Le Règlement 2018 sur les Réseaux et Systèmes d'Information (Règlement NIS)
Le règlement sur les systèmes et réseaux d’information (Network and Information Systems Regulations ou Règlement NIS) 2018 est une législation britannique entrée en vigueur le 10 mai 2018. Le règlement vise à établir un haut niveau commun de sécurité des systèmes et réseaux d’information à travers tout le Royaume-Uni. Les règles NIS introduisent une nouvelle approche dans la façon dont les organisations gèrent le risque cybernétique, se concentrant sur les systèmes critiques pour la prestation de services essentiels et de services numériques.
Les règles NIS sont mises en oeuvre et contrôlées par des autorités compétentes, qui sont des organismes de régulation spécifiques associés à chaque secteur. Ces autorités sont chargées d’évaluer les mesures de sécurité de leurs secteurs respectifs et de conduire les améliorations nécessaires.
Qu’est-ce que sont les Règlements NIS 2018?
Le Règlement NIS 2018 découle de la directive de l’Union européenne sur la sécurité des réseaux et systèmes d’information, communément appelée Directive NIS. Le Royaume-Uni, membre de l’UE à l’époque, était obligé d’intégrer cette directive dans sa législation nationale et les Règlements NIS 2018 ont par conséquent été promulgués. La Directive NIS 2 a été promulguée en 2020.
Bien que le Royaume-Uni ait quitté l’UE, les règles NIS continuent de s’appliquer, reflétant l’engagement continu envers un haut niveau de cybersécurité au Royaume-Uni.
La structure des règles NIS
Les règlements NIS se composent de 35 réglementations subdivisées en six parties :
- Général
- Opérateurs de Services Essentiels
- Fournisseurs de Services Numériques
- Autorités Compétentes et Point de Contact Unique
- Sanctions
- Dispositions Finales
Chaque partie couvre un domaine spécifique des règles NIS, fournissant des détails sur les exigences, rôles et responsabilités, mise en application, et sanctions en cas de non-conformité.
Les règles NIS comprennent également plusieurs annexes qui élaborent davantage sur des aspects tels que les critères d’identification des Opérateurs de Services Essentiels, les avis d’application, les procédures d’appel, et plus encore.
Les règles NIS 2018 versus Directive NIS de l’Union Européenne : Similitudes et différences
Les règles NIS et la Directive NIS de l’EU partagent les mêmes objectifs et principes, axés sur l’amélioration de la cybersécurité à travers les services essentiels et les fournisseurs de services numériques. Cependant, il existe des différences en termes d’application et d’exécution, principalement en raison des considérations nationales spécifiques et du profil de risque du Royaume-Uni.
De plus, alors que la Directive NIS exige que les États membres désignent une seule autorité compétente pour surveiller l’application de la Directive, le Royaume-Uni, dans le cadre de ses règles NIS, a plusieurs autorités compétentes, chacune responsable d’un secteur spécifique.
Objectif des règlements NIS
L’objectif principal des règlements NIS est d’atteindre un haut niveau de sécurité des réseaux et des systèmes d’information au sein du Royaume-Uni. C’est essentiel car la dépendance aux systèmes d’information et aux services numériques a considérablement augmenté, faisant d’eux des cibles de choix pour les menaces cybernétiques. La mise en œuvre de mesures de sécurité rigoureuses peut par conséquent réduire de manière significative les risques associés à ces menaces.
Les règlements NIS visent également à établir un cadre permettant de promouvoir la coopération et le partage d’informations entre les États membres en cas d’incident cybernétique. Cette collaboration transfrontalière est essentielle pour garantir une réponse robuste et efficace aux menaces et aux attaques cybernétiques significatives.
Quelle est la portée des règlements NIS ?
Les règlements NIS s’appliquent à deux principaux types d’entités :
- Les opérateurs de services essentiels (OES)
- Les fournisseurs de services numériques (DSPs)
Les règlements reconnaissent que la définition précise de ce qui constitue un OES ou un DSP peut varier selon les secteurs. Par conséquent, l’autorité compétente identifie les entités de son secteur qui répondent aux critères fixés par les règlements.
Les opérateurs de services essentiels (OES) sont des organisations qui fournissent des services indispensables pour le maintien d’activités sociétales ou économiques critiques. Ces services doivent répondre aux critères de dépendance aux réseaux et systèmes d’information, d’impact entraînant des effets perturbateurs significatifs sur leur fourniture, et au fait que l’entité est établie au Royaume-Uni. Les exemples d’OES incluent des entités dans des secteurs tels que l’énergie, les transports, la santé, l’approvisionnement et la distribution d’eau potable, et l’infrastructure numérique.
Les fournisseurs de services numériques (DSPs) sont des entités fournissant des services numériques d’un type spécifique, comme les places de marché en ligne, les moteurs de recherche et les services d’informatique en nuage. Les DSPs sont tenus d’assurer un haut niveau de sécurité et de notifier les autorités compétentes de tout incident significatif. Les règlements accordent également aux autorités compétentes le pouvoir d’obtenir des informations et de donner des instructions aux DSPs pour assurer leur conformité.
Identification des opérateurs de services essentiels
Les règlements NIS exigent que les autorités compétentes identifient les opérateurs de services essentiels de leur secteur, en fonction d’un ensemble de critères. Ces critères prennent en compte des aspects tels que le type de service, l’impact potentiel d’un incident et le nombre d’utilisateurs affectés.
L’identification de ces opérateurs est continuellement revue pour s’assurer qu’elle continue de refléter les risques associés à chaque secteur.
Juridiction des règlements NIS
Les règlements NIS s’appliquent aux OES et DSPs qui ont leur siège social au Royaume-Uni ou désignent un représentant au Royaume-Uni si leur siège social est à l’extérieur du Royaume-Uni. Cependant, la nature mondiale des services numériques et l’impact potentiellement très étendu des incidents cybernétiques signifient que les règlements ont une dimension internationale intrinsèque.
À cet égard, les règlements NIS fournissent un cadre pour la coordination transfrontalière des réponses aux incidents cybernétiques significatifs, la promotion de la coopération et le partage d’informations entre les États membres.
Principales dispositions des règlements NIS 2018
Les règlements NIS 2018 visent à améliorer les capacités nationales de cybersécurité, à augmenter la coopération entre les États membres de l’UE et à sécuriser les réseaux et les systèmes d’information à travers le Royaume-Uni. Les principales dispositions des règlements comprennent :
Mesures opérationnelles et techniques
Les règlements NIS exigent que les OES et les DSPs mettent en œuvre des mesures opérationnelles et techniques appropriées et proportionnées pour gérer les risques pour leurs réseaux et systèmes d’information. Ces mesures doivent garantir la sécurité, l’intégrité, la continuité et la disponibilité de leurs services.
Des directives sur les détails de ces mesures sont fournies par les autorités compétentes pour s’adapter à la nature spécifique et aux risques associés à chaque secteur, y compris des mesures telles que des politiques de sécurité, la protection contre les accès non autorisés, les procédures de gestion des incidents, et les plans de continuité des activités.
Obligation de notification des violations de sécurité
Selon les règlements NIS, les OES et les DSPs ont le devoir de signaler tout incident ayant un impact significatif sur la continuité du service essentiel qu’ils fournissent. Les incidents doivent être signalés à l’autorité compétente sans délai injustifié et au plus tard 72 heures après avoir pris connaissance de l’incident.
La notification doit inclure une description de l’incident, de son impact, et des actions correctives prises ou prévues. L’objectif est de permettre aux autorités compétentes d’évaluer l’impact transfrontalier et de coordonner une réponse efficace.
Mécanismes de notification d’incidents
Les règlements NIS exigent la création de mécanismes de notification d’incidents efficaces par les autorités compétentes. Ces mécanismes devraient permettre aux OES et aux DSPs de respecter leurs obligations de notification d’incidents et de faciliter le partage d’informations sur les menaces et les incidents.
Ces mécanismes servent également d’outil pour sensibiliser aux risques de cybersécurité et promouvoir une culture de sécurité et de résilience parmi les OES et les DSPs.
Obligations en matière de gestion des risques
Les règlements NIS imposent une obligation aux OES et aux DSPs d’adopter des pratiques de gestion des risques. Ces pratiques devraient permettre l’identification, l’évaluation, et la gestion des risques pour les réseaux et les systèmes d’information qu’ils utilisent dans leurs opérations.
Ces pratiques comprennent des évaluations des risques exhaustives, la mise en œuvre de mesures appropriées pour atténuer les risques identifiés, et des tests et des évaluations régulières de l’efficacité de ces mesures.
Sanctions pour non-conformité
Le non-respect des réglementations NIS peut entraîner des sanctions importantes. Les autorités compétentes ont le pouvoir de délivrer des injonctions et des sanctions, avec des amendes pouvant aller jusqu’à 17 millions de livres sterling pour des incidents entraînant une menace immédiate pour la vie ou un impact significatif sur l’économie du Royaume-Uni.
Le montant de l’amende est déterminé par la nature, la gravité et la durée de la non-conformité, en tenant compte de facteurs tels que les dommages causés, l’impact sur les individus et la société dans son ensemble, et toute violation antérieure.
Le rôle des autorités compétentes dans le cadre des réglementations NIS
Selon les réglementations NIS, une autorité compétente est chargée de garantir et de surveiller l’exécution de la Directive NIS dans un secteur ou sous-secteur spécifique.
Désignation et responsabilités des autorités compétentes
Chaque secteur concerné par les réglementations NIS a une autorité compétente désignée responsable de la mise en œuvre et du contrôle des réglementations au sein de ce secteur.
Les responsabilités des autorités compétentes incluent la garantie que les OES et les FSN mettent en œuvre des mesures de sécurité appropriées et proportionnées, l’évaluation de l’efficacité de ces mesures, et le contrôle de la conformité si nécessaire.
Pouvoirs des autorités compétentes dans le cadre des réglementations NIS
Les autorités compétentes ont une gamme de pouvoirs sous les réglementations NIS pour assurer la conformité. Cela inclut le pouvoir de donner des instructions aux OES et aux FSN pour remédier à toute lacune, d’exiger des informations ou de mener des inspections, et d’imposer des sanctions pour non-conformité.
L’exercice de ces pouvoirs est soumis à des garanties procédurales, garantissant un équilibre entre le besoin de sécuriser les réseaux et les systèmes d’information et la protection des droits des entités réglementées.
Interactions entre les autorités compétentes et les entités réglementées
Les réglementations NIS visent à créer une approche collaborative de la cybersécurité entre les autorités compétentes et les entités réglementées. Les autorités compétentes fournissent des conseils et un soutien pour aider les OES et les FSN à comprendre leurs obligations et à mettre en place des mesures appropriées.
Il existe également une exigence de dialogue régulier, encourageant un échange ouvert d’informations sur les menaces, les incidents et les meilleures pratiques.
Exigences de conformité des réglementations NIS
Voici quelques-unes des exigences clés de conformité des réglementations NIS :
Audits de conformité dans le cadre des réglementations NIS
Les réglementations NIS autorisent les autorités compétentes à réaliser des audits pour évaluer la conformité. Celles-ci peuvent inclure des évaluations des pratiques de sécurité d’une entité, des processus de gestion des risques, des capacités de réponse aux incidents, et d’autres aspects de la sécurité de leurs réseaux et systèmes d’information. Les conclusions de ces audits peuvent entraîner des recommandations d’améliorations, ou dans les cas de graves lacunes, des actions d’exécution.
Conformité pour les opérateurs de services essentiels
Les opérateurs de services essentiels doivent se conformer à une série d’obligations en vertu des réglementations NIS. Celles-ci comprennent la mise en œuvre de mesures de sécurité appropriées et proportionnées, la conformité aux exigences de déclaration des incidents, la coopération avec l’autorité compétente, et si nécessaire, la réalisation d’audits et d’inspections. Les autorités compétentes fournissent des conseils et du soutien pour aider les OES à comprendre et à remplir leurs obligations.
Conformité pour les fournisseurs de services numériques
Les fournisseurs de services numériques sont également soumis aux exigences de conformité en vertu des réglementations NIS. Bien qu’ils aient plus de flexibilité dans le choix des mesures de sécurité, ils doivent garantir un haut niveau de sécurité de leurs réseaux et systèmes d’information. Cela inclut la conformité avec les exigences de déclaration des incidents et la coopération avec les autorités compétentes. Tout comme les OES, les autorités compétentes fournissent des conseils et du soutien pour aider les FSN à se conformer.
Meilleures pratiques pour assurer la conformité
Garantir la conformité avec les réglementations NIS implique de développer une compréhension complète des obligations, d’établir des mesures de sécurité et de gestion des risques efficaces, de promouvoir une culture de cybersécurité au sein de l’organisation, et de maintenir un dialogue régulier avec l’autorité compétente.
Adopter les meilleures pratiques, telles que l’alignement sur les normes internationales, des tests réguliers et la mise à jour des mesures, et le partage d’informations avec d’autres entités peuvent également contribuer de manière significative à la réalisation de la conformité.
Kiteworks aide les organisations à se conformer aux réglementations NIS 2018
Les réglementations NIS 2018 s’appliquent à tous les secteurs d’activité et exigent que les organisations prennent des mesures appropriées et proportionnées pour gérer les risques qui mettent en danger leurs réseaux et systèmes d’information.
Le réseau de contenu privé (PCN) de Kiteworks offre une plateforme sécurisée pour la transmission et le stockage de contenu sensible, garantissant que les organisations peuvent maintenir l’intégrité et la confidentialité de leurs systèmes d’information en conformité avec les réglementations NIS.
Kiteworks consolide les canaux de communication tiers, y compris les emails, le partage de fichiers, le transfert sécurisé de fichiers (MFT), les formulaires web, et SFTP, et les fait passer par une appliance virtuelle durcie qui réduit la surface d’attaque de ces applications autrement vulnérables. Kiteworks protège le contenu sensible qui est partagé sur ces canaux avec une variété de fonctionnalités de sécurité, y compris des options de déploiement sécurisées, des contrôles d’accès granulaires, un chiffrement automatisé de bout en bout, l’authentification multifactorielle, une visibilité sur toutes les activités de fichiers, et des journaux d’audit détaillés.
Ces fonctionnalités et d’autres permettent aux organisations de contrôler, de protéger et de suivre le contenu sensible qui entre et sort de l’organisation, en conformité avec de nombreuses lois nationales, régionales et sectorielles en matière de protection de la vie privée, telles que le California Consumer Privacy Act (CCPA), le règlement général sur la protection des données (RGPD), la loi sur la portabilité et l’assurance maladie (HIPAA), le cadre de protection des données UE-États-Unis, le Cyber Essentials Plus, la Directive NIS 2, et bien d’autres encore.
Programmez une démonstration personnalisée du réseau de contenu privé de Kiteworks aujourd’hui pour comprendre comment il protège les données NIS.