Le projet de loi sur la cybersécurité et la résilience (CSRB) poursuit son cheminement parlementaire. Mais la fin de ce long processus législatif se profile peu à peu. Une fois adopté, ce texte apportera une mise à jour attendue depuis longtemps du règlement NIS de 2018. Qu'en est-il des organisations britanniques déjà conformes à la refonte européenne de ces mêmes règles, connue sous le nom de NIS2 ?

Malgré certaines tentatives d'harmonisation, de nombreux points de divergence subsistent. Du nombre de secteurs concernés au montant des amendes potentielles, les équipes de conformité doivent dès à présent appréhender l'impact de ces changements et se préparer à une charge de travail supplémentaire potentiellement importante.

En quoi le CSRB diffère-t-il du NIS2 ?

Pour comprendre à quel point le CSRB diverge du NIS2, jetez un œil au résumé de la facture Le site web du gouvernement ne mentionne pas son homologue européen. Le terme « alignement » n’y figure pas non plus. Concrètement, les équipes de conformité doivent examiner plusieurs aspects :

Entités réglementées : portée

Le Royaume-Uni se concentre sur les opérateurs de services essentiels (OES), les fournisseurs de services numériques pertinents (RDSP) – à savoir les fournisseurs de services cloud, de recherche et de places de marché – et une nouvelle catégorie de fournisseurs de services gérés pertinents (RMSP). Son approche consiste à désigner des OES spécifiques, tandis que la réglementation NIS2 englobe automatiquement toutes les moyennes et grandes entreprises de 18 secteurs. De ce fait, certaines organisations relevant du champ d'application du CSRB échapperont à la réglementation NIS2, et inversement.

Entités réglementées : nouvelles catégories

Le CSRB introduit une seule nouvelle catégorie OES, celle des « services de centres de données », tandis que la réglementation NIS2 en inclut plusieurs : administration publique, secteur spatial, traitement des eaux usées, agroalimentaire, industrie manufacturière, services postaux, gestion des déchets et fournisseurs de services numériques. De ce fait, il est plus probable que les organisations britanniques non réglementées par le CSRB relèvent de la réglementation NIS2.

MSP :

Les RMSP sont introduites comme une nouvelle catégorie dans le CSRB et sont considérées comme des entités essentielles ou importantes par NIS2. Cependant, les exigences de conformité peuvent varier selon le régime.

Surveillance de la chaîne d’approvisionnement :

Au Royaume-Uni, les « fournisseurs critiques » des OES, RDSP et RMSP peuvent être désignés par les autorités compétentes et le Bureau du commissaire à l'information (ICO) et font l'objet d'un contrôle direct. Dans le cadre de la NIS2, il n'existe pas de contrôle réglementaire direct, mais toutes les entités concernées doivent évaluer les risques liés à leur chaîne d'approvisionnement.

Définitions et signalement des incidents :

La définition d'un incident réglementé par le CSRB a été élargie pour inclure les événements « susceptibles d'avoir un impact significatif sur la fourniture d'un service essentiel ou numérique », ainsi que les « incidents qui affectent significativement la confidentialité, la disponibilité et l'intégrité d'un système ». L'importance sera évaluée secteur par secteur. Dans le cadre de la norme NIS2, les incidents sont ceux qui entraînent une perturbation opérationnelle, une perte financière ou un dommage matériel ou immatériel pour autrui. Par conséquent, le seuil de déclaration peut différer entre le Royaume-Uni et l'UE.

Cependant, les délais de signalement – ​​signalement initial dans les 24 heures suivant la prise de connaissance d'un incident, puis notification complète dans les 72 heures – sont globalement les mêmes au Royaume-Uni et dans l'UE.

Notification au client :

Cette obligation s'applique aux fournisseurs de services de centres de données, aux fournisseurs de services d'accès distant (RDSP) et aux fournisseurs de services de gestion de comptes (RMSP) au Royaume-Uni. Toutefois, des exigences supplémentaires peuvent s'appliquer en vertu de la directive NIS2, selon l'interprétation que chaque État membre en fait.

Responsabilité personelle:

Ce point n'est pas abordé dans le CSRB, mais la norme NIS2 instaure une responsabilité personnelle accrue pour les cadres supérieurs. Cela inclut une formation obligatoire pour les managers et une responsabilité personnelle en cas de non-conformité. Les organisations britanniques qui se conforment à la norme NIS2 devront prendre en compte les exigences de gouvernance plus détaillées du régime européen.

Pénalités:

Au sein du CSRB, les sanctions standard s'élèvent au montant le plus élevé entre 10 millions de livres sterling et 2 % du chiffre d'affaires annuel mondial, mais peuvent atteindre 17 millions de livres sterling ou 4 % pour les sanctions maximales. La NIS2 laisse aux États membres la latitude de les fixer, à condition qu'elles soient « efficaces, proportionnées et dissuasives ».

Enregistrement:

En vertu du CSRB, les fournisseurs de services de gestion des risques (RMSP) et les fournisseurs de centres de données désignés comme OES doivent s'enregistrer. Dans le cadre de la NIS2, les entités essentielles et importantes doivent s'enregistrer auprès des autorités compétentes, mais les États membres définissent les modalités d'enregistrement. En définitive, les organisations britanniques devront évaluer séparément leurs obligations au titre de ces deux réglementations.

Approche générale :

Le CSRB confère de nouveaux pouvoirs importants de collecte d'informations aux autorités compétentes et à l'ICO, quel que soit le type d'organisation réglementée. La NIS2 permet aux entités importantes de bénéficier d'un traitement allégé.

Toutefois, dans l'ensemble, le CSRB est conçu pour être plus flexible que son équivalent européen, explique James Wong, collaborateur principal au sein de l'équipe Tech & Digital du cabinet d'avocats international Clifford Chance.

« Le gouvernement pourra définir des priorités stratégiques et des orientations ciblées, et les organismes de réglementation pourront désigner des entités comme "fournisseurs critiques", les intégrant ainsi directement au champ d'application du régime », explique-t-il à IO (anciennement ISMS.online). « Le projet de loi prévoit également un mécanisme de codes de bonnes pratiques, permettant des adaptations contextuelles. »

Le fardeau de la conformité s'alourdit

Wong soutient que la complexité des « lois locales d’application », de la législation secondaire et la nécessité potentielle de collaborer avec plusieurs organismes de réglementation rendent la conformité plus difficile pour les organisations relevant à la fois de NIS2 et du CSRB.

Rhiannon Webster, responsable de la cybersécurité au Royaume-Uni au sein du cabinet d'avocats international Ashurst, ajoute que le Brexit commence à avoir un impact réel sur les obligations de conformité des entreprises britanniques opérant en Europe, avec ce projet de loi et la loi sur l'utilisation et l'accès aux données.

« Il aura fallu du temps, car jusqu'à présent, les lois britanniques sur la protection de la vie privée et la cybersécurité étaient une simple copie de celles de l'UE. Cependant, de petits changements significatifs sont en cours », explique-t-elle à IO.

« Bien que les entreprises puissent chercher à se conformer aux deux régimes de manière uniforme en appliquant la norme la plus élevée au Royaume-Uni et en Europe, il est peu probable que cette approche soit commercialement viable et les entreprises devront tenir compte des différences entre les régimes lors de l'adoption de programmes de conformité et de l'évaluation des risques. »

Démarrer

Webster exhorte les organisations à déterminer au préalable si elles sont concernées par la réglementation NIS2 et son équivalent britannique.

« Vous serez peut-être surpris d’apprendre qu’en cas d’incidents de sécurité et de respect des délais de déclaration, nous avons souvent des clients qui ne savent pas s’ils sont concernés par NIS2 et qui essaient de le déterminer une fois la violation de données survenue, ce qui est loin d’être idéal », explique-t-elle.

« La conformité à des normes telles que l’ISO 27001 peut être utilisée pour garantir que vos exigences en matière de sécurité de l’information sont proportionnées. ». »

Wong de Clifford Chance explique qu'un « programme unifié de préparation à la cybersécurité, aligné sur toutes les exigences légales et réglementaires pertinentes », devrait être l'objectif principal des équipes de conformité.

« Le recours à des référentiels établis comme l’ISO 27001 permet de simplifier la mise en conformité et de faciliter la démonstration des pratiques essentielles dans plusieurs juridictions. Ces référentiels offrent une structure de base, mais ne constituent qu’un point de départ et doivent être adaptés aux obligations locales », ajoute-t-il. « Des revues régulières garantissent la pertinence du programme face à l’évolution des exigences. »

Pour les opérations commerciales complexes qui s'étendent sur plusieurs juridictions, les meilleures pratiques prennent une importance accrue, affirme Wong. Il souligne l'importance d'un leadership proactif, de la priorisation des risques et des contrôles, d'exercices de simulation réguliers, de relations solides avec la chaîne d'approvisionnement et de la mise en place d'outils adaptés.

Quel que soit l'angle d'approche, le coût des opérations au Royaume-Uni et dans l'UE est voué à augmenter.

Élargissez vos connaissances

Webinaire (anglais seulement): Maîtriser la conformité NIS 2 à la norme ISO 27001

Blog: De NIS2 à la loi sur la cyber-résilience : l’aspect « produit » de la gouvernance

Blog: Construire une fois, se conformer partout : le guide de conformité multi-cadres