La Commission européenne souhaite pousser les entreprises à renforcer leur protection face à la montée des risques cyber. Les entités proposant des services numériques et les acteurs des smart grids seront tout particulièrement concernés par de nouvelles obligations, l’UE pointant l’essor de l’internet des objets (IoT) comme l’une des motivations principales pour revoir les règles en vigueur. Alors que le secteur de l’énergie sera particulièrement sous pression cet hiver, il représente en outre une cible de choix pour les cyberattaques. Vendredi 30 septembre, Think Smartgrids a organisé une réunion d’information avec l’ANSSI et la CRE sur les nouvelles règlementations cyber en préparation, animée par Olivier Clément du pôle cybersécurité d’Enedis et membre de la commission Data de l’association.
La directive Network and Information Security (NIS) adoptée par l’UE en 2016 demandait notamment aux États membres de définir une stratégie nationale de cybersécurité, de nommer l’autorité compétente pour en préciser les règles au niveau national (en France, l’ANSSI) et d’adopter des règles plus exigeantes applicables aux entités définies comme « opérateurs de services essentiels » (OSE) et dans une moindre mesure aux fournisseurs de services numériques (FSN).
La directive NIS s’attache ainsi à la gouvernance, la défense et la protection de la sécurité des réseaux et systèmes d’information, ainsi qu’à la résilience des activités. Les acteurs peuvent par ailleurs être soumis à des contrôles de sécurité et sont tenus de notifier à l’ANSSI tout incident cyber significatif.
Présentée par Nicolas Broutin de l’ANSSI, la nouvelle version de la directive Network and Information Security (NIS II) pourrait faire évoluer certaines règles, et surtout, les imposer à un nombre d’acteurs bien plus élevé que dans sa première version. La directive NIS 2 stipule ainsi que toutes les entités grandes ou moyennes actives dans les secteurs couverts (énergie, transport, digital, etc.) devront se conformer aux règles de sécurité et traite pour la première fois de la cybersécurité de la chaîne d’approvisionnement des TIC (d’une importance particulière dans le cas de l’IoT).
Le pouvoir de sanction devrait aussi être largement renforcé. La Commission européenne propose ainsi des amendes comprises entre 1,4 et 2% du chiffre d’affaires annuel. La responsabilité pénale des dirigeants peut également être engagée dans le cas des OSE.
Le Network Code on Cybersecurity (NCCS), qui définira plus précisément les règles de cybersécurité applicables au secteur de l’électricité, a ensuite été présenté par Roman Picard des services de la Commission de Régulation de l’Energie. Encadré et revu par l’ACER, rédigé par l’ENTSO-E et EU.DSO Entity (associations européennes mandatées par la commission pour représenter les transporteurs et distributeurs d’électricité), le NCCS a été soumis à la Commission européenne en juillet 2022. Ce « code réseaux » établira une norme européenne pour la cybersécurité des flux électriques transfrontaliers. Il comprend des règles relatives à l’évaluation des risques cybersécurité, à la mise en place d’exigences minimales communes, à la protection des informations échangées, au partage d’information, ou encore à la gestion de crise. Il définit en outre les rôles et les responsabilités des différentes parties prenantes pour chaque activité.
La publication de NIS II est attendue pour fin 2022, et sa transposition dans les États membres devrait intervenir sous 21 mois, pour une mise en application prévue courant 2024 en France. La publication du Code réseau devrait quant à elle intervenir au premier trimestre 2023, avec une période transitoire d’environ 2 ans pour laisser le temps aux entités impactées de mettre en œuvre toutes ses composantes.
L’ANSSI et la CRE recommandent à toute la filière smart grids de commencer dès maintenant à se préparer à l’arrivée de ces nouvelles réglementations, en commençant par cartographier leur parc d’équipements et leur réseau d’outils informatiques et de sites internet puis en développant une politique cyber qui corresponde aux besoins identifiés. Parmi les règles d’or d’une bonne stratégie cyber : limiter la surface d’attaque, éliminer ce qui n’est pas forcément utile et peut représenter une vulnérabilité, maîtriser les accès à ses outils informatiques et sites internet, ou encore s’assurer d’une application harmonisée de la politique cyber définie, y compris au sein de grands groupes. Enfin, les intervenants pointent l’enjeu crucial des compétences et de la diffusion d’une culture de la cybersécurité au sein des entités, avec une politique cyber harmonisée.
En savoir plus :
ANSSI – présentation de la directive NIS : https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/
ACER – “Acer submits European Commission revised Network Code on electricity cybersecurity” : https://www.acer.europa.eu/events-and-engagement/news/acer-submits-european-commission-revised-network-code-electricity
Parlement européen – “The NIS2 Directive: A high common level of cybersecurity in the EU” : https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333