Quelles sont les principales similitudes et différences entre le RGPD et la directive NIS2 ?
Le Règlement Général pour la Protection des Données à Caractère Personnel (RGPD) est en vigueur depuis mai 2018. La loi de transposition de la directive NIS2 sur la cybersécurité achève son parcours parlementaire.
Identifier les convergences entre ces deux réglementations devrait engendrer économie et cohérence dans le déploiement de la politique de cybersécurité.
Pour les PME, CUMHAL encourage même de bâtir une double conformité RGPD-NIS 2.
Regardons donc ensemble les similitudes et les différences …
Des objectifs clairement différents …
Le RGPD protège la vie privée des citoyens à travers la protection des informations personnelles qui les concernent au sein des systèmes d’informations
La directive NIS2 protège la société à travers la sécurité des systèmes d’informations nécessaires à son fonctionnement.
Ainsi, la fuite des données de comptes clients de Free est analysée sous le prisme de la conformité RGPD puisque les conséquences sont mesurées sur les menaces engendrées sur les personnes alors qu’une attaque par ransomware sur un CHU sera regardée sous l’angle de la perturbation du système de santé. Or, dans ces deux cas, le respect du RGPD et la directive NIS sont en jeu.
… qui participent à la même volonté
Avec un regard différent, le RGPD et la directive NIS2 incitent les organisations à renforcer leur cybersécurité, ou sécurité des systèmes d’information.
L’article 2 du RGPD vise globalement toutes les organisations car elles manipulent toutes des données personnelles. Le renforcement de la cybersécurité (article 32) est recherché sur les systèmes manipulant ce type de données.
Les articles 8 et 9 de la loi de renforcement de la cybersécurité (transposition NIS2) désigne une partie des organisations selon leur appartenance à un secteur critique et leur impact pour le fonctionnement de la société. Par exemple, une entreprise de plus de 50 personnes d’un des 18 secteurs critiques passent sous la coupe de NIS2. De plus, les 20 000 organisations qui seraient, en France, concernées par NIS2 devront s’assurer de la cybersécurité de leurs sous-traitants.
Au bilan, l’effet conjoint du RGPD et de NIS2 devrait épargner peu d’organisations de l’obligation de renforcer leur cybersécurité.
La même approche par le risque
Le RGPD et NIS2, comme la majorité des dispositifs de conformité, exigent une approche par le risque sachant que les événements redoutés à envisager, les atteintes aux systèmes d’information sont similaires.
Les évaluations respectives des risques de cyberattaque pour NIS2 et le RGPD auront des points communs.
Comme les objectifs sont différents, les impacts ne sont pas mesurés selon le même regard : le RGPD regarde l’effet sur la vie privée des citoyens alors que NIS2 évalue l’impact sur l’entreprise. Certains événements auront un impact NIS2 sans conséquence RGPD dans le cas de données de production par exemple. D’autres auront un effet RGPD sans impact sur le fonctionnement de la société. Néanmoins, les événements les plus graves dégraderont l’image de l’entreprise et entraineront des conséquences juridiques et commerciales.
En revanche, la mesure de la vraisemblance de l’événement sera identique car ce sont les mêmes systèmes d’informations avec leurs menaces et leurs vulnérabilités qui seront touchés.
Il parait donc pertinent de faire converger les analyses de risques en mesurant un impact sur la vie privée (RGPD) lorsque le système d’information attaqué manipule des données personnelles.
Une politique de cybersécurité commune
Les mesures techniques et organisationnelles pour prévenir les cyberattaques seront communes. En effet, les exigences de la protection des données personnelles (volet sécurité des PIA) et celles de la cybersécurité (Normes ISO 2700) sont identiques sur la plupart des aspects.
La politique de sécurité des systèmes d’information (PSSI) sera donc construite en définissant les conformités RGPD et NIS2 dans ces objectifs.
Des besoins spécifiques du RGPD
Regarder le RGPD sous l’angle de la cybersécurité ne doit cependant pas faire oublier les autres principes généraux de son article 5.
Ils impliquent une analyse et l’élaboration de documents spécifiques comme le registre des activités de traitement (article 30), les mentions d’informations (article 12 à 14) ou les analyses d’impact (article 35).
L’organisme qui manipule les données à caractère personnel des citoyens, personnes concernées dans le RGPD, doit mettre en place un mécanisme leur permettant d’exprimer leurs droits.
La protection des données à caractère personnel impose le respect d’exigences juridiques qui dépasse largement le besoin de cybersécurité. La charge de travail pour la conformité RGPD hors cybersécurité représente plus de la moitié du besoin total.
La plupart des sanctions prononcées sont liées à des manquements non liés à la cybersécurité mais les violations les plus sont graves dont sont victimes les personnes sont dues à des incidents de sécurité (Free, Cultura, Viamédis et Almérys).
La défense et la résilience : un volet supplémentaire NIS2
Le RGPD et NIS2 exigent la journalisation et la notification éventuelles des incidents de sécurité vers les autorités de contrôle de la conformité : respectivement la CNIL et l’ANSSI.
En revanche, la loi de transposition NIS2 spécifie le besoin de résilience des activités dans son article 14, avec à la clé, la nécessité de déployer un dispositif de communication de crise et des plans de continuité et de reprise des activités (PCA-PRA).
Le RGPD n’explicite pas le besoin d’un dispositif de gestion et de communication de crise. Néanmoins, en cas de violation massive de données, l’obligation de notification des personnes concernées (article 34) représente une opération de communication de crise qui sera prise en charge par la cellule mise en place pour répondre à l’exigence NIS2.
Une organisation du contrôle et des sanctions similaires.
Les autorités de contrôle, CNIL et ANSSI, auront demain des modes de contrôle similaires.
La collaboration entre ces autorités est explicitée : mieux vaut penser à notifier les incidents de sécurité aux deux organismes !
La nature des sanctions est voisine et les montants avancés sont du même ordre. D’ailleurs l’article 37 de la loi pour le renforcement de la cybersécurité indique que les sanctions financières CNIL et ANSSI sont non cumulatives.
En revanche, NIS2 envisage une nouvelle sanction : l’interdiction d’exercer pour un dirigeant reconnu négligeant avec la cybersécurité.
Vers la convergence des conformités RGPD-NIS2
L’accumulation des normes pèse sur les entreprises. Or, le renforcement de la cybersécurité est essentiel pour leur santé à long terme.
CUMHAL milite et une propose une double conformité RGPD-NIS2 par souci de cohérence et de limitation des coûts.
Elle a évidemment ses limites lorsque la protection de la vie privée soulève des réponses juridiques élaborées lorsque les systèmes d’information sont complexes.
En revanche, la double conformité RGPD-NIS2 est adaptée aux PME aux moyens limités avec des besoins de processus simples adaptés à leur taille.
Le débat sur la fusion des responsabilités de DPO et de RSSI est plus que jamais d’actualité. Militant de la fusion pour les PME, CUMHAL propose d’exercer simultanément ces deux rôles.
Au moment où 20 000 organisations vont devoir déployer leur conformité NIS2, pourquoi se priver de la compétence des 34 440 délégués à la protection des données déclarés auprès de la CNIL ?
Ces derniers disposent en effet des connaissances en cybersécurité et maîtrisent les savoir-faire requis par NIS2.