Guide de mise en œuvre du CIR 2024/2690
Le règlement d'exécution de l'UE qui précise exactement quelles mesures techniques et méthodologiques les entités NIS2 doivent mettre en œuvre - publié au Journal officiel le 17 octobre 2024 et directement applicable dans tous les États membres.
Qu'est-ce que le CIR 2024/2690 ?
Le règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 a été publié au Journal officiel de l'Union européenne (série JO L, 2024/2690). Il établit des règles pour l'application de la directive (UE) 2022/2555 (la directive NIS2) en ce qui concerne les exigences techniques et méthodologiques des mesures de gestion des risques en matière de cybersécurité. Contrairement à la directive NIS2 elle-même, ce règlement ne nécessite pas de transposition nationale - il s'applique directement dans les 27 États membres à compter de la date de son entrée en vigueur.
Le CIR est la réponse à la question que pose tout responsable de la conformité : « Que devons-nous mettre en œuvre exactement ? » Alors que le §30 BSIG (la transposition allemande) énumère 10 domaines de mesures en termes généraux, l'annexe du CIR les décompose en exigences techniques et méthodologiques spécifiques et auditables. C'est la spécification officielle la plus granulaire des obligations NIS2 disponible - plus détaillée que la directive elle-même, plus précise que le BSIG, et directement applicable.
Le règlement a été élaboré en consultation avec l'ENISA et le groupe de coopération NIS, en s'appuyant sur des cadres existants, notamment ISO/IEC 27001, ETSI EN 319 401 et des normes nationales. Il s'applique spécifiquement aux fournisseurs de services DNS, aux registres de noms de domaine de premier niveau, aux fournisseurs de services d'informatique en nuage, aux fournisseurs de services de gestion des TIC, aux fournisseurs de services de sécurité gérés, aux fournisseurs de places de marché en ligne, aux fournisseurs de moteurs de recherche en ligne, aux fournisseurs de plateformes de services de réseaux sociaux et aux prestataires de services de confiance - bien que ses exigences techniques servent de référence de fait pour toutes les entités NIS2.
Fournisseurs de services DNS
Registres de noms de domaine de premier niveau (TLD)
Fournisseurs de services d'informatique en nuage
Fournisseurs de services de gestion des TIC (services gérés) et fournisseurs de services de sécurité gérés
Fournisseurs de places de marché en ligne
Fournisseurs de plateformes de services de réseaux sociaux
Prestataires de services de confiance
Structure du règlement
Le CIR se compose de 7 articles définissant le champ d'application, les définitions et les exigences, ainsi qu'une annexe détaillée contenant les spécifications techniques et méthodologiques.
Article 2 - Définitions
Établit les définitions de « sécurité des réseaux et des systèmes d'information », « incident important » et d'autres termes clés. Aligne la terminologie sur la directive NIS2 tout en ajoutant une précision spécifique à la mise en œuvre.
Article 3 - Importance des incidents
Définit le moment où un incident est « important » - le seuil qui déclenche les obligations de notification. Un incident est important s'il cause une perte financière supérieure à 500 000 EUR ou à 5 % du chiffre d'affaires annuel, entraîne l'exfiltration de secrets commerciaux, cause la mort ou un préjudice considérable à la santé, ou remplit les critères propres à l'entité définis dans l'article.
Article 4 - Incidents importants récurrents
Précise que les incidents récurrents qui, individuellement, n'atteignent pas le seuil d'importance peuvent être agrégés et traités comme un seul incident important s'ils remplissent collectivement les critères sur une période de six mois.
Article 5 - Incidents importants pour les fournisseurs DNS et les registres TLD
Ajoute des critères d'importance spécifiques pour les fournisseurs de services DNS et les registres TLD, notamment une disponibilité du service inférieure à 99,9 % pour toute période, des taux de réponses DNS incorrectes, et la compromission de l'intégrité ou de la confidentialité des données d'enregistrement de domaine stockées.
Article 6 - Exigences techniques et méthodologiques
L'article central - exige des entités couvertes qu'elles mettent en œuvre les exigences techniques et méthodologiques énoncées à l'annexe. Les mesures doivent être « appropriées et proportionnées » aux risques, en tenant compte de la taille de l'entité, de son exposition, de la probabilité d'incidents et de l'impact sociétal.
Article 7 - Entrée en vigueur
Le règlement est entré en vigueur le vingtième jour suivant sa publication au Journal officiel (publié le 17 octobre 2024). Il s'applique directement dans tous les États membres sans nécessiter de transposition nationale.
Politique relative à la sécurité des réseaux et des systèmes d'information
Exige une politique de sécurité documentée, approuvée par la direction, révisée au moins une fois par an, et mise à jour après des incidents importants ou des changements. Doit définir les rôles, les responsabilités et le cadre de toutes les mesures ultérieures. Doit inclure une politique d'acceptation des risques et des preuves de l'engagement de la direction.
Gestion des risques
Exige une méthodologie d'évaluation des risques documentée, une identification des risques couvrant tous les actifs et processus critiques, une analyse des risques avec évaluation de la probabilité et de l'impact, un traitement des risques avec des décisions documentées (accepter, atténuer, transférer, éviter), et une acceptation du risque résiduel par la direction. Doit être révisée à intervalles planifiés et après des changements importants.
Traitement des incidents
Exige des procédures de détection, de classification, de réponse et de récupération des incidents. Doit définir les rôles et responsabilités pour le traitement des incidents, établir des canaux de communication, inclure une analyse post-incident (leçons apprises), et tenir des journaux d'incidents. La détection doit inclure la surveillance des anomalies et des indicateurs de compromission connus.
Continuité des activités et gestion de crise
Exige une analyse d'impact sur les activités, des plans de continuité pour les services critiques, des procédures de sauvegarde et de récupération avec des capacités de restauration testées, et des procédures de gestion de crise. L'intégrité des sauvegardes doit être vérifiée régulièrement. Les objectifs de temps de récupération doivent être définis et testés. Les plans doivent être révisés après des incidents ou des changements importants.
Sécurité de la chaîne d'approvisionnement
Exige une politique de sécurité de la chaîne d'approvisionnement, une évaluation des pratiques de cybersécurité des fournisseurs directs, des exigences de sécurité contractuelles pour les produits et services TIC, et une surveillance de la posture de sécurité des fournisseurs tout au long du cycle de vie du contrat. Doit tenir compte des risques propres à la chaîne d'approvisionnement, y compris ceux découlant de la propre chaîne d'approvisionnement du fournisseur.
Sécurité dans l'acquisition, le développement et la maintenance
Exige un cycle de développement sécurisé pour le développement interne, des exigences de sécurité pour les produits et services TIC acquis, une gestion de la configuration, des procédures de gestion des changements, et des tests de sécurité (y compris l'analyse de vulnérabilités et les tests d'intrusion le cas échéant). Doit couvrir l'ensemble du cycle de vie, de l'acquisition à la mise hors service.
Cryptographie
Exige une politique relative à l'utilisation de la cryptographie, comprenant la sélection des algorithmes cryptographiques et des longueurs de clés appropriées à la classification des données, des procédures de gestion des clés (génération, distribution, stockage, rotation, révocation, destruction), et une révision périodique des implémentations cryptographiques au regard des meilleures pratiques actuelles et des vulnérabilités connues.
Contrôle d'accès et gestion des actifs
Exige une politique de contrôle d'accès fondée sur les exigences métier et de sécurité, une gestion des identités avec identification unique des utilisateurs, des procédures d'attribution et de retrait des accès, une gestion des accès à privilèges, et un inventaire des actifs couvrant tous les composants des réseaux et des systèmes d'information. Les droits d'accès doivent être révisés à intervalles planifiés.
Authentification multifactorielle et communication sécurisée
Exige une authentification multifactorielle ou une authentification continue pour l'accès aux systèmes critiques et l'accès à distance. Des canaux de communication sécurisés doivent être établis pour les scénarios d'urgence et de repli. Les communications vocales, vidéo et textuelles utilisées pour la réponse aux incidents doivent être protégées contre l'interception.
Sensibilisation et formation à la cybersécurité
Exige des programmes réguliers de sensibilisation à la cybersécurité pour l'ensemble du personnel, une formation spécifique aux rôles pour le personnel ayant des responsabilités en matière de sécurité, et une formation de la direction sur la gouvernance de la cybersécurité. La formation doit couvrir les politiques de sécurité de l'entité, les menaces courantes, les procédures de notification des incidents, et les responsabilités spécifiques du personnel.
La directive NIS2 (UE) 2022/2555 est la législation mère - elle établit le cadre, les obligations et le régime d'application au niveau de l'UE. Les États membres étaient tenus de la transposer en droit national au plus tard le 17 octobre 2024. La transposition de l'Allemagne est le NIS2UmsuCG, qui modifie le BSIG. Le BSIG contient désormais toutes les obligations NIS2 en droit allemand, y compris le §30 (mesures de cybersécurité) et le §32 (notification des incidents).
Le CIR 2024/2690 est un règlement de l'UE directement applicable - il ne nécessite pas de transposition et prime sur les dispositions nationales contraires. Lorsque le CIR précise une exigence technique, cette exigence s'applique directement, que le BSIG l'aborde ou non. Pour les types d'entités énumérés à l'article 1, le CIR est la norme de conformité principale.
Pour les entités qui ne figurent PAS directement à l'article 1 du CIR mais qui restent soumises à NIS2 (par exemple les fournisseurs d'énergie, la santé, les transports), le CIR sert de référence la plus autoritative pour déterminer à quoi ressemblent des mesures « appropriées et proportionnées ». Les tribunaux allemands et le BSI sont censés se référer aux spécifications techniques du CIR lorsqu'ils évaluent si les mesures d'une entreprise satisfont à la norme du §30 BSIG - même si le CIR ne lie pas formellement ces entités.
- Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 - Journal officiel de l'Union européenne, JO L 2024/2690
- EUR-Lex - Texte intégral du CIR 2024/2690 (CELEX : 32024R2690)
- Directive (UE) 2022/2555 (directive NIS2) - Journal officiel de l'Union européenne
- ENISA - Orientations techniques sur les mesures de mise en œuvre de NIS2 (2024)
- secuvera GmbH - Analyse des exigences du CIR 2024/2690 et correspondance avec ISO 27001 (2024)
- BSIG - §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), tel que modifié par le NIS2UmsuCG