NIS2 et DORA : de quoi s’agit-il et comment l’identité favorise-t-elle la conformité ?

Fin 2022, le Parlement européen a approuvé deux nouvelles législations : la deuxième version de sa directive sur la sécurité des réseaux et des systèmes d’information (NIS2) et le règlement DORA (Digital Operational Resilience Act) relatif à la résilience opérationnelle numérique. À compter du 18 octobre 2024, les États membres de l’UE seront tenus d’adopter les mesures définies dans la directive NIS2, tandis que le règlement DORA entrera en vigueur le 17 janvier 2025.

Ces deux textes devraient modifier considérablement la façon dont les entreprises de l’UE abordent la numérisation et la cybersécurité. Mais qu’impliquent ces réglementations ? Quels risques pourraient-elles engendrer du point de vue de la conformité ? Et comment une solution d’identité moderne peut-elle aider ? Cet article de blog répond à toutes ces questions.

Directive NIS2 et règlement DORA : de quoi s’agit-il ?

La directive sur la sécurité des réseaux et des systèmes d’information (NIS2) s’inscrit dans le cadre des efforts déployés par l’UE pour améliorer la cybersécurité et protéger les infrastructures critiques contre les cybermenaces. Elle vise à garantir que les fournisseurs de services numériques disposent de mesures de sécurité appropriées pour se protéger contre les cyberincidents et assurer la résilience des réseaux et systèmes critiques. Elle cherche également à établir la responsabilité des dirigeants d’entreprise en cas de non-respect des obligations en matière de cybersécurité.

Le règlement sur la résilience opérationnelle numérique (DORA) vise à garantir la résilience opérationnelle numérique du secteur financier de l’UE en établissant un cadre réglementaire harmonisé qui tient compte de la dépendance croissante de ce secteur à l’égard des technologies numériques. Ce règlement propose plusieurs exigences auxquelles les entreprises devront se conformer, notamment :

1. Identification et protection des systèmes IT critiques
2. Mise en œuvre de plans adéquats de résolution des incidents et de continuité d'activité
3. Tests et évaluations des risques réguliers
4. Mise en place d’un cadre de signalement des incidents majeurs
5. Surveillance et évaluation adéquates de la résilience opérationnelle des fournisseurs de services tiers

Quelles sont les sanctions prévues en cas de non-respect de la directive NIS2 et du règlement DORA ?

Les amendes prévues en cas de non-respect de la directive NIS peuvent être sévères, allant d’un montant maximal d’au moins 10 millions d’euros ou 2 % (pour les entités essentielles) à un montant maximal d’au moins 7 millions ou 1,4 % (pour les entités importantes) du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise, le montant le plus élevé étant retenu.

Par ailleurs, les établissements financiers qui ne respectent pas les exigences du règlement DORA s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total. La non-conformité représente par conséquent un risque important susceptible de nuire gravement à la santé financière et à la réputation de l’établissement.

Quel rôle l’identité joue-t-elle dans la conformité DORA et NIS2 ?

L’identité numérique jouera un rôle essentiel dans la conformité aux exigences NIS2 et DORA, et ce pour plusieurs raisons :

1. Protection des réseaux et systèmes contre les cybermenaces
La directive NIS2 exige que les fournisseurs de services numériques mettent en œuvre des mesures de sécurité strictes pour réduire les risques de cybermenaces et qu’ils signalent les cyberincidents majeurs aux autorités compétentes. En faisant en sorte que seuls les utilisateurs ou systèmes autorisés puissent accéder à un réseau ou système, l’identité limite considérablement le risque de cyberattaque. Elle permet également d’automatiser les processus de signalement afin d’accélérer les opérations et d’éviter les erreurs humaines.

2. Renforcement de la résilience opérationnelle|
Le règlement DORA cherche à renforcer la résilience opérationnelle des fournisseurs de services numériques en les contraignant à adopter une approche axée sur les risques pour leurs opérations. En faisant en sorte que seules les personnes possédant les bons identifiants et les niveaux d’accès requis exécutent les fonctions critiques, la gestion des identités numériques peut réduire de façon significative le risque de défaillances opérationnelles et de cyberincidents.

3. Renforcement des processus d’accès aux données
Une gestion efficace des identités numériques est essentielle pour protéger les données contre l’utilisation abusive et les accès non autorisés, ainsi que pour pouvoir signaler efficacement les incidents éventuels aux diverses autorités compétentes. La gestion des accès dans le cloud permet aux entreprises de comprendre instantanément qui a accès à quelles informations, de produire les preuves vérifiables nécessaires et d’automatiser les processus clés, ce qui est indispensable à la conformité aux exigences du règlement DORA et de la directive NIS2.

Comment Okta peut-il vous aider à assurer la conformité ?

Okta Workforce Identity Cloud (WIC) vous permet de protéger l’accès de tous les utilisateurs (collaborateurs, prestataires et autres), où qu’ils soient et quel que soit le terminal qu’ils utilisent. Cette solution est conçue pour aider les responsables à améliorer la productivité et l’efficacité, à moderniser l’IT et l’infrastructure, ainsi qu’à renforcer la sécurité, ce qui est particulièrement important dans le contexte du règlement DORA et de la directive NIS2.

Des produits tels que Single Sign-On (SSO), Adaptive Multi-Factor Authentication (MFA) et Passwordless Authentication améliorent votre niveau de cybersécurité tout en offrant une expérience fluide à vos collaborateurs. Nous proposons également la solution Okta Identity Governance (OIG), qui combine Okta Workflows, Okta Lifecycle Management et Okta Access Governance pour vous aider à atténuer les risques et à améliorer l’efficacité.

Une infrastructure moderne telle que Workforce Identity Cloud simplifie votre mise en conformité à DORA et à NIS2 en vous aidant à améliorer la cybersécurité, à implémenter des processus de gestion des accès plus robustes et à préserver une disponibilité optimale des services d’identité.

Pour découvrir comment Okta Workforce Identity Cloud et nos autres solutions peuvent aider votre entreprise à se mettre en conformité au règlement DORA et à la directive NIS2, contactez notre équipe.