Flash infos

Retour

Flash infos

21/02/24

RISQUES CYBER – RGPD| DORA | NIS2

Le prestataire IT : Qui est responsable ?

 

Dans notre précédent « RDV Experts » nous évoquions les nouvelles contraintes qui portent sur les entreprises et les acteurs publics pour ce qui concerne les contrats avec les prestataires tiers dans le domaine de l’IT.

Mais la responsabilité n’est pas seulement celle de l’établissement public ou privé en tant que personne morale, deux autres acteurs sont directement visés par les nouvelles règles européennes, notamment :

  •  Les « organes de direction » ;
  • Les « membres de l’encadrement supérieur responsables des TIC »

 

 

La responsabilité des « organes de direction »

Il suffit de lire quelques considérants de NIS2 ou DORA pour prendre la mesure de cette responsabilité. Il en est ainsi du Considérant 137 de NIS2 ou du Considérant 45 de DORA.

 

♦ Extrait NIS 2

« La présente directive devrait viser à assurer un niveau de responsabilité important pour les mesures de gestion des risques en matière de cybersécurité et les obligations d’information au niveau des entités essentielles et importantes. Par conséquent, les organes de direction des entités essentielles et importantes devraient approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur mise en œuvre. »

 

♦ Extrait DORA

« Pour garantir une concordance complète et une cohérence globale entre les stratégies d’entreprise des entités financières, d’une part, et la mise en œuvre de la gestion du risque lié aux TIC, d’autre part, les organes de direction des entités financières devraient être tenus de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion du risque lié aux TIC et de la stratégie globale de résilience opérationnelle numérique. (…)

 

En pratique les organes de direction sont tenus par 3 grandes obligations :

Supervision du cadre de sécurité ⇒ Définition du cadre de sécurité ⇒ Approbation du cadre de sécurité 

 

NIS2 va même jusqu’à imposer aux organes de direction de suivre une formation de nature à « acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité ».

Quant à DORA elle retient la notion de responsabilité « ultime » des organes de direction.

 

 

La responsabilité des membres de l’équipe IT

Les nouvelles règles ne visent pas les seuls organes de direction. Elles visent également certains membres de l’équipe en charge de l’IT. L’article 13 de DORA précise par exemple que

 

♦ « 5. Les membres de l’encadrement supérieur responsables des TIC rendent compte au moins une fois par an, à l’organe de direction, des constatations visées au paragraphe 3 et formulent des recommandations. ».

Bien que cette notion de « membres de l’encadrement supérieur » ne soit pas précisée, il est clair que les DSI et les RSSI/CISO dès lors qu’ils ont le statut de cadre supérieur sont visés par cette obligation.

De fait leur responsabilité pourrait être engagée :

  • Soit pour ne pas avoir rendu compte à l’organe de direction des résultats des tests de résilience opérationnelle numérique et des incidents liés aux TIC en situation réelle ;
  • Soit de ne pas avoir formulé des recommandations adaptées.

Il apparaît dès lors primordial de bien définir les rôles de chacun dans le cadre d’une gouvernance risque IT.

 

Consultez le précédent épisode

> Le prestataire IT, maillon faible du risque cyber ?

 
 

Votre cybersécurité repose sur vos sous-traitants : êtes-vous prêts ?

Pour explorer le sujet plus en détail et répondre à toutes les questions que vous vous posez :

  • À quels textes suis-je soumis ?
  • Quel est le niveau de maturité attendu ?
  • Quelles sont les sanctions encourues ?
  • Quel référentiel appliquer ?
  • Comment vérifier la conformité de mes prestataires IT ?
  • Quelles sont les clauses contractuelles imposées ou impactées ?
  • Quelles sont mes obligations en termes d’audit et leurs conséquences ?

 

Nous vous donnons rendez-vous le 19 mars à 10h pour un webinar inédit, animé par nos experts !

https://webikeo.fr/webinar/cybersecurite-impact-des-nouvelles-regles-europeennes-sur-vos-relations-avec-vos-prestataires-it

Télécharger

Avocats concernés :

Nos autres actualités

Flash infos

8/07/24

Publication d’un avis de l’EIOPA sur les captives d’assurance et de réassurance

Depuis l’entrée en vigueur du régime fiscal incitatif à la création de captives de réassurance en France[1], un certain nombre de captives ont récemment obtenu l’agrément de l’Autorité de Contrôle Prudentiel et de Résolution (« ACPR »). Dans ce contexte d’accroissement du nombre...
Lire la suite

Flash infos

17/07/24

Publication du règlement sur l’intelligence artificielle

Le 12 juillet 2024, le règlement sur l’intelligence artificielle (règlement sur l’IA), également connu sous le nom de « AI Act », a été publié au Journal officiel de l’Union européenne dans sa version signée par le Parlement européen du 13 juin dernier[1]. Cette publication offre...
Lire la suite

Flash infos

4/07/24

Responsabilité des contractants à l’égard des tiers : la Cour de cassation au secours des clauses de responsabilité

Assurément, le 3 juillet 2024 fera date dans le droit français des contrats et de la responsabilité civile. Hier en effet, la chambre commerciale de la Cour de cassation a stoppé la progression logique d’un édifice jurisprudentiel objet de fortes controverses et dont il faut bien...
Lire la suite

Flash infos

1/07/24

Entrée en vigueur de l’arrêté « Shrinkflation »

Le 1er juillet 2024, entre en vigueur l’arrêté du 16 avril 2024 relatif à l’information des consommateurs sur le prix des produits dont la quantité a diminué. Cet arrêté vise à lutter contre la pratique de « shrinkflation » (« réduflation » en français) qui consiste à réduire la...
Lire la suite

Flash infos

25/06/24

DORA #6 : Gestion et notification des incidents liés aux TIC

Le Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« DORA ») définit l’incident lié aux TIC comme suit : – L’« incident lié aux TIC » : un événement ou une série d’événements liés entre eux que l’entité...
Lire la suite

Flash infos

31/05/24

Adoption de nouvelles règles en matière de lutte contre le blanchiment de capitaux et de financement du terrorisme

Le 30 mai 2024, le Conseil de l’Union européenne a définitivement adopté de nouvelles règles de LCB-FT (le « Paquet LCB-FT »). Ce dernier s’inscrit dans le cadre des propositions législatives présentées par la Commission européenne le 20 juillet 2021 en vue de renforcer les règles...
Lire la suite