Les dispositions légales relatives à la cybersécurité dans la chaîne d'approvisionnement numérique imposent des exigences élevées en matière de protection des données et des systèmes d'information. Cet article vous donne un aperçu de la situation actuelle en ce qui concerne le RGPD, NIS2, DORA et CRA.
Le RGPD, NIS2, DORA, etc. obligent les entreprises à mettre en œuvre des mesures de sécurité complètes et à les surveiller en permanence. Ces réglementations visent à renforcer la résilience numérique, à garantir la protection des données et à minimiser les risques dans la chaîne d'approvisionnement.
Législation
Le RGPD est un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il est obligatoire dans tous ses éléments et directement applicable dans tous les pays membres.
Objectif
protéger les données à caractère personnel des citoyens de l'UE contre toute utilisation et tout traitement abusifs.
Établissements concernés :
Entreprises établies dans l'UE : si elles traitent des données à caractère personnel, quel que soit le lieu où le traitement effectif des données a lieu.
Organisations établies en dehors de l'UE : par exemple, lorsqu'elles fournissent des produits ou des services à des personnes dans l'UE ou lorsqu'elles surveillent leur comportement.
Exigences
Le règlement oblige les entreprises traitant des données à prendre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Cela inclut également la gestion des tiers dans la chaîne d'approvisionnement. Au regard de l'article 28 du RGPD, il est judicieux de vérifier que les sous-traitants mandatés dans la chaîne d'approvisionnement protègent correctement les données à caractère personnel et respectent les lois sur la protection des données. Notamment pour pouvoir fournir une preuve en cas de besoin. C'est bon à savoir : Celui qui, en tant que donneur d'ordre, peut prouver qu'il s'est assuré de la conformité du mode de travail d'un sous-traitant avec le RGPD peut souvent échapper à une responsabilité découlant d'une infraction commise par le sous-traitant.
validité : Depuis le 25 mai 2018
Législation
NIS 2 est une directive sur la cybersécurité dans l'UE. Les pays membres doivent transposer dans leur droit national les mesures nécessaires pour se conformer à la directive dans un délai donné.
Objectif
La NIS 2 vise à harmoniser et à améliorer le niveau de sécurité dans les États membres de l'UE.
Établissements concernés
Organisations publiques et privées fournissant leurs services dans l'UE. Distinction en deux catégories, dont découlent des obligations différentes.
1) Installations particulièrement importantes - §28 (1)
Grandes entreprises des secteurs : énergie, transport, finance, santé, eau/eaux usées, infrastructure numérique, espace et cas particuliers, quelle que soit leur taille.
2) Installations importantes - §28 (2)
Grandes et moyennes entreprises de nombreux secteurs.
Exigences
Les établissements soumis au règlement NIS 2 sont notamment tenus de prendre des mesures pour sécuriser leur chaîne d'approvisionnement. Inversement, cela signifie également se protéger contre les dangers qui pourraient provenir d'autres parties de la chaîne d'approvisionnement. Les entreprises concernées sont invitées à examiner de près leurs relations avec leurs partenaires commerciaux et leurs fournisseurs et à vérifier les exigences en matière de sécurité informatique.
validité :
En vigueur depuis le 16 janvier 2023 et maintenant à transposer par les Etats membres dans leur droit national.
La loi est disponible en Allemagne sous forme de Projet de référendum NIS2UmsuCG (juin 2024) et doit passer par la législation au niveau fédéral d'ici octobre 2024. Les informations sur les contributions sont à jour en juillet 2024, des modifications ne sont pas exclues. On s'attend à ce que la directive soit appliquée en Allemagne au printemps 2025.
Législation
DORA est un règlement sur la résilience opérationnelle numérique dans le secteur financier. Il est obligatoire dans tous ses éléments et directement applicable dans tous les Etats membres.
Objectif
DORA établit un cadre unifié pour une gestion globale de la cybersécurité et des risques liés aux TIC dans le secteur financier de l'UE. L'objectif du règlement est d'améliorer la résilience et la sécurité numériques des institutions financières actives dans l'UE. Cela comprend le renforcement des technologies de l'information et de la communication (TIC) des entreprises financières ainsi que la gestion des risques des tiers.
Établissements concernés
DORA s'applique à tous les établissements financiers opérant dans l'UE, y compris les banques, les prestataires de services de paiement, les entreprises d'investissement, les compagnies d'assurance, les plateformes de négociation et les fournisseurs de services de transmission de données. En outre, la réglementation couvre les entreprises qui fournissent des services à l'industrie financière, comme les fournisseurs de logiciels, les services informatiques gérés, les fournisseurs de matériel en tant que service, les fournisseurs de services d'informatique en nuage et les centres de données.
Exigences
En ce qui concerne la gestion du risque lié aux tiers dans le domaine des TIC, les établissements financiers sont notamment tenus de procéder à une analyse des risques et à une vérification préalable auprès du prestataire de services TIC tiers concerné avant même la conclusion du contrat. Au cours de la relation commerciale, le respect de la conformité informatique et du RGPD ainsi que l'efficacité des mesures de sécurité doivent être testés en permanence. La gestion du risque lié aux TIC tierces est assurée par DORA au chapitre 5 sont réglés.
validité :
DORA est en vigueur depuis janvier 2023 avec un délai de mise en œuvre de deux ans. Les exigences doivent donc être remplies à partir de janvier 2025.
En savoir plus sur le sujet DORA Loi sur la résilience opérationnelle numérique
Législation
Le Cyber Resilience Act (CRA) est un projet de règlement. Dès son entrée en vigueur, elle s'appliquera automatiquement et de manière uniforme dans tous les pays de l'UE.
Objectif :
Le Cyber Resilience Act est une nouvelle législation européenne qui oblige les fabricants et les distributeurs à protéger les produits numériques contre les accès non autorisés et les manipulations tout au long de leur cycle de vie. L'objectif prioritaire est de renforcer la cybersécurité dans l'UE en créant un cadre juridique normalisé pour ces produits.
Établissements concernés
Tous les fabricants, importateurs et distributeurs de produits matériels et logiciels (appareils, solutions et composants) actifs dans l'UE et appartenant au secteur grand public ou industriel.
Exigences :
Dans le cadre de la nouvelle réglementation, les fabricants et les distributeurs devront procéder à des évaluations régulières des risques et tenir des dossiers détaillés sur les caractéristiques de sécurité et les fonctions de leurs produits et services. On s'attend à ce qu'environ 90 % des produits disponibles sur le marché européen relèvent de la catégorie standard.
validité :
Le règlement n'est pas encore entré en vigueur ; la décision finale du Parlement européen est attendue pour juin 2024, suivie d'une période de transition pouvant aller jusqu'à deux ans.
LocateRisk vous aide à remplir votre devoir de diligence dans la chaîne d'approvisionnement grâce à des analyses de risques informatiques automatisées et à des questionnaires numériques. Cela assure la transparence nécessaire et accélère votre processus de sécurité.
En savoir plus sur le sujet La gestion des risques fournisseurs pour les chaînes d'approvisionnement complexes - en toute simplicité
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
Français 
Deutsch 
English