Dans de trop nombreuses entreprises, les rôles de RSSI et de DPO sont souvent attribués à la même personne. Il devient indispensable de répartir les responsabilités entre les deux postes pour garantir une gestion efficace et éviter que ces rôles ne se réduisent à de simples acronymes.
Les perspectives sont sans équivoque. Une fois que la directive NIS2 sera transposée dans les législations nationales, et même avec une mise en application française qui risque fort d’être retardée du fait du futur calendrier parlementaire, elle améliorera durablement la perception de la conformité réglementaire dans les États membres de l’Union européenne.
C’est la première fois qu’une coopération en matière de cybersécurité entre États membres de l’UE est explicitement encouragée.
D’ici là, les dirigeants de toutes les entreprises auront saisi l’urgence de mettre en place des programmes de sécurité robustes face aux menaces de sanctions administratives similaires à celles du RGPD. La directive encourage également les États membres à renforcer leurs cyber stratégies nationales.
Que préconise la directive ? Avant tout, une plus grande harmonisation des exigences en matière de sécurité et des obligations de signalement à travers les pays de l’UE. C’est dans ce but qu’a été créé le réseau européen CyCLONe (European Cyber Crises Liaison Organization Network).
Il permet de coordonner les communications en cas de nouvelles vulnérabilités. Dans cette optique, la création du réseau des CSIRT de l’UE joue également un rôle important.
Établi en même temps que NIS et renforcé par NIS2, il vise à développer la confiance et à permettre une coopération opérationnelle rapide et efficace entre les États membres. Composé des équipes nationales de réponse aux incidents de sécurité informatique (CSIRT), le réseau prévoit des échanges au moins tous les 18 mois.
Distinction entre les rôles du RSSI et du DPO
La directive permet une meilleure coopération entre le service juridique et la sécurité de l’information au sein des entreprises. Elle impose des exigences plus strictes en termes de sécurité pour les entreprises, en instaurant une approche basée sur la gestion des risques. Pour ce faire, elle propose, notamment, une liste de critères de sécurité minimaux à respecter. Les obligations de déclaration, comme le signalement des violations de la sécurité et de la protection des données, sont désormais réglementées de manière plus explicite.
Les dispositions plus précises simplifient le processus de signalement des incidents en en précisant le contenu et le calendrier. Désormais, les entreprises doivent soumettre un premier rapport à l’ANSSI dans les 24 heures suivant l’incident. Elles doivent ensuite fournir des détails plus précis et une analyse approfondie 72 heures plus tard, puis préparer un rapport complet un mois après.
Autre nouveauté importante : la distinction entre le rôle du RSSI et celui du délégué à la protection des données DPD, plus communément appelé DPO. L’objectif de la directive est, entre autres, de relever le niveau de maturité de la sécurité de l’information dans toutes les entreprises concernées.
Le rôle du RSSI évoluera pour devenir davantage celui d’un conseiller auprès de la direction. Cela va créer un lien plus étroit entre les exigences de l’entreprise et les technologies de l’information. Dans le meilleur des cas, NIS2 renforce les liens entre les entreprises et les autorités nationales de sécurité respectives et veille à ce que les stratégies et pratiques de sécurité en place soient conformes à leurs exigences.
Quant au DPO, son rôle prend ici tout son sens car la directive NIS2 contribue également à renforcer la conformité au RGPD. Les professionnels ont déjà recensé plus de 28 000 DPO dans le monde depuis l’entrée en vigueur du RGPD.
Cependant, dans de trop nombreuses entreprises, les rôles de RSSI et de DPO sont souvent attribués à la même personne. Cette « norme » doit changer dans toutes les entreprises qui sont désormais soumises à NIS2 car le champ des responsabilités est trop vaste pour être géré par une seule et même personne.
Il devient indispensable de répartir les responsabilités entre les deux postes pour garantir une gestion efficace et éviter que ces rôles ne se réduisent à de simples acronymes.
