Qui devrait lire ceci: les membres du conseil d’administration, les cadres supérieurs, les directeurs juridiques, les secrétaires d’entreprise et tous ceux qui conçoivent une gouvernance d’entreprise conforme à la norme NIS2.
Pendant des décennies, les conseils d’administration ont traité la cybersécurité comme une question technique, déléguée au service informatique. La sécurité était une ligne budgétaire et non un point de l’ordre du jour du conseil d’administration. NIS2 change cela fondamentalement.
L’article 20 de la directive place la gouvernance de la cybersécurité au niveau du conseil d’administration. Elle exige que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité, supervisent leur mise en œuvre et puissent être tenus personnellement responsables des violations. Ce n’est pas facultatif. Elle n’est pas déléguable. Il s’agit d’une obligation de gouvernance qui entraîne des conséquences en matière de responsabilité personnelle.
Ce guide explique les exigences de l’article 20, la manière de le mettre en œuvre et les risques auxquels les conseils d’administration sont confrontés s’ils ne s’y conforment pas.
L’exigence de l’article 20: trois piliers
L’article 20, paragraphe 1, impose trois obligations aux organes de direction:
Tout d’abord, ils doivent approuver les mesures de gestion des risques de cybersécurité prises par l’entité pour se conformer à l’article 21. Il ne s’agit pas d’un consentement passif ni d’une approbation automatique. L’approbation nécessite de comprendre quelles mesures sont proposées, pourquoi elles sont nécessaires, comment elles seront mises en œuvre et quelles ressources elles nécessitent.
Deuxièmement, ils doivent superviser la mise en œuvre de ces mesures. Une fois approuvés, les conseils d’administration ne peuvent pas simplement s’en aller. Ils doivent s’assurer que les mesures approuvées sont effectivement mises en œuvre, que la mise en œuvre respecte le calendrier et que tous les obstacles ou risques sont signalés au conseil d’administration.
Troisièmement, les organes de direction peuvent être tenus responsables des violations de l’article 21 par l’entité. Il s’agit d’une responsabilité personnelle. Si l’entité ne se conforme pas à l’article 21 (les dix mesures de cybersécurité), les membres du conseil d’administration eux-mêmes s’exposent à des amendes administratives, à une responsabilité légale et à des poursuites pénales, selon la législation nationale.
L’article 20, paragraphe 2, ajoute une quatrième obligation: les organes de direction doivent veiller à ce que leurs membres suivent une formation sur les risques liés à la cybersécurité et doivent encourager (sans toutefois imposer) une formation similaire pour les employés.
Ces quatre obligations constituent un changement fondamental: la cybersécurité devient une question de gouvernance au niveau du conseil d’administration, et non une question technique déléguée à des spécialistes.
Approbation: comprendre ce que vous approuvez
L’approbation des mesures de cybersécurité nécessite que les membres du conseil d’administration les comprennent. Il s’agit d’un problème préliminaire: si les membres du conseil d’administration n’ont pas les connaissances nécessaires pour évaluer le risque de cybersécurité, ils ne peuvent pas approuver efficacement les mesures visant à y remédier.
Dans la pratique, l’approbation par le conseil d’administration des mesures de l’article 21 devrait être un processus structuré:
Votre CISO ou responsable de la sécurité doit présenter une évaluation des risques de cybersécurité au conseil d’administration. Cette évaluation doit identifier les actifs et services critiques de l’entité, les menaces auxquelles ces actifs sont confrontés, la probabilité et l’impact potentiel des incidents, ainsi que les lacunes dans les contrôles actuels de l’entité.
Le CISO devrait ensuite présenter un programme de gestion des risques de cybersécurité, essentiellement la manière dont l’entité mettra en œuvre les dix mesures prévues à l’article 21 (2). La présentation doit expliquer chaque mesure, pourquoi elle est nécessaire, comment elle sera mise en œuvre, quelles ressources elle nécessite et comment elle réduira les risques identifiés.
Le conseil devrait discuter des mesures proposées, poser des questions et comprendre les compromis. Par exemple, la mise en œuvre de l’authentification multifactorielle (article 21, paragraphe 2, point j)) peut améliorer la sécurité mais peut affecter le confort de l’utilisateur. Le conseil doit comprendre ces compromis et les approuver consciemment.
Le conseil devrait ensuite approuver officiellement les mesures proposées, généralement par le biais d’une résolution du conseil. La résolution doit être documentée dans les procès-verbaux du conseil d’administration.
L’approbation du conseil d’administration n’est pas un événement ponctuel. Les mesures doivent être revues au moins une fois par an, mises à jour pour refléter l’évolution du paysage des menaces ou des opérations commerciales, et réapprouvées par le conseil d’administration.
Qu’est-ce qui est approuvé?
Le conseil d’administration devrait approuver:
Une évaluation des risques de cybersécurité qui identifie les risques importants pour les réseaux et les systèmes d’information et les impacts potentiels sur la fourniture de services.
Politiques et procédures mettant en œuvre chacune des dix mesures prévues à l’article 21, paragraphe 2: analyse des risques, gestion des incidents, continuité des activités, sécurité de la chaîne d’approvisionnement, développement sécurisé, évaluation de l’efficacité, cyberhygiène, cryptographie, contrôle d’accès et authentification multifactorielle. Ces politiques doivent être spécifiques à votre entité, et non des cadres génériques.
Un budget de cybersécurité qui reflète les ressources nécessaires pour mettre en œuvre et maintenir les mesures approuvées.
Des indicateurs de performance clés et des indicateurs de reporting qui permettront au conseil d’administration de suivre la mise en œuvre et l’efficacité.
Un calendrier pour la mise en œuvre de toute mesure nouvelle ou améliorée, avec des étapes claires.
Supervision: suivi de la mise en œuvre
L’approbation ne suffit pas. L’article 20 (1) impose aux conseils d’administration de «superviser sa mise en œuvre».
La supervision est une gouvernance active. Cela signifie que le conseil reçoit régulièrement des rapports sur l’état des mesures de cybersécurité, examine les progrès réalisés par rapport aux étapes de mise en œuvre, identifie les obstacles et intensifie les risques.
En règle générale, un comité du conseil d’administration (souvent le comité d’audit ou un comité dédié à la cybersécurité et aux risques) doit recevoir des rapports au moins une fois par trimestre. Ces rapports devraient couvrir:
État de la mise en œuvre des mesures de cybersécurité approuvées (pourcentage d’achèvement, retards éventuels, obstacles).
Les résultats des tests et évaluations de sécurité (tests d’intrusion, analyses de vulnérabilité, audits de sécurité), y compris les résultats critiques.
Activité liée aux incidents (nombre d’incidents, gravité, impact, analyse des causes profondes des incidents significatifs).
État de conformité (respectons-nous nos obligations au titre de l’article 21? Quelles sont les lacunes qui subsistent?).
Statut du personnel et de la formation (tous les membres du conseil d’administration et les employés concernés ont-ils suivi une formation sur la cybersécurité?)
Constatations relatives à l’audit et à la réglementation (qu’ont constaté notre audit interne ou nos évaluateurs externes? Quel est l’état de nos mesures correctives?).
Le conseil devrait disposer d’un mécanisme permettant de faire remonter les problèmes. Si une vulnérabilité critique est découverte ou si un incident susceptible d’affecter la continuité du service ou la confiance des clients se produit, cela doit être communiqué immédiatement au conseil d’administration, et non pas attendre un rapport trimestriel.
Le conseil d’administration devrait également procéder à une analyse approfondie périodique (au moins annuelle) des risques liés à la cybersécurité. Cela peut inclure une présentation complète des résultats des audits de sécurité, un examen du paysage des menaces et de l’évolution de votre profil de risque, ou un exercice de réponse aux incidents sur table dans le cadre duquel le conseil participe à la prise de décision lors d’une violation majeure simulée.
Fréquence et mécanisme
La supervision de la cybersécurité par le conseil d’administration devrait être la suivante:
Rapports trimestriels sur l’état de la mise en œuvre, les incidents, les résultats des tests et la conformité.
Examen approfondi annuel comprenant une évaluation complète des risques, les résultats des audits, les mesures d’efficacité et une discussion du conseil d’administration sur l’orientation stratégique.
Escalade en temps réel en cas d’incidents critiques, de vulnérabilités majeures ou de découvertes réglementaires.
Cela nécessite généralement un comité du conseil doté de ressources adéquates. Le comité devrait comprendre des membres du conseil d’administration possédant certaines connaissances en matière de sécurité (mais pas nécessairement une expertise technique) et devrait engager des conseillers externes (auditeurs, sociétés de sécurité) pour fournir une expertise indépendante.
Responsabilité personnelle: les conséquences de la responsabilité
C’est là que NIS2 marque une rupture par rapport à la pratique antérieure.
L’article 20, paragraphe 1, stipule que les organes de direction «peuvent être tenus responsables des infractions commises par les entités à cet article [article 21]».
Cela crée une responsabilité personnelle pour les membres du conseil d’administration. Si l’entité ne met pas en œuvre les dix mesures prévues à l’article 21, paragraphe 2, et que ce manquement cause un préjudice, les membres du conseil d’administration eux-mêmes s’exposent à des amendes administratives, à une responsabilité légale ou, dans certains pays, à des poursuites pénales.
L’expression «peut être tenu responsable» est importante. Cela signifie que la possibilité d’une responsabilité existe; cela n’impose pas automatiquement la responsabilité. Dans la pratique, la responsabilité serait engagée si:
L’entité ne met clairement pas en œuvre les mesures requises au titre de l’article 21, paragraphe 2 (par exemple, elle n’a aucune capacité de réponse aux incidents, aucune sauvegarde et reprise après sinistre, aucune politique de cybersécurité).
La panne contribue directement à un incident important (par exemple, une attaque par rançongiciel qui interrompt le service pendant des jours parce que l’entité ne dispose pas de sauvegarde ni de reprise après sinistre).
Les régulateurs ou les procureurs déterminent que le conseil n’a pas correctement approuvé, supervisé ou assuré la mise en œuvre des mesures requises.
L’expression «peut être tenu responsable» suggère également que la responsabilité n’est pas automatique pour chaque non-conformité. Si une entité a mis en œuvre de bonne foi un programme complet de cybersécurité (abordant les dix mesures, documentant les politiques, formant le personnel), mais qu’un attaquant sophistiqué enfreint néanmoins le système, il est peu probable que le conseil d’administration soit personnellement responsable. Toutefois, si l’entité a fait preuve de négligence ou d’imprudence (par exemple, si elle n’a pas corrigé les systèmes critiques alors qu’elle connaissait des vulnérabilités), la responsabilité devient plus plausible.
Atténuer la responsabilité
Pour atténuer les risques liés à la responsabilité, les conseils devraient:
Garantissez un processus de gouvernance de cybersécurité robuste avec une approbation et une supervision documentées (comme décrit ci-dessus).
Engager des responsables CISO et de la sécurité qualifiés qui peuvent conseiller le conseil d’administration sur des questions techniques et opérationnelles.
Documentez toutes les discussions et décisions du conseil d’administration liées à la cybersécurité.
Assurez-vous que l’organisation alloue des ressources adéquates à la cybersécurité sur la base d’une évaluation des risques.
Procéder à des évaluations de sécurité régulières (au moins une fois par an) et donner suite aux conclusions.
Conservez une assurance cyberresponsabilité qui couvre la responsabilité des membres du conseil d’administration.
Assurez-vous que l’entité dispose de capacités de réponse aux incidents et de continuité des activités afin qu’elle puisse réagir efficacement en cas de violation.
N’ignorez pas les drapeaux rouges. Si le personnel de sécurité soulève des préoccupations concernant des systèmes non corrigés, des risques liés à la chaîne d’approvisionnement ou une capacité de réponse aux incidents inadéquate, répondez à ces préoccupations rapidement.
Tenez votre assurance responsabilité civile personnelle à jour et assurez-vous qu’elle couvre les incidents de cybersécurité.
Formation: l’exigence en matière de connaissances du conseil
L’article 20, paragraphe 2, exige que «les membres des organes de direction… soient tenus de suivre une formation… afin d’acquérir les connaissances et les compétences nécessaires pour leur permettre d’identifier les risques et d’évaluer les pratiques de gestion des risques de cybersécurité et leur impact sur les services fournis par l’entité».
Il s’agit d’une obligation légale. Les membres du conseil d’administration doivent recevoir une formation suffisante pour comprendre les risques de cybersécurité.
La formation n’a pas besoin d’être technique. Les membres du conseil d’administration n’ont pas besoin de comprendre comment configurer des pare-feux ou écrire du code sécurisé. Mais ils doivent comprendre:
Les types de menaces auxquelles l’entité est confrontée (attaquants externes, menaces internes, risques liés à la chaîne d’approvisionnement, etc.).
L’impact potentiel d’un incident majeur sur les opérations et la réputation de l’entité.
La tolérance au risque de l’entité et la manière dont elle se reflète dans les politiques de cybersécurité.
Quelles sont les dix mesures prévues à l’article 21, paragraphe 2, et pourquoi sont-elles nécessaires?
Comment le risque de cybersécurité est lié aux autres risques de l’entreprise (risque financier, risque opérationnel, risque de conformité).
Les compromis coûts-avantages des différentes mesures de sécurité.
Les procédures de réponse aux incidents de l’entité et le rôle du conseil d’administration dans la gestion des crises.
La formation doit avoir lieu au moment de la nomination des membres du conseil d’administration (intégration) et doit être actualisée au moins une fois par an. Pour les membres dont le mandat est plus long, une formation annuelle sur les menaces émergentes ou l’évolution du profil de risque de l’entité est appropriée.
Les organisations doivent documenter que la formation a eu lieu, soit par le biais de dossiers de formation, de feuilles de connexion, soit d’une confirmation du prestataire de formation.
Contenu de la formation
Une formation efficace à la cybersécurité au niveau du conseil d’administration couvre généralement les sujets suivants:
Les exigences réglementaires du NIS2 et ce que signifie «Article 20».
L’évaluation des risques de cybersécurité de l’entité et les principaux risques identifiés.
La structure de gouvernance de la cybersécurité de l’entité et le rôle du conseil d’administration.
Les dix mesures prévues à l’article 21, paragraphe 2, et la manière dont l’entité les met en œuvre.
Les procédures de réponse aux incidents et les déclencheurs d’escalade de l’entité.
Les récents incidents cybernétiques importants dans le secteur de l’entité et les enseignements qui en ont été tirés.
Les menaces émergentes (rançongiciels, attaques de la chaîne d’approvisionnement, etc.) et leurs implications pour l’entité.
Les indicateurs de cybersécurité de l’entité et la manière dont le conseil d’administration surveillera l’efficacité.
La responsabilité personnelle des membres du conseil d’administration en vertu de l’article 20 (1) et la manière de l’atténuer grâce à une gouvernance appropriée.
La formation peut être dispensée par le personnel de sécurité interne, des sociétés de cybersécurité externes, des prestataires de formation des conseils d’administration ou des associations industrielles. Le contenu doit être adapté au secteur et au profil de risque de l’entité.
Structure de gouvernance: mise en pratique de l’article 20
L’article 20 est un principe; sa mise en pratique nécessite une conception de la gouvernance.
La plupart des organisations mettront en place une structure de gouvernance comme celle-ci:
Le CISO ou directeur de la sécurité informatique (parfois appelé responsable de la cybersécurité, directeur de la sécurité ou équivalent) est chargé de développer et de mettre en œuvre les dix mesures prévues à l’article 21 (2), de mener des évaluations des risques, de gérer les incidents et de faire rapport au conseil d’administration.
Un comité du conseil d’administration (comité d’audit, comité des risques ou comité dédié à la cybersécurité) reçoit des rapports réguliers du CISO, discute des questions de cybersécurité et conseille le conseil d’administration en matière de gouvernance de la cybersécurité.
Le Conseil approuve officiellement les évaluations des risques de cybersécurité et le programme de gestion des risques de cybersécurité, reçoit des rapports périodiques sur la mise en œuvre et les incidents, et s’assure que l’organisation alloue des ressources adéquates.
Le directeur général (PDG) est responsable en dernier ressort de la conformité en matière de cybersécurité devant le conseil d’administration.
Cette structure garantit que la cybersécurité est véritablement une question de conseil d’administration sans exiger que tous les membres du conseil soient des experts techniques.
Rôles et responsabilités
CISO: Élaborer et mettre en œuvre les mesures prévues à l’article 21 (2), effectuer des évaluations des risques, gérer les incidents, faire rapport au comité du conseil d’administration, garantir la conformité.
Comité du conseil d’administration: recevez les rapports du CISO, évaluez les performances en matière de cybersécurité, conseillez le conseil d’administration, identifiez les domaines dans lesquels la contribution du conseil est nécessaire.
Conseil: Approuver les évaluations et les mesures des risques de cybersécurité, superviser la mise en œuvre (par l’intermédiaire du comité), s’assurer que les ressources sont allouées, responsabiliser le CISO, comprendre et accepter les cyberrisques.
PDG: Assurez-vous que le CISO dispose des ressources et de l’autorité adéquates, signalez les incidents critiques au conseil d’administration, assumez la cybersécurité en tant qu’impératif commercial.
Conseiller juridique: donner des conseils sur les exigences réglementaires, gérer la responsabilité légale, assurer la coordination avec les régulateurs, assurer la conformité en matière de signalement des incidents.
Liste de contrôle pratique pour la gouvernance
Voici une liste de contrôle pratique pour la mise en œuvre de la gouvernance au titre de l’article 20:
Supervision au niveau du conseil d’administration: l’organisation dispose-t-elle d’un mécanisme (comité ou conseil complet) qui reçoit les rapports de cybersécurité et assure la supervision? Les rapports sont-ils au moins trimestriels?
Évaluation des risques de cybersécurité: le conseil a-t-il examiné et approuvé une évaluation écrite des risques de cybersécurité qui identifie les risques importants? Cette évaluation a-t-elle été mise à jour au cours des 12 derniers mois?
Mesures approuvées: le conseil a-t-il officiellement approuvé un programme de gestion des risques de cybersécurité portant sur les dix mesures prévues à l’article 21, paragraphe 2? Cette approbation est-elle documentée dans les procès-verbaux du conseil d’administration?
Budget et ressources: le conseil d’administration a-t-il alloué un budget et des ressources à la hauteur du programme de cybersécurité approuvé? Existe-t-il un mécanisme permettant de remédier aux pénuries de ressources?
Autorité du CISO: le CISO relève-t-il directement du PDG ou du comité du conseil d’administration? Le CISO dispose-t-il d’une autorité et d’un accès suffisants pour mettre en œuvre les mesures approuvées?
Formation du conseil d’administration: tous les membres du conseil ont-ils reçu une formation en cybersécurité au cours des 12 derniers mois? Existe-t-il un dossier d’entraînement?
Escalade des incidents: le conseil d’administration a-t-il établi des critères clairs pour signaler les incidents de cybersécurité au conseil d’administration ou à un comité du conseil d’administration? Les membres du conseil d’administration sont-ils joignables en dehors des heures de bureau en cas d’incidents critiques?
Contrôle de la conformité: existe-t-il un processus de contrôle du respect des mesures de l’article 21? Les résultats sont-ils communiqués au conseil d’administration?
Assurance responsabilité civile: l’organisation dispose-t-elle d’une assurance cyberresponsabilité qui couvre la responsabilité des membres du conseil d’administration?
Expertise tierce: l’organisation a-t-elle engagé des conseillers externes (auditeurs, sociétés de sécurité) pour fournir une évaluation indépendante des risques et des contrôles en matière de cybersécurité?
Principaux points à retenir
-
L’article 20, paragraphe 1, impose l’approbation et la supervision par le conseil d’administration des mesures de gestion des risques de cybersécurité, ce qui crée une responsabilité personnelle pour les membres du conseil d’administration si l’entité ne se conforme pas aux mesures de l’article 21.
-
L’approbation du conseil d’administration doit être informée et documentée; les conseils devraient recevoir une évaluation des risques de cybersécurité et les mesures proposées au titre de l’article 21 (2), en discuter et les comprendre, et les approuver officiellement par le biais d’une résolution du conseil d’administration.
-
La supervision du conseil d’administration nécessite un suivi actif (rapports trimestriels au minimum) des progrès de la mise en œuvre, des incidents, des résultats des évaluations, de l’achèvement de la formation et de l’état de conformité; un comité du conseil doit recevoir des rapports détaillés et porter les problèmes critiques à l’ensemble du conseil d’administration.
-
La responsabilité personnelle des membres du conseil d’administration est engagée lorsque l’entité omet par négligence ou imprudence de mettre en œuvre les mesures requises au titre de l’article 21, paragraphe 2, et que cette défaillance contribue à un préjudice matériel; le risque de responsabilité est atténué grâce à une gouvernance documentée, à des ressources adéquates, à une évaluation régulière et à une direction de la sécurité compétente.
-
L’article 20, paragraphe 2, exige que tous les membres du conseil reçoivent une formation en cybersécurité suffisante pour comprendre les risques et évaluer les pratiques en matière de cybersécurité; la formation est obligatoire au moment de la nomination et chaque année par la suite, et l’achèvement doit être documenté.
-
La structure de gouvernance comprend généralement un CISO responsable de la mise en œuvre, un comité du conseil d’administration qui reçoit les rapports et conseille le conseil, le conseil qui approuve et supervise, et le PDG responsable devant le conseil d’administration; des rôles, des lignes hiérarchiques et des procédures d’escalade clairs sont essentiels.
