NIS2 et l'électromobilité

NIS2 en pratique

Avec la directive NIS2 (UE 2022/2555), l’Union européenne concrétise les exigences en matière de cybersécurité, de gestion des risques et de responsabilité de gestion dans des secteurs définis. La directive s’adresse aux organisations et non aux technologies ou aux infrastructures en tant que telles.

reev a évalué l’applicabilité de la directive NIS2 dans le cadre d’une évaluation interne. Sur la base de cette évaluation et compte tenu de la transposition allemande dans le cadre de la BSIG amendée, reev se traite comme une entité importante (“important entity”) entrant dans le champ d’application. Les exigences de la directive sont intégrées dans les structures de gouvernance et de gestion existantes.

Champ d’application et catégorisation

NIS2 fait la distinction entre les “essential entities” et les “important entities”. Des exigences de sécurité comparables s’appliquent à ces deux catégories. Les différences résident dans l’intensité de la surveillance réglementaire.

Le fait qu’une entreprise soit couverte par la directive dépend de :

• de la mise en œuvre nationale
• la classification sectorielle
• les seuils applicables

Le degré d’affectation doit donc être évalué individuellement.

Exigences centrales selon NIS2

Gestion des risques et résilience

Les entreprises doivent mettre en œuvre des mesures appropriées et documentées, couvrant notamment les domaines suivants :

• Prévention des cybermenaces
• Détection des incidents liés à la sécurité
• Réaction et récupération
• Continuité d’activité et gestion de crise

Ces mesures doivent être conçues en fonction des risques et relèvent de la responsabilité de la direction.

Obligations de déclaration d’incident

L’article 23 prévoit une procédure de notification en trois étapes :

• Alerte précoce dans les 24 heures suivant la connaissance d’un incident significatif
• Déclaration actualisée dans les 72 heures avec une première évaluation de l’impact
• Rapport final dans un délai d’un mois

En outre, des processus internes structurés avec des responsabilités clairement définies et des voies décisionnelles documentées sont nécessaires. Les obligations de déclaration concernent à la fois les délais et la communication formalisée avec les autorités.

Responsabilité de gestion

La direction est tenue d’approuver les mesures de gestion des cyber-risques et de surveiller leur mise en œuvre. Les mises en œuvre nationales peuvent également prévoir des obligations de formation et d’information pour les organes de direction.

Les autorités de contrôle disposent de pouvoirs d’exécution qui peuvent inclure, outre des amendes, des injonctions, des audits et des inspections.

Sécurité de la chaîne d’approvisionnement

Les entreprises doivent aborder systématiquement les risques liés aux relations avec les tiers. Cela inclut

• Évaluation des normes de sécurité des fournisseurs de services critiques
• Mise en œuvre de dispositions contractuelles appropriées
• Documentation et suivi des risques de la chaîne d’approvisionnement

Les exigences en matière de documentation et de preuve font partie intégrante des exigences réglementaires.

ISO 27001 et NIS2

reev dispose d’un système de gestion de la sécurité de l’information (ISMS) conforme à la norme ISO 27001. Ce système constitue la base structurelle de la gestion des risques, de la gestion des incidents, de la continuité des activités et de la gestion des fournisseurs.

Dans le cadre d’une analyse interne, les exigences de la directive NIS2 ont été comparées aux structures ISO 27001 existantes. Toutefois, la norme ISO 27001 ne remplace pas une structure de conformité NIS2 autonome.

NIS2 comprend des exigences formelles supplémentaires, notamment en ce qui concerne :

• Enregistrement auprès des autorités compétentes
• des délais de déclaration réglementaires obligatoires
• des exigences accrues en matière de documentation
• une responsabilité de gestion explicite
• la communication formalisée avec les autorités

Ces exigences ont été ancrées dans l’organisation et intégrées dans les processus existants.

Architecture de système dans un contexte réglementaire

Dans les opérations de charge, un système de gestion – souvent appelé CPMS (Charge Point Management System) – constitue généralement l’instance centrale de gestion et de contrôle de l’infrastructure de charge. En complément, des systèmes de gestion de l’énergie (EMS) peuvent être intégrés.

L’architecture du système est un élément technique de la capacité de mise en œuvre réglementaire, notamment en ce qui concerne les contrôles d’accès, la journalisation et la traçabilité.

La conformité aux exigences réglementaires reste toutefois une responsabilité liée à l’entreprise.

Le rôle de la plateforme d’énergie et de recharge de reev

La plateforme d’énergie et de charge de reev prend en charge des processus structurés de sécurité et de documentation dans les opérations de charge.

Elle permet notamment

• Umsetzung granularer Zugriffskontrollen und Multi-Faktor-Authentifizierung
• l’enregistrement structuré des événements liés à la sécurité
• Prise en charge de la documentation relative à l’audit
• intégration contrôlée de systèmes tiers

La plate-forme elle-même n’établit pas la conformité à la norme NIS2.

Conclusion

NIS2 concrétise les exigences en matière de gestion des risques, de responsabilité de gestion, de processus de déclaration et de surveillance. reev intègre ces exigences dans les structures ISMS et de gouvernance existantes. L’architecture technique des systèmes soutient la mise en œuvre, mais ne remplace pas la responsabilité organisationnelle.