilité personnelle, y compris d'éventuelles poursuites judiciaires.

Bien que chaque État membre de l'UE soit responsable de l'application de la directive NIS2 sur son territoire, une coopération transfrontalière entre les autorités nationales existe pour les entités opérant dans plusieurs États membres, ce qui garantit une application cohérente.

Pour éviter les sanctions, les organisations doivent procéder à des évaluations régulières des risques, impliquer leur direction et leur conseil d'administration, se préparer à la communication d'informations et former leur personnel aux bonnes pratiques en matière de cybersécurité.

Meilleures pratiques pour la gestion des risques liés aux tiers dans le cadre de la norme NIS2 Exigences clés

La directive NIS2 comprend des recommandations et des exigences spécifiques destinées aux organisations afin qu'elles gèrent efficacement les risques liés aux tiers.

Établir des politiques de sécurité de la chaîne d'approvisionnement

Les organisations sont tenues de mettre en place des politiques complètes qui traitent des aspects liés à la sécurité dans leurs relations avec leurs fournisseurs directs et leurs prestataires de services. Cela implique notamment d'évaluer le niveau de sécurité des tiers et de s'assurer qu'ils respectent les normes appropriées en matière de cybersécurité. Pour répondre à cette exigence, élaborez un cadre complet de gestion des risques liés aux tiers, qui traite des aspects suivants :

  • Identification et hiérarchisation des risques
  • Évaluations et audits périodiques de sécurité
  • Politiques visant à garantir la conformité des tiers aux normes de cybersécurité de votre organisation

Dans ce cadre, fournissez à vos tiers des formations et des ressources pour les aider à comprendre et à respecter les exigences de sécurité NIS2. Encouragez la collaboration et le partage des connaissances sur les menaces émergentes et les meilleures pratiques.

Réaliser une analyse et une évaluation des risques

Les entités doivent mener des analyses approfondies de diligence raisonnable et de risques afin d'identifier les vulnérabilités potentielles introduites par des tiers. Cela implique d'évaluer la criticité des services tiers et leur impact potentiel sur les opérations de l'organisation. Évaluez la posture de cybersécurité du tiers, sa conformité aux normes industrielles et ses capacités de réponse aux incidents. Classez ensuite les fournisseurs en fonction de leur criticité pour les opérations et de l'impact potentiel des risques.

Pour simplifier le processus, recherchez des solutions de gestion des risques tiers (TPRM) qui automatisent et rationalisent les évaluations et établissent un référentiel centralisé pour les données des fournisseurs, y compris les cotes de risque, le statut de conformité et les évaluations historiques.

Garantir des procédures efficaces de gestion et de signalement des incidents

Les organisations doivent disposer de procédures claires pour gérer les incidents impliquant des tiers. Cela inclut la détection, la réponse et le signalement rapides des incidents aux autorités compétentes, en veillant à ce que les incidents impliquant des tiers soient traités avec la même rigueur que les incidents internes. Pour répondre à cette exigence, établissez un plan d'intervention unifié en cas d'incident qui inclut la coordination avec les tiers. Cela doit inclure :

  • Canaux de communication définis pour signaler les incidents
  • Processus conjoints d'enquête et de résolution
  • Examens post-incident visant à améliorer les pratiques de gestion des risques

Envisagez de souscrire une cyberassurance pour gérer les risques résiduels liés aux incidents impliquant des tiers et évaluez si les polices d'assurance responsabilité civile couvrent de manière adéquate les risques liés à la chaîne d'approvisionnement.

Surveiller et évaluer en permanence les tiers

Il est essentiel de surveiller en permanence les pratiques de sécurité des tiers. Les organisations doivent évaluer régulièrement l'efficacité de leurs mesures de gestion des risques liés aux tiers et les adapter si nécessaire pour faire face à l'évolution des menaces. Pour répondre à cette exigence, mettez en place une surveillance continue des activités des tiers, notamment :

  • Évaluations régulières de la cybersécurité ou tests de pénétration
  • Surveillance en temps réel des comportements anormaux
  • Mises à jour des évaluations des risques en fonction des nouvelles menaces ou des changements dans les activités du fournisseur

Faire respecter les obligations contractuelles

Inclure des exigences claires et applicables en matière de cybersécurité dans les contrats conclus avec des tiers. Les éléments clés peuvent inclure :

  • Clauses de conformité : les fournisseurs doivent respecter les exigences de sécurité applicables de la norme NIS2.
  • Obligations de signalement des incidents : les fournisseurs doivent signaler rapidement les incidents liés à la cybersécurité.
  • Droits d'audit : permettre des audits réguliers des pratiques de sécurité des tiers.
  • Clauses de résiliation : permettent la résiliation des contrats en cas de non-conformité ou de mauvaises performances en matière de sécurité.

Cela garantit que les tiers sont contractuellement tenus de maintenir des mesures de sécurité appropriées et de signaler rapidement tout incident.

En intégrant ces pratiques à la stratégie de gestion des risques liés aux tiers de votre organisation, vous pouvez garantir la conformité avec la directive NIS2 tout en minimisant les risques posés par les fournisseurs et prestataires externes.

Comment Mitratech peut vous aider à répondre aux exigences de la directive NIS2 en matière de gestion des risques liés aux tiers

Intégrée à la plateforme Mitratech Enterprise Risk Management, la solution Prevalent TPRM automatise l'évaluation, la surveillance et la gestion des risques liés aux tiers, en coordination avec votre programme global de cybersécurité et de gestion des risques d'entreprise. Grâce à la solution Prevalent, votre équipe peut :

  • Élaborez un programme de gestion des risques tiers de classe mondiale, soutenu par des experts dédiés, des politiques, des workflows et des rapports NIS2 dédiés.
  • Centralisez la distribution, la discussion, la conservation et la révision des contrats tiers afin de garantir que les exigences clés sont incluses, acceptées et appliquées.
  • Évaluer le risque inhérent afin d'éclairer le profilage, la hiérarchisation et la catégorisation des tiers, et de déterminer la portée et la fréquence appropriées des activités de diligence raisonnable continues.
  • Automatisez le processus d'évaluation et de correction des risques à chaque étape du cycle de vie des tiers à l'aide d'une vaste bibliothèque de plus de 750 modèles de questionnaires adaptés à plusieurs cadres de bonnes pratiques et de conseils de correction intégrés.
  • Suivre et analyser en permanence les menaces externes pesant sur les tiers en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, et en intégrant ces informations pour valider les contrôles des prestataires de services tiers.
  • Automatisez les capacités de réponse aux incidents afin d'atténuer les incidents liés à des tiers avant qu'ils n'aient un impact sur l'activité.

Pour en savoir plus sur la manière dont Mitratech peut simplifier la conformité en matière de gestion des risques liés aux tiers NIS2, demandez une démonstration dès aujourd'hui.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.