NIS2 et secteur public canadien : anticiper les nouvelles exigences de résilience numérique
La directive européenne NIS2 est entrée en application en octobre 2024 dans les États membres de l’UE. Les organisations canadiennes partenaires d’entités européennes dans 18 secteurs critiques sont directement concernées.
La directive NIS2 (Network and Information Security 2) représente le cadre le plus ambitieux jamais adopté en Europe pour la cybersécurité des secteurs critiques. Avec 18 secteurs visés (contre 7 pour NIS1), des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, et une responsabilité personnelle des dirigeants en cas de manquement, NIS2 marque un tournant majeur. Et ses effets dépassent largement les frontières européennes.
Qui est concerné au Canada ?
Les organisations canadiennes concernées incluent les : fournisseurs de services numériques à des entités NIS2 européennes, partenaires technologiques d’infrastructures critiques européennes, sous-traitants dans les chaînes d’approvisionnement TIC de secteurs visés, et organisations du secteur public ayant des accords de coopération avec des homologues européens.
Les 18 secteurs couverts par NIS2
- Secteurs hautement critiques : énergie, transports, banque, infrastructures de marché financier, santé, eau potable, eaux usées, infrastructure numérique, TIC (services gérés), administration publique, espace
- Secteurs critiques additionnels : services postaux, gestion des déchets, fabrication (chimie, pharma, médecine, électronique), production alimentaire, fournisseurs numériques, recherche
- Seuils : NIS2 s’applique aux entités de taille moyenne (>50 employés ou >10 M€ de CA) et aux grandes entités (>250 employés ou >50 M€ de CA)
Les exigences minimales de NIS2
- Politiques d’analyse et de gestion des risques de sécurité TIC formalisées
- Gestion des incidents : détection, classification, notification aux autorités dans les 24h (alerte préliminaire) et 72h (rapport d’incident)
- Continuité des activités et reprise après sinistre (BCP/DRP) documentés et testés
- Sécurité de la chaîne d’approvisionnement : évaluation des fournisseurs TIC critiques
- Authentification multi-facteurs (MFA) obligatoire pour tous les accès sensibles
- Chiffrement des données en transit et au repos pour les systèmes critiques
- Formation et sensibilisation à la cybersécurité pour tous les employés
Synergies NIS2 et réglementations canadiennes
- Directive sur les services essentiels (DSE) du Québec : le Québec travaille à une législation similaire à NIS2 pour ses infrastructures critiques
- Loi sur la protection des systèmes d’information essentiels (C-26) : le projet de loi canadien fédéral s’inspire directement de NIS2
- Recommandations CCC : l’adoption des contrôles CCC permet de couvrir la majorité des exigences NIS2
- ISO 27001:2022 : un SMSI certifié ISO 27001 démontre une conformité substantielle avec NIS2
CapGRC intègre les référentiels NIS2 et DORA
Gérez simultanément NIS2, DORA et vos exigences canadiennes sans duplication des efforts.