Conformité à NIS2 pour le secteur de la recherche

Les institutions de recherche contribuent au progrès scientifique, à l'innovation technologique et à la compétitivité économique dans l'ensemble de l'Union européenne. Les universités, les laboratoires de recherche et les organisations de recherche spécialisées gèrent des actifs intellectuels sensibles, des technologies avancées et des collaborations transfrontalières. La numérisation croissante des données de recherche, des systèmes de laboratoire et des environnements de calcul haute performance a élargi l'exposition aux risques cyber.

La Directive NIS2 établit des obligations de cybersécurité à l'échelle de l'UE pour les entités Essential et Important et étend considérablement le périmètre du cadre NIS initial. La conformité à NIS2 pour le secteur de la recherche vise à renforcer la résilience des entités qui mènent des recherches scientifiques et technologiques critiques.

La Directive s'applique aux organisations de taille moyenne et aux grandes organisations opérant dans des secteurs désignés, y compris certaines entités de recherche. Le périmètre est défini par le type d'activité de recherche et les critères de désignation nationaux.

Si votre organisation mène des activités de recherche relevant du périmètre défini, elle peut relever de NIS2 en tant qu'entité Important.

Le secteur de la recherche est classé comme :

Annexe pertinente : Annexe II (entités importantes)

Cela inclut les entités dont l'objectif principal est de mener des recherches appliquées ou expérimentales, y compris les institutions de recherche engagées dans le développement technologique ou scientifique.

Les entités qui atteignent les seuils de taille applicables sont traitées comme des entités Important en vertu de NIS2.

• Entité importante au titre de l'annexe II

• Organisations de recherche

Couverture du sous-secteur (Annex II – Research):

La conformité à NIS2 pour le secteur de la recherche s'applique à :

Cela inclut les instituts de recherche, les organisations privées de R&D et les laboratoires spécialisés qui respectent les critères de taille de l'UE.

L'applicabilité de NIS2 aux PME est particulièrement pertinente dans ce secteur, car de nombreuses institutions de recherche opèrent à l'échelle d'entreprises de taille moyenne. Les petites entités de recherche qui ne remplissent pas les seuils de taille peuvent être hors du périmètre, sauf si elles sont spécifiquement désignées en vertu du droit national.

Les universités peuvent être couvertes lorsqu'elles atteignent les critères de taille et répondent à la définition d'organisations de recherche prévue par les lois nationales de transposition.

• Medium-sized enterprises (≥50 salariés et/ou 10 millions d'euros de chiffre d'affaires annuel ou total du bilan)
• Large enterprises dépassant ces seuils

En vertu de l'Article 21 de la Directive NIS2, les entités de recherche doivent mettre en œuvre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité.

Les mesures obligatoires comprennent :

Pour le secteur de la recherche, ces mesures de sécurité NIS2 doivent protéger les référentiels de données de recherche, les systèmes de propriété intellectuelle, les équipements d'automatisation des laboratoires et l'infrastructure de calcul haute performance.

La conformité à NIS2 pour le secteur de la recherche exige des contrôles d'accès stricts pour les données de recherche sensibles, des plateformes de collaboration sécurisées et une supervision des partenaires de recherche tiers. La protection de la propriété intellectuelle et la continuité des opérations de recherche sont au cœur des efforts de conformité.

• Cadre de gestion des risques
• Procédures de gestion des incidents
• Continuité d'activité et reprise après sinistre
• Sécurité de la chaîne d'approvisionnement
• Développement et maintenance sécurisés
• Politiques sur le chiffrement et la cryptographie
• Contrôle d'accès et MFA
• Gestion des vulnérabilités et des correctifs
• Formation à l'hygiène cyber
• Utilisation de communications sécurisées

Les entités de recherche doivent respecter les délais de notification des incidents prévus par NIS2 lorsque des incidents significatifs se produisent.

Les obligations de notification comprennent :

Les rapports doivent être soumis au CSIRT national compétent ou à l'autorité compétente.

La règle de notification sous 24 heures NIS2 est particulièrement pertinente lorsque des incidents cyber compromettent des données de recherche sensibles, perturbent des systèmes de laboratoire ou affectent des plateformes collaboratives. Les incidents significatifs peuvent inclure des violations de données affectant l'intégrité de la recherche ou la propriété intellectuelle.

Le non-respect des délais de notification prescrits peut entraîner des mesures d'exécution réglementaires et des sanctions financières.

La conformité à NIS2 pour le secteur de la recherche impose une obligation de responsabilité à l'organe de direction.

Principales exigences de gouvernance :

L'Article 21 de la Directive NIS2 élève la supervision de la cybersécurité au niveau de la direction exécutive. La haute direction doit veiller à ce que les contrôles de cybersécurité soient alignés sur les risques institutionnels et les objectifs de protection de la recherche.

Les défaillances de gouvernance peuvent exposer les institutions à un examen réglementaire, à des risques de financement et à des dommages réputationnels.

• Approbation des mesures de gestion des risques de cybersécurité par l'organe de direction
• Surveillance continue de la mise en œuvre
• Formation obligatoire en cybersécurité pour la direction
• Exposition potentielle à la responsabilité personnelle en vertu du droit national

En tant qu'entités Annex II, les organisations de recherche classées comme entités Important sont soumises à une supervision réactive. Les autorités compétentes initient généralement des mesures de surveillance suite à des éléments de preuve ou à une notification de non-conformité.

Les amendes administratives pour non-conformité sont :

Les lois nationales de transposition peuvent préciser les procédures de supervision, mais la Directive établit des seuils minimaux d'amende harmonisés entre les États membres.

L'application devrait se concentrer sur la protection des données sensibles et la continuité des opérations de recherche.

• Important entities : Jusqu'à €7 million ou 1,4% du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)

Les PME de recherche devraient adopter une approche structurée de conformité :

Une préparation anticipée réduit le risque de sanctions et protège la propriété intellectuelle.

1. Réaliser une évaluation des écarts par rapport à NIS2
2. Cartographier les systèmes de recherche critiques et les référentiels de données
3. Formaliser un cadre documenté de gestion des risques de cybersécurité
4. Mettre à jour et tester les plans de réponse aux incidents et de récupération des données
5. Examiner les accords avec les partenaires de recherche et les sous-traitants
6. Former la direction exécutive et les responsables de la recherche
7. Établir un processus de notification 24h/72h/1 mois

Les entités de recherche sont confrontées à des risques spécifiques au secteur en vertu de NIS2 :

La conformité à NIS2 pour le secteur de la recherche est donc essentielle pour protéger l'innovation et la résilience institutionnelle.

• Vol de propriété intellectuelle : Les incidents cyber peuvent compromettre des données de recherche propriétaires.
• Perturbation opérationnelle : Les systèmes d'automatisation des laboratoires peuvent être affectés.
• Compromission de la chaîne d'approvisionnement : Les partenaires et fournisseurs de recherche introduisent des risques tiers.
• Amendes réglementaires : La non-conformité peut entraîner des sanctions financières importantes.
• Atteinte à la réputation : Les violations de données peuvent affecter la crédibilité institutionnelle et les opportunités de financement.