NIS2 et gestion des risques liés aux tiers

Non-respect du NIS2

L'UE a défini des domaines spécifiques de non-conformité avec le NIS2 qui pourraient donner lieu à des sanctions :

• Défaut de déclaration des incidents : Ne pas signaler les incidents de cybersécurité dans le délai initial de 24 heures et ne pas assurer le suivi dans les 72 heures.
• Gestion inadéquate des risques : Ne pas mettre en œuvre des mesures appropriées de gestion des risques, y compris la gestion des risques liés aux tiers.
• Non-coopération avec les autorités : Obstruction aux enquêtes, refus des audits ou rétention d'informations auprès des autorités de régulation.
• Mauvaises pratiques en matière de sécurité : Non-respect des mesures techniques et organisationnelles requises en matière de cybersécurité.

Sanctions en cas de non-respect du NIS2

Le NIS2 prévoit des sanctions importantes pour les organisations qui ne se conforment pas à ses exigences. Ces sanctions visent à garantir que les organisations prennent la cybersécurité au sérieux, en particulier dans les secteurs critiques et essentiels.

Types de sanctions

Amendes : Le non-respect du NIS2 peut entraîner des sanctions financières importantes, qui varient en fonction de la gravité de la violation et de la taille de l'organisation. Pour les infractions graves, les amendes sont généralement calculées en pourcentage du chiffre d'affaires annuel global de l'organisation, jusqu'à 10 millions d'euros ou 2 %, le montant le plus élevé étant retenu.

Sanctions administratives : Les régulateurs peuvent imposer d'autres sanctions, telles que des instructions contraignantes pour remédier aux lacunes, des injonctions de se conformer à des mesures de cybersécurité spécifiques ou, dans des cas extrêmes, la suspension des licences d'exploitation.

Les autorités prennent en compte plusieurs facteurs pour déterminer la sanction, notamment la nature et la gravité de l'infraction, l'intention ou la négligence, ou encore l'existence d'infractions antérieures. Des efforts avérés pour atténuer les risques, tels que la mise en œuvre de mesures correctives ou la coopération avec les autorités, peuvent réduire les sanctions.

Notamment, le NIS2 rend explicitement les cadres supérieurs responsables de la conformité. Le manque de surveillance ou la négligence au niveau de la direction peut entraîner une responsabilité personnelle, y compris des poursuites judiciaires potentielles.

Bien que chaque État membre de l'UE soit responsable de l'application du NIS2 dans sa juridiction, il existe une coopération transfrontalière entre les autorités nationales pour les entités opérant dans plusieurs États membres, ce qui garantit une application cohérente.

Pour éviter les sanctions, les organisations doivent procéder à des évaluations régulières des risques, impliquer leurs dirigeants et leur conseil d'administration, se préparer à l'établissement de rapports et former leur personnel aux bonnes pratiques en matière de cybersécurité.

Bonnes pratiques pour la gestion des risques des tiers dans le cadre de NIS2 Exigences clés

La directive NIS2 comprend des recommandations et des exigences spécifiques permettant aux organisations de gérer efficacement les risques liés aux tiers.

Établir des politiques de sécurité de la chaîne d'approvisionnement

Les organisations sont tenues d'établir des politiques globales qui traitent des aspects liés à la sécurité dans leurs relations avec les fournisseurs directs et les prestataires de services. Il s'agit notamment d'évaluer le niveau de sécurité des tiers et de s'assurer qu'ils respectent les normes de cybersécurité appropriées. Pour répondre à cette exigence, il convient d'élaborer un cadre global de gestion des risques liés aux tiers, portant sur les aspects suivants

• Identification et hiérarchisation des risques
• Évaluations et audits périodiques de la sécurité
• Politiques visant à garantir l'alignement des tiers sur les normes de cybersécurité de votre organisation

Dans ce cadre, proposez des formations et des ressources à vos tiers pour les aider à comprendre et à respecter les exigences de sécurité du NIS2. Encouragez la collaboration et le partage des connaissances sur les menaces émergentes et les meilleures pratiques.

Analyse et évaluation des risques

Les entités doivent faire preuve de diligence raisonnable et procéder à des analyses de risques approfondies afin d'identifier les vulnérabilités potentielles introduites par les tiers. Il s'agit d'évaluer la criticité des services tiers et leur impact potentiel sur les opérations de l'organisation. Évaluer la position du tiers en matière de cybersécurité, sa conformité aux normes du secteur et ses capacités de réponse aux incidents. Ensuite, classer les fournisseurs en fonction de leur criticité pour les opérations et de l'impact potentiel sur les risques.

Pour simplifier le processus, il convient de rechercher des solutions de gestion des risques des tiers (TPRM) qui automatisent et rationalisent les évaluations et établissent un référentiel centralisé pour les données des fournisseurs, y compris les notations de risque, le statut de conformité et les évaluations historiques.

Veiller à ce que les procédures de traitement et de signalement des incidents soient saines

Les organisations doivent disposer de procédures claires pour gérer les incidents impliquant des tiers. Il s'agit notamment de détecter les incidents, d'y répondre et de les signaler en temps utile aux autorités compétentes, en veillant à ce que les incidents impliquant des tiers soient traités avec la même rigueur que les incidents internes. Pour répondre à cette exigence, il convient d'établir un plan unifié de réponse aux incidents qui inclut la coordination avec les tiers. Ce plan doit impliquer

• Canaux de communication définis pour le signalement des incidents
• Procédures conjointes d'enquête et de résolution
• Examens post-incidents pour améliorer les pratiques de gestion des risques

Envisager une assurance sur le site cyber pour gérer les risques résiduels en cas d'incidents impliquant des tiers et évaluer si les polices d'assurance des tiers couvrent correctement les risques liés à la chaîne d'approvisionnement.

Contrôler et évaluer en permanence les tiers

Il est essentiel de surveiller en permanence les pratiques de sécurité des tiers. Les organisations doivent régulièrement évaluer l'efficacité de leurs mesures de gestion des risques liés aux tiers et les adapter si nécessaire pour faire face à l'évolution des menaces. Pour répondre à cette exigence, elles doivent mettre en place un contrôle permanent des activités des tiers, notamment :

• Évaluations régulières de la cybersécurité ou tests de pénétration
• Surveillance en temps réel des comportements anormaux
• Mise à jour de l'évaluation des risques en fonction des nouvelles menaces ou de l'évolution des activités du fournisseur

Faire respecter les obligations contractuelles

Inclure des exigences claires et applicables en matière de cybersécurité dans les contrats conclus avec des tiers. Les éléments clés peuvent être les suivants

• Clauses de conformité : Les fournisseurs doivent se conformer aux exigences de sécurité NIS2 applicables.
• Obligations de notification des incidents : Les fournisseurs doivent signaler rapidement les incidents de cybersécurité.
• Droits d'audit : Permettre des audits réguliers des pratiques de sécurité des tiers.
• Clauses de résiliation : Permettre la résiliation des contrats en cas de non-conformité ou de mauvais résultats en matière de sécurité.

Cela permet de s'assurer que les tiers sont contractuellement tenus de maintenir des mesures de sécurité appropriées et de signaler rapidement les incidents.

En intégrant ces pratiques dans la stratégie de gestion des risques liés aux tiers de votre organisation, vous pouvez garantir la conformité avec le NIS2 tout en minimisant les risques posés par les vendeurs et les fournisseurs externes.

Comment Mitratech peut aider à répondre aux exigences de la NIS2 en matière de gestion des risques liés aux tiers

Faisant partie de la plateforme de gestion des risques d'entreprise Mitratech, la solution Prevalent TPRM automatise l'évaluation, la surveillance et la gestion des risques liés aux tiers dans le cadre de votre programme plus large de cybersécurité et de gestion des risques d'entreprise. Avec la solutionPrevalent , votre équipe peut :

• Mettre en place un programme de gestion des risques de tiers de classe mondiale, soutenu par des experts, des politiques, des flux de travail et des rapports NIS2 dédiés.
• Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec des tiers afin de s'assurer que les exigences clés sont incluses, acceptées et appliquées.
• Évaluer le risque inhérent afin d'établir le profil, l'échelonnement et la catégorisation des tiers, et de déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
• Automatisez l'évaluation des risques et le processus de remédiation à chaque étape du cycle de vie des tiers grâce à une vaste bibliothèque de plus de 750 modèles de questionnaires adaptés à de multiples cadres de bonnes pratiques et à des conseils de remédiation intégrés.
• Suivre et analyser en permanence les menaces externes pesant sur les tiers en surveillant l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber et en intégrant ces informations pour valider les contrôles des fournisseurs de services tiers.
• Automatiser les capacités de réponse aux incidents afin de limiter les incidents de tiers avant qu'ils n'aient un impact sur l'entreprise.

Pour en savoir plus sur la façon dont Mitratech peut simplifier la conformité à la norme NIS2 en matière de gestion des risques des tiers, demandez une démonstration dès aujourd'hui.