Conformité à la NIS2 pour le secteur de l'administration publique

Les organismes de l'administration publique fournissent des services gouvernementaux essentiels aux niveaux national, régional et local. Ces services dépendent de plus en plus de plateformes numériques pour la fiscalité, la sécurité sociale, la gestion des identités, les licences et les registres publics. Les incidents cybernétiques affectant l'administration publique peuvent perturber les fonctions démocratiques, la confiance du public et les services essentiels aux citoyens.

La Directive NIS2 établit des obligations de cybersécurité à l'échelle de l'UE pour les entités Essentielles et Importantes et élargit de manière significative le périmètre du cadre NIS initial. La conformité à la NIS2 pour le secteur de l'administration publique reflète l'importance stratégique de protéger les infrastructures numériques gouvernementales contre les menaces cybernétiques.

La Directive s'applique aux entités désignées de l'administration publique dans l'Union européenne. Le périmètre est déterminé par le niveau administratif et la désignation nationale, plutôt que par les seuils de taille d'entreprise traditionnels.

Si votre organisation opère au sein de l'administration publique au niveau central ou régional désigné, vous pouvez relever de la NIS2 en tant qu'entité essentielle.

Le secteur de l'administration publique est classé comme suit :

Annexe pertinente : Annexe I (Entités essentielles)

Les États membres peuvent déterminer l'inclusion spécifique des autorités régionales ou locales en fonction de leur rôle dans la fourniture de services publics critiques.

Les entités relevant de cette désignation sont traitées comme des entités essentielles au titre de la NIS2.

• Entité essentielle en vertu de l'Annexe I

• Entités de l'administration publique des gouvernements centraux
• Entités de l'administration publique au niveau régional, lorsque désignées par les États membres suite à une évaluation fondée sur les risques

Couverture du sous-secteur (Annexe I – Administration publique) :

La conformité à la NIS2 pour le secteur de l'administration publique s'applique à :

Contrairement aux entités du secteur privé, les seuils de taille traditionnels des PME ne déterminent pas principalement le périmètre. L'inclusion dépend plutôt du niveau administratif et de la désignation nationale.

Les organismes publics responsables des systèmes d'identité numérique, des registres nationaux ou des services publics essentiels sont généralement inclus. Les États membres peuvent exclure certaines autorités locales lorsque le risque est jugé limité.

• Ministères et départements du gouvernement central
• Autorités nationales responsables de la fiscalité, des douanes, des registres d'état civil, des finances publiques ou des services sociaux
• Autorités régionales désignées par les États membres en vertu des lois nationales de transposition

En vertu de l'Article 21 de la Directive NIS2, les entités de l'administration publique doivent mettre en œuvre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques cybersécuritaires.

Les mesures obligatoires incluent :

Pour les organismes de l'administration publique, ces mesures de sécurité NIS2 doivent protéger les portails à destination des citoyens, les systèmes d'identité numérique, les plateformes fiscales, les systèmes de marchés publics et les réseaux internes du gouvernement.

La conformité à la NIS2 pour le secteur de l'administration publique exige une forte coordination interinstitutionnelle, des pratiques d'achat sécurisées et une supervision des sous-traitants informatiques tiers. Les systèmes gouvernementaux gèrent souvent de grandes quantités de données sensibles et constituent des cibles de grande valeur pour les adversaires cybernétiques.

• Cadre de gestion des risques
• Procédures de gestion des incidents
• Continuité d'activité et reprise après sinistre
• Sécurité de la chaîne d'approvisionnement
• Développement et maintenance sécurisés
• Politiques sur le chiffrement et la cryptographie
• Contrôle d'accès et MFA
• Gestion des vulnérabilités et des correctifs
• Formation à l'hygiène cybernétique
• Utilisation de communications sécurisées

Les entités de l'administration publique doivent respecter les délais de notification des incidents prévus par la NIS2 pour les incidents significatifs.

Les obligations de notification incluent :

Les rapports doivent être soumis au CSIRT national compétent ou à l'autorité compétente.

La règle de notification de 24 heures de la NIS2 est particulièrement critique pour les incidents affectant les services aux citoyens, les systèmes d'identité numérique ou les plateformes administratives nationales. La perturbation de services gouvernementaux essentiels qualificera généralement d'incident significatif.

Le fait de ne pas notifier dans les délais prescrits peut entraîner des mesures de supervision et des actions d'exécution.

La conformité à la NIS2 pour le secteur de l'administration publique impose une responsabilité claire à l'organe de direction ou à l'autorité de gouvernance équivalente.

Exigences clés en matière de gouvernance :

L'Article 21 de la Directive NIS2 élève la supervision de la cybersécurité au niveau exécutif au sein des institutions publiques. Les hauts responsables doivent veiller à ce que les mesures de cybersécurité soient formellement adoptées, dotées de ressources et suivies.

Compte tenu de l'intérêt public, les défaillances de gouvernance peuvent entraîner des conséquences tant réglementaires que politiques.

• Approbation des mesures de gestion des risques cybersécuritaires par la haute direction
• Suivi continu de la mise en œuvre
• Formation obligatoire en cybersécurité pour la direction
• Exposition potentielle à une responsabilité personnelle en vertu du droit national

En tant qu'entités relevant de l'Annexe I, les organismes de l'administration publique classés comme entités essentielles sont soumis à une supervision proactive. Les autorités compétentes peuvent réaliser des audits, des inspections et des évaluations de cybersécurité indépendamment de la survenue d'un incident.

Amendes administratives au titre de la NIS2 pour les entités essentielles :

Pour les organismes de l'administration publique, les États membres peuvent appliquer des modalités d'exécution spécifiques en vertu du droit national, y compris des mesures administratives plutôt que des sanctions financières. Des variations nationales dans la mise en œuvre peuvent s'appliquer.

L'examen par la supervision devrait être structuré et aligné sur les priorités nationales de sécurité.

• Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (selon le montant le plus élevé)

Les organismes de l'administration publique devraient entreprendre des actions structurées en vue de la conformité à la NIS2 :

Une préparation précoce réduit le risque d'exécution et protège la continuité des services publics.

1. Réaliser une analyse des écarts par rapport à la NIS2 dans les ministères et agences
2. Cartographier les systèmes critiques destinés aux citoyens et internes
3. Formaliser un cadre documenté de gestion des risques cybersécuritaires
4. Mettre à jour et tester les procédures de réponse aux incidents et de communication de crise
5. Revoir les contrats de passation des marchés publics pour y intégrer des clauses de cybersécurité
6. Former les hauts responsables et les responsables de départements
7. Établir un flux de signalement 24h/72h/1 mois

Les entités de l'administration publique font face à des risques spécifiques au secteur en vertu de la NIS2 :

La conformité à la NIS2 pour le secteur de l'administration publique est donc fondamentale pour la résilience gouvernementale et la confiance du public.

• Interruption de service : Les incidents cybernétiques peuvent interrompre la collecte des impôts, les systèmes d'identité ou les services sociaux.
• Exposition à la sécurité nationale : Les systèmes gouvernementaux sont des cibles de grande valeur pour des acteurs soutenus par des États.
• Compromission de la chaîne d'approvisionnement : Les sous-traitants informatiques tiers peuvent introduire des vulnérabilités.
• Sanctions réglementaires ou administratives : La non-conformité peut entraîner des mesures de supervision.
• Atteinte à la réputation et dommages politiques : La confiance du public dans les institutions peut être affectée par des défaillances de cybersécurité.