Points clés
- Les infrastructures critiques font l'objet d'un corpus réglementaire dense et évolutif qui crée des obligations précises pour leurs opérateurs.
- NIS2 (UE), DORA (secteur financier UE), NIST CSF (États-Unis) et les réglementations sectorielles nationales forment un cadre multi-niveaux exigeant.
- NIS2 couvre 18 secteurs dans l'UE et impose des délais de notification d'incident de 24 heures pour la notification initiale.
- DORA est entré en application le 17 janvier 2025 et impose aux entités financières des exigences précises sur les tests de résilience ICT et les contrats avec les fournisseurs critiques.
- Les sanctions NIS2 pour les entités essentielles peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel.
La conformité réglementaire des infrastructures critiques n'est plus un choix stratégique mais une obligation légale dont le non-respect expose les organisations à des sanctions substantielles et les dirigeants à des responsabilités personnelles. Le paysage réglementaire a connu une transformation majeure entre 2022 et 2025, avec l'entrée en vigueur de NIS2, DORA, les nouvelles règles SEC et les transpositions nationales de la directive NIS2 dans les États membres.
Pour la direction, naviguer dans ce cadre réglementaire multi-niveaux nécessite une fonction conformité capable d'identifier les obligations applicables, de les traduire en exigences opérationnelles et d'en suivre le niveau de respect. L'empilement des réglementations crée également des opportunités d'harmonisation : les exigences de NIS2 et DORA se chevauchent pour les entités financières, permettant une approche intégrée.
NIS2 : le cadre européen pour les infrastructures essentielles
La directive NIS2 (Network and Information Security Directive 2), transposée dans les États membres depuis octobre 2024, élargit considérablement le périmètre de NIS1. Elle couvre désormais 18 secteurs répartis en entités essentielles (EE) et entités importantes (EI). Les EE, qui incluent l'énergie, les transports, la banque, les infrastructures des marchés financiers, la santé et l'eau, sont soumises à un régime de supervision plus strict et à des sanctions plus élevées.
NIS2 impose quatre obligations principales : des mesures de gestion des risques cybersécurité, une notification des incidents significatifs (24h pour l'alerte initiale, 72h pour le rapport intermédiaire, un mois pour le rapport final), la responsabilité de la chaîne d'approvisionnement, et la responsabilité personnelle des organes de direction.
DORA : les exigences spécifiques au secteur financier
DORA s'applique depuis janvier 2025 aux établissements de crédit, compagnies d'assurance, prestataires de services de paiement et autres entités financières réglementées dans l'UE. Au-delà des exigences de NIS2, DORA impose des obligations spécifiques : un cadre ICT de gestion des risques approuvé par l'organe de direction, des tests de résilience basés sur la menace (TLPT) tous les trois ans pour les entités les plus significatives, et un registre des fournisseurs ICT tiers avec des contrats respectant des clauses obligatoires.
DORA classe certains fournisseurs ICT comme Prestataires Tiers Critiques (CTPPs — Critical Third-Party Providers) et leur impose une supervision directe par les Autorités Européennes de Supervision (AES). Cette désignation, qui s'applique aux grands fournisseurs cloud et aux éditeurs de logiciels systémiques, crée un régime de supervision inédit des prestataires technologiques par les régulateurs financiers.
Les réglementations sectorielles complémentaires
Au-delà de NIS2 et DORA, des réglementations sectorielles complémentent le cadre général pour certains secteurs. Dans l'énergie, le règlement européen sur la cybersécurité des réseaux d'électricité (2024) impose des exigences spécifiques aux gestionnaires de réseaux. Dans l'aviation, les règlements AESA sur la cybersécurité des systèmes embarqués et ATM/ANS imposent des exigences de certification. Dans le nucléaire, les réglementations AIEA et nationales définissent des exigences de sécurité physique et informationnelle intégrées.
Le Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), signé en 2022 et dont les règles finales sont attendues en 2025, impose aux opérateurs d'infrastructures critiques américains de notifier les incidents cybernétiques significatifs à la CISA dans les 72 heures, et les paiements de rançon dans les 24 heures. Ce régime de notification, couvrant 16 secteurs d'infrastructure critique, crée pour la première fois une obligation légale de notification cyber au niveau fédéral pour le secteur privé.
Plusieurs États membres ont engagé des procédures de sanction dès les premiers mois de mise en application de NIS2. En Allemagne, l'Agence fédérale de sécurité informatique (BSI) a émis ses premières demandes d'audit auprès d'entités essentielles ne disposant pas de documentation de gestion des risques conforme. En France, l'ANSSI a publié ses guides d'accompagnement et lancé des programmes de conformité assistée pour les secteurs santé et eau. Les premières décisions de sanction sont attendues pour 2025.
La MAS a publié en 2019 un avis sur la Cyber Hygiene (Notice MAS FSM-N26) imposant des mesures obligatoires de cybersécurité aux institutions financières de Singapour. Cet avis a été renforcé en 2022 et 2024 pour intégrer des exigences DORA-compatibles sur la gestion des risques tiers et les tests de résilience. La MAS a mené plusieurs actions de supervision contre des institutions ne respectant pas ces exigences, publiées dans ses rapports annuels de surveillance.