NIS 2 pour le secteur des transports
L'annexe I, secteur 2, couvre quatre sous-secteurs. La réglementation de sécurité ne remplace pas NIS 2.
Pourquoi les transports relèvent de NIS 2
La directive NIS 2 traite les transports comme un secteur hautement critique. L'annexe I, secteur 2, énumère quatre sous-secteurs : aérien, ferroviaire, par voie d'eau et routier. Chacun nomme ses propres catégories d'entités, de sorte qu'une compagnie aérienne régionale, un exploitant de gare, une autorité portuaire et un exploitant de gestion du trafic routier relèvent tous du même secteur sous des points différents.
Le niveau juridique qui décide de l'inclusion est la directive de l'UE plus la transposition nationale. En Allemagne, il s'agit du BSIG. Les régulateurs sectoriels tels que le Luftfahrt-Bundesamt, l'Eisenbahn-Bundesamt et le Bundesamt für Seeschifffahrt und Hydrographie conservent leurs attributions de sécurité existantes. Le BSI est l'autorité compétente pour les obligations cyber de NIS 2 et travaille aux côtés de ces régulateurs, pas à leur place.
Le test de taille de l'article 2, paragraphe 1, décide si une entité relève du champ d'application. Une fois incluse, les obligations de l'article 21 (mesures de risque) et de l'article 23 (signalement d'incident) s'appliquent quel que soit le sous-secteur auquel l'entité appartient. Le règlement d'exécution pour les sous-secteurs numériques ne couvre pas les transports ; les transports relèvent du cadre général de l'article 21 avec des orientations sectorielles de l'ENISA.
Directive de l'UE
Secteur 2 : Transports. (a) Transport aérien, (b) Transport ferroviaire, (c) Transport par voie d'eau, (d) Transport routier.
Directive (UE) 2022/2555, annexe I, secteur 2. Chaque point énumère ses propres catégories d'entités (transporteurs aériens et entités gestionnaires d'aéroports ; gestionnaires d'infrastructure, entreprises ferroviaires et exploitants de gares ; transporteurs par voies navigables intérieures, maritimes et côtières et entités gestionnaires de ports ; autorités routières et exploitants de systèmes de transport intelligents).
Actes d'exécution de l'UE
Le règlement d'exécution (UE) 2024/2690 de la Commission s'applique à des entités spécifiques de l'infrastructure numérique. Les transports ne relèvent pas du champ d'application de ce règlement.
Les obligations des transports découlent directement de l'article 21 de la directive plus toutes règles nationales de mise en œuvre. L'ENISA publie des orientations sectorielles, mais il n'existe aujourd'hui aucun règlement d'exécution de la Commission qui fixe des exigences techniques détaillées pour les transports au niveau de l'UE.
Transposition nationale (Allemagne)
L'annexe 1 du BSIG reprend l'annexe I, secteur 2, de la directive. Le test de taille du §28 BSIG suit l'article 2, paragraphe 1.
L'Allemagne transpose NIS 2 par le BSIG. Le BSI est l'autorité compétente. La réglementation de sécurité sectorielle au titre du Luftverkehrsgesetz, de l'Allgemeines Eisenbahngesetz et du Seeaufgabengesetz reste en vigueur et s'applique en parallèle.
Correspondre à une catégorie de sous-secteur
L'aérien couvre les transporteurs aériens utilisés à des fins commerciales, les entités gestionnaires d'aéroports et les entités exploitant des installations annexes situées dans les aéroports, ainsi que les opérateurs de contrôle de la gestion du trafic fournissant des services de contrôle du trafic aérien. Le ferroviaire couvre les gestionnaires d'infrastructure et les entreprises ferroviaires, y compris les exploitants d'installations de service. Le secteur par voie d'eau couvre les compagnies de transport de passagers et de fret par voies navigables intérieures, maritimes et côtières, les entités gestionnaires de ports et les exploitants de services de trafic maritime. Le routier couvre les autorités routières responsables du contrôle de la gestion du trafic et les exploitants de systèmes de transport intelligents.
Satisfaire au test de taille
Moyenne ou grande compte : 50 salariés ou plus, ou chiffre d'affaires annuel et total de bilan supérieurs à 10 millions d'euros. Les entités plus petites peuvent néanmoins relever du champ d'application lorsque les dérogations de l'article 2, paragraphe 2, s'appliquent, par exemple le fournisseur unique d'un service essentiel dans un État membre.
KRITIS est un niveau supplémentaire
Le BSI-KritisV fixe des seuils quantitatifs par sous-secteur pour ce qui constitue une installation critique en Allemagne. Atteindre un seuil KRITIS ajoute des obligations pour les installations spécifiques à KRITIS. Ne pas l'atteindre ne supprime pas l'obligation NIS 2 sous-jacente si l'entité est moyenne ou grande dans une catégorie du secteur 2.
Sécurité et cyber sont deux voies distinctes
L'aérien, le ferroviaire, le secteur par voie d'eau et le routier relèvent déjà de régimes de sécurité lourds (EASA, ERA, IMO, règles relatives aux véhicules et aux infrastructures). NIS 2 ajoute des obligations pour les systèmes d'information et de communication utilisés pour exploiter le service. Le régulateur sectoriel de sécurité conserve sa voie. L'autorité compétente NIS 2 examine la manière dont l'entité gouverne le risque, les approvisionnements, les incidents et la continuité pour son informatique et son OT.
La continuité est le test pratique
Ce qui compte pour NIS 2, c'est que l'exploitant puisse maintenir le service en fonctionnement et notifier la bonne autorité lorsque quelque chose tourne mal. L'article 21 nomme les familles de mesures (gouvernance, risque, chaîne d'approvisionnement, traitement des incidents, continuité d'activité, cryptographie, contrôle d'accès, formation, gestion des actifs). L'article 23 fixe le calendrier de notification (alerte précoce à 24 h, notification d'incident à 72 h, rapport final à 1 mois).
Bundesamt für Sicherheit in der Informationstechnik
Le BSI est l'autorité compétente pour NIS 2 au titre du BSIG. L'enregistrement, les mesures de risque au titre du §30 et la notification d'incident au titre du §32 vont au BSI. Les régulateurs sectoriels de sécurité (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) coopèrent avec le BSI mais ne le remplacent pas pour les obligations cyber de NIS 2.
Bundesnetzagentur et chevauchements sectoriels
La Bundesnetzagentur est l'autorité NIS 2 pour les télécommunications. Les transports ne chevauchent les télécommunications que lorsque l'entité exploite également des réseaux de communication publics. Pour les transports purs, le BSI est l'unique interlocuteur NIS 2. Pour les installations KRITIS, le canal de signalement KRITIS existant continue de fonctionner en parallèle.
ENISA
L'ENISA publie des orientations sectorielles et le paysage des menaces pour les transports. Ses travaux éclairent les autorités nationales et les organismes de normalisation mais n'édictent pas de règles contraignantes. Pour des orientations spécifiques aux transports, lisez les rapports de l'ENISA ainsi que les règles EASA Part-IS pour l'aviation et la résolution IMO MSC.428(98) pour le maritime en tant que régimes adjacents.
Notre certification de sécurité couvre le cyber.
Les régimes de sécurité (EASA, ERA, IMO et équivalents nationaux) couvrent la sécurité des opérations et incluent de plus en plus des éléments de sûreté (par exemple EASA Part-IS). Ils ne libèrent pas des obligations des articles 21 et 23 de NIS 2. L'autorité NIS 2 est distincte, le champ est plus large, et l'horloge de notification d'incident est différente.
Seuls les compagnies aériennes et les aéroports sont concernés.
Les quatre sous-secteurs sont concernés. Les gestionnaires d'infrastructure ferroviaire, les entreprises ferroviaires et les exploitants de gares relèvent du point 2(b). Les transporteurs par voies navigables intérieures, maritimes et côtières, les entités gestionnaires de ports et les exploitants de services de trafic maritime relèvent du point 2(c). Les autorités routières chargées du contrôle de la gestion du trafic et les exploitants de systèmes de transport intelligents relèvent du point 2(d). Une autorité de transport par bus régionale ou une autorité portuaire relève tout autant du secteur 2 qu'un transporteur national.
Nous sommes en dessous du seuil KRITIS, donc NIS 2 ne s'applique pas.
Les seuils KRITIS du BSI-KritisV constituent un niveau national distinct pour les très grandes installations. Le test de taille de NIS 2 est fixé à l'article 2, paragraphe 1, et est généralement bien plus bas. Un exploitant de gare de 60 salariés avec un chiffre d'affaires de 12 millions d'euros est en dessous de la plupart des seuils KRITIS et reste pourtant pleinement dans le champ d'application de NIS 2.
La lecture que nous entendons le plus souvent de la part des exploitants de transport est que NIS 2 se pose par-dessus une organisation déjà façonnée par le droit de la sécurité. Les équipes informatique et OT s'adressent à un régulateur différent de l'équipe sécurité, et les deux conversations doivent rester alignées. Les mesures de l'article 21 (gouvernance, risque, chaîne d'approvisionnement, traitement des incidents, continuité d'activité, cryptographie, contrôle d'accès, formation, gestion des actifs) ne sont pas des idées nouvelles, mais la profondeur de la documentation et l'étape d'enregistrement le sont.
L'article 21, paragraphe 1, exige des mesures appropriées et proportionnées, tenant compte de l'état de l'art, du coût de mise en œuvre et de l'exposition de l'entité. Cela donne à une petite autorité portuaire un seuil différent de celui d'un exploitant ferroviaire national. Documentez le raisonnement de proportionnalité de sorte qu'un examinateur puisse le suivre.
La plateforme structure les mesures de l'article 21 en un registre d'obligations unique et permet aux exploitants de transport de tenir leur dossier NIS 2 aux côtés de leur documentation de sécurité existante. L'inventaire des actifs (le fondement de RSK), le registre des fournisseurs, le flux de traitement des incidents, les approbations de gouvernance et les enregistrements de formation se trouvent au même endroit et produisent les preuves que recherche le BSI.
Le niveau gratuit inclut tout ce dont un exploitant a besoin pour s'enregistrer au titre de NIS 2 en Allemagne et gérer les obligations fondamentales. Aucun niveau ne verrouille une fonctionnalité requise.
- Directive (UE) 2022/2555 (NIS 2), annexe I secteur 2 — Transports
- Directive (UE) 2022/2555, article 2 (champ d'application et test de taille), article 21 (mesures de risque), article 23 (signalement d'incident)
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), annexe 1 secteur 2 ; §§ 28, 30, 32
- BSI-Kritisverordnung (BSI-KritisV), seuils sectoriels pour les transports
- Paysage des menaces de l'ENISA pour les transports (édition la plus récente)
- Règlement d'exécution EASA (UE) 2023/203 (Part-IS) pour la sûreté de l'aviation
- Résolution IMO MSC.428(98) sur la gestion des cyber-risques maritimes