Cyberassurance au titre de NIS 2
Une assurance peut payer des sinistres. Elle ne réalise pas les mesures techniques et organisationnelles qu'exige l'article 21 de NIS 2.
Vue d'ensemble
La cyberassurance et NIS 2 se situent sur des couches différentes. Une police cyber est un contrat privé entre une entité et un assureur qui paie des coûts définis après un incident. NIS 2 est du droit public : l'article 21 énonce les mesures techniques et organisationnelles que les entités essentielles et importantes doivent mettre en œuvre, l'article 23 énonce l'obligation de notification, l'article 27 énonce l'obligation d'enregistrement. Aucune de ces obligations ne passe à l'assureur lorsqu'une police est signée.
Le BSI l'affirme directement. Son paquet d'information NIS 2 décrit le transfert de risque global au moyen d'une police d'assurance comme non disponible dans le régime de gestion des risques de la directive. L'article 21, paragraphe 1, de NIS 2 exige des mesures appropriées et proportionnées, tenant compte de l'état de l'art et du coût de mise en œuvre. Une police signée n'est ni une mesure ni un substitut à une mesure.
La question pratique pour un opérateur dans le périmètre de l'article 21 n'est donc pas de savoir s'il faut souscrire une cyberassurance, mais comment la police s'articule avec les mesures NIS 2 sous-jacentes. La plupart des polices exigent que ces mesures soient en place comme condition préalable à la couverture. Ces mêmes mesures sont celles que le BSI et les autorités de surveillance nationales examinent lors d'un audit NIS 2.
Article 21, paragraphe 1, de NIS 2
Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, et pour éviter ou réduire au minimum les conséquences des incidents pour les destinataires de leurs services et pour d'autres services. Tenant compte de l'état des connaissances et, le cas échéant, des normes européennes et internationales pertinentes, ainsi que du coût de mise en œuvre, les mesures visées au premier alinéa garantissent un niveau de sécurité des réseaux et des systèmes d'information adapté aux risques existants.
Source : directive (UE) 2022/2555, article 21, paragraphe 1. Les points de référence sont l'état de l'art, les normes pertinentes et le coût de mise en œuvre. L'assurance ne figure pas dans la liste.
Annexe du CIR 2024/2690, point 2
La politique de sécurité des réseaux et des systèmes d'information définit l'approche des entités concernées en matière de gestion de la sécurité de leurs réseaux et systèmes d'information. Le cadre de gestion des risques visé au point 2.1 recense les risques pour la sécurité des réseaux et des systèmes d'information et en prévoit la gestion.
Source : règlement d'exécution (UE) 2024/2690 de la Commission, annexe. Les exigences détaillées de gestion des risques pour les entités d'infrastructure numérique sont structurées autour d'un cadre de gestion des risques assorti de mesures, et non autour d'un transfert financier de risque.
§30 du BSIG (transposition allemande)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.
Source : §30, alinéa 1, du BSIG. La transposition allemande reflète l'article 21 de NIS 2 : des mesures techniques et organisationnelles par l'entité elle-même, sur un standard de proportionnalité. L'assurance n'est pas nommée comme l'un des moyens.
Coûts d'incident et responsabilité envers les tiers
Les rubriques de couverture courantes comprennent les coûts de réponse à incident (forensique, juridique, communication), les pertes d'exploitation liées à un événement cyber couvert, les coûts de restauration des données et la responsabilité envers les tiers pour les réclamations des clients ou des personnes concernées. Certaines polices étendent la couverture aux paiements de rançon dans les juridictions où cela est licite, sous réserve d'un filtrage des sanctions.
Amendes, connaissance préalable, guerre et infrastructures
Les amendes réglementaires sont inassurables dans plusieurs juridictions de l'UE pour des motifs d'ordre public. Les exclusions courantes comprennent aussi les vulnérabilités connues non corrigées, les systèmes non patchés en deçà des niveaux convenus contractuellement, les actes de guerre et les attaques commanditées par un État (la formulation du marché Lloyd's est largement adoptée), et les pannes d'infrastructures publiques échappant au contrôle de l'entité.
Conditions préalables et garanties
La plupart des assureurs cyber exigent que l'entité assurée maintienne une base définie : authentification multifacteur, sauvegarde, application des correctifs, formation de sensibilisation, plan de réponse à incident. Ce sont les mêmes éléments couverts par l'article 21, paragraphe 2, de NIS 2 et par le CIR. Une police peut être caduque ou payer des montants réduits si les mesures objet de garantie n'étaient pas en place au moment du sinistre.
L'obligation de l'article 21 n'est pas transférable
L'article 21 s'adresse à l'entité. Les mesures, la documentation et la supervision de l'organe de direction au titre de l'article 20 résident à l'intérieur de l'entité. Un contrat d'assurance est un arrangement financier a posteriori ; il ne déplace pas l'obligation juridique d'agir a priori. Le BSI décrit cela dans son paquet d'information comme excluant le transfert de risque global.
La proportionnalité décide des mesures, pas la prime
L'article 21, paragraphe 1, nomme trois points de référence : l'état de l'art, les normes pertinentes et le coût de mise en œuvre. Le test de proportionnalité s'applique aux mesures techniques et organisationnelles elles-mêmes. Une prime d'assurance plus élevée ne déplace pas l'appréciation de proportionnalité ; l'opérateur doit toujours démontrer que les mesures sont appropriées aux risques que l'entité porte réellement.
BSI — Bundesamt für Sicherheit in der Informationstechnik
Le paquet d'information du BSI sur la transposition de NIS 2 indique que l'obligation de gestion des risques ne peut pas être acquittée en transférant le risque en bloc à un assureur. La formulation employée est que le transfert de risque global est exclu. La position aligne le superviseur allemand sur la structure de l'article 21 : une entité est censée mettre en œuvre des mesures, pas les contourner en payant.
ENISA
Les orientations techniques de mise en œuvre de NIS 2 de l'ENISA sont construites autour des mesures énumérées à l'article 21, paragraphe 2, et de l'annexe du CIR. Les orientations publiées par l'agence ne traitent pas la cyberassurance comme l'une des mesures ; elle apparaît, lorsqu'elle apparaît, comme un élément des options plus larges de traitement des risques d'une entité au sein d'un cadre de gestion des risques.
GDV — Gesamtverband der Deutschen Versicherungswirtschaft
L'association allemande des assureurs publie des conditions types pour la couverture cyber (AVB Cyber) ainsi que des enquêtes de marché. Le matériel public de l'association décrit la cyberassurance comme un élément d'une approche plus large de gestion des risques et renvoie à une base de contrôles techniques comme condition préalable de souscription habituelle.
Idée reçue : une police cyber transfère l'obligation NIS 2 à l'assureur.
Les obligations NIS 2 au titre des articles 20, 21, 23 et 27 s'adressent à l'entité. L'assureur est une contrepartie au titre d'un contrat privé, et non une entité réglementée se substituant aux obligations NIS 2 de l'opérateur. Le BSI décrit le transfert de risque global comme exclu dans le régime de la directive.
Idée reçue : les amendes réglementaires sont couvertes par la police.
Les amendes réglementaires au titre du §65 du BSIG (la transposition allemande des amendes administratives de NIS 2 au titre des articles 34 et 36) sont largement traitées comme inassurables pour des motifs d'ordre public dans toutes les juridictions de l'UE. Les formulations standards les excluent. Les frais de défense sont une question distincte et sont souvent couverts dans les limites prévues.
Idée reçue : la prime est payée, donc l'indemnisation est automatique.
La souscription cyber est conditionnée à des déclarations de garantie sur les contrôles de l'entité. Si les mesures objet de garantie (authentification multifacteur, niveaux d'application des correctifs, régime de sauvegarde, plan de réponse à incident) n'étaient pas en place au moment du sinistre, un assureur peut réduire ou refuser l'indemnisation. Ces mesures objet de garantie suivent les mesures de l'article 21, paragraphe 2, de NIS 2.
Les courtiers et les gestionnaires de risques décrivent couramment la cyberassurance comme une couche par-dessus un programme de sécurité fonctionnel, et non comme un substitut à celui-ci. L'ordre qu'ils décrivent est : mettre en œuvre les mesures de l'article 21 d'abord, les documenter, puis se présenter sur le marché. Les assureurs demandent la même documentation qu'un audit NIS 2 demande. Inventaire des actifs, registre des fournisseurs, base d'application des correctifs, résultats des tests de sauvegarde, plan de réponse à incident, registres de formation de sensibilisation.
Du point de vue de NIS 2, la question pertinente pour un opérateur est donc pratique. L'entité dispose-t-elle de preuves des mesures de l'article 21, paragraphe 2 ? Les garanties contractuelles de la police cyber sont-elles cohérentes avec la posture réelle de l'opérateur ? Si les deux divergent, l'écart se manifeste deux fois : une fois auprès du superviseur lors d'un audit NIS 2, une fois auprès de l'assureur lors d'un sinistre.
NISD2 organise la preuve de l'entité autour des domaines de mesures de l'article 21, paragraphe 2, et de l'annexe du CIR. Inventaire des actifs, registre des fournisseurs, plan de traitement des risques, plan de réponse à incident, registres de formation de sensibilisation et validation de la direction résident dans un registre d'obligations unique. Le même dossier de preuve est celui que les assureurs et les superviseurs examinent.
La plateforme ne vend, ne courtise ni ne recommande de produits d'assurance. Elle documente les mesures NIS 2 sous-jacentes afin que la question de la couverture repose sur une posture définie, et non se substitue à elle.
- Directive (UE) 2022/2555 (NIS 2), article 21 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission, annexe — https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §30 et §65 — https://www.gesetze-im-internet.de/bsig_2009/
- BSI — NIS-2 Informationspakete und Hintergrund — https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
- ENISA — NIS 2 Technical Implementation Guidance — https://www.enisa.europa.eu/publications
- GDV — Cyber-Versicherung und unverbindliche Musterbedingungen (AVB Cyber) — https://www.gdv.de/