Conformité à NIS2 pour le secteur de l'eau potable

Une eau potable sûre et fiable est un service public fondamental dans l'Union européenne. Les usines de traitement d'eau, les réseaux de distribution et les systèmes de surveillance de la qualité dépendent de plus en plus de systèmes de contrôle numériques et de technologies de supervision à distance. À mesure que ces systèmes deviennent plus interconnectés, ils deviennent également plus exposés au risque cyber.

La Directive NIS2 établit des obligations de cybersécurité à l'échelle de l'UE pour les entités essentielles et importantes et étend significativement le champ du cadre NIS initial. La conformité à NIS2 pour le secteur de l'eau potable reflète l'importance cruciale de protéger les infrastructures d'approvisionnement en eau contre les perturbations, la contamination ou les défaillances de service.

La Directive s'applique aux organisations de taille moyenne et grande opérant dans des secteurs désignés, y compris l'eau potable. De nombreuses régies et entreprises d'eau publiques et privées peuvent être concernées en fonction de leur taille et de l'étendue de leurs activités.

Si votre organisation opère dans le secteur de l'eau potable, elle peut relever de NIS2 en tant qu'entité essentielle ou importante.

Le secteur de l'eau potable est classé comme :

Annexe pertinente : Annexe I (Entités essentielles)

• Entité essentielle au titre de l'Annexe I

• Fournisseurs et distributeurs d'eau destinée à la consommation humaine, à l'exclusion des distributeurs pour lesquels la distribution d'eau constitue une part non essentielle de leur activité générale de distribution d'autres produits et marchandises

Couverture du sous-secteur (Annexe I – Eau potable) :

La conformité à NIS2 pour le secteur de l'eau potable s'applique à :

Cela inclut les régies municipales de l'eau, les autorités régionales de l'eau et les exploitants privés responsables des systèmes de traitement et de distribution qui atteignent les seuils de taille de l'UE.

Même les PME peuvent être concernées si elles satisfont aux seuils de taille définis par NIS2 ou si elles sont désignées comme prestataires critiques par les autorités nationales. L'applicabilité de NIS2 aux PME est donc pertinente pour les exploitants régionaux et intercommunaux gérant des infrastructures essentielles d'approvisionnement en eau.

• Entreprises de taille moyenne (≥50 employés et/ou 10 millions d'euros de chiffre d'affaires annuel ou de total de bilan)
• Grandes entreprises dépassant ces seuils
• Entités désignées comme fournisseurs d'eau critiques en vertu du droit national, le cas échéant

En vertu de l'Article 21 de la Directive NIS2, les entités du secteur de l'eau potable doivent mettre en œuvre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité.

Mesures obligatoires :

Pour le secteur de l'eau potable, ces mesures de sécurité NIS2 doivent prendre en compte les industrial control systems (ICS), les supervisory control and data acquisition (SCADA) systems, les stations de pompage à distance et les technologies de surveillance de la qualité de l'eau.

La conformité à NIS2 pour le secteur de l'eau potable exige une segmentation robuste entre les environnements IT et les environnements de technologie opérationnelle (OT). Les entités doivent garantir la résilience face aux incidents cyber qui pourraient perturber la continuité de l'approvisionnement ou compromettre les processus de traitement de l'eau.

• Cadre de gestion des risques
• Procédures de gestion des incidents
• Continuité d'activité et reprise après sinistre
• Sécurité de la chaîne d'approvisionnement
• Développement et maintenance sécurisés
• Politiques sur le chiffrement et la cryptographie
• Contrôle d'accès et MFA
• Gestion des vulnérabilités et des correctifs
• Formation à l'hygiène cyber
• Utilisation de communications sécurisées

Les entités du secteur de l'eau potable doivent respecter les délais de déclaration d'incident prévus par NIS2 pour les incidents significatifs.

Les obligations de déclaration comprennent :

Les rapports doivent être soumis au CSIRT national compétent ou à l'autorité compétente.

La règle de déclaration sous 24 heures de NIS2 est particulièrement importante lorsque des incidents affectent les systèmes de traitement, les infrastructures de pompage ou les réseaux de distribution. Tout événement cyber qui perturbe la continuité de l'approvisionnement ou menace la qualité de l'eau peut être considéré comme significatif.

Le non-respect des délais de déclaration peut entraîner des mesures d'exécution réglementaires et des sanctions financières.

La conformité à NIS2 pour le secteur de l'eau potable impose une responsabilité directe à l'organe de direction.

Principales exigences de gouvernance :

L'Article 21 de la Directive NIS2 élève la cybersécurité d'une question technique à une responsabilité au niveau du conseil d'administration. La haute direction des régies et exploitants d'eau doit veiller à ce que des contrôles et des mesures de continuité appropriés soient documentés, mis en œuvre et périodiquement révisés.

Compte tenu des implications en matière de santé publique d'une interruption du service d'eau, les défaillances de gouvernance peuvent avoir de graves conséquences opérationnelles et juridiques.

• Approbation par l'organe de direction des mesures de gestion des risques en cybersécurité
• Supervision continue de la mise en œuvre
• Formation obligatoire en cybersécurité pour la direction
• Éventuelle exposition à une responsabilité personnelle au titre du droit national

En tant qu'entités de l'Annexe I, les fournisseurs d'eau potable classés comme entités essentielles sont soumis à une supervision proactive. Les autorités compétentes peuvent effectuer des audits, des inspections et des évaluations de cybersécurité indépendamment de la survenue d'un incident.

Les amendes administratives en cas de non-conformité sont :

Les lois nationales de transposition peuvent préciser les procédures de supervision, mais la Directive établit des seuils minimaux d'amende harmonisés entre les États membres.

En raison de la nature essentielle de l'approvisionnement en eau potable, l'application devrait se concentrer sur la résilience, l'atténuation des risques et la continuité opérationnelle.

• Entités essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)

Les PME du secteur de l'eau potable devraient suivre des étapes structurées pour se conformer à NIS2 :

Une préparation précoce réduit le risque d'application de sanctions et protège la continuité du service.

1. Réaliser une évaluation des écarts par rapport à NIS2
2. Cartographier les infrastructures critiques de traitement et de distribution
3. Formaliser un cadre documenté de gestion des risques en cybersécurité
4. Mettre à jour et tester les plans de réponse aux incidents et de continuité
5. Examiner les contrats avec les fournisseurs et les vendeurs SCADA
6. Former la direction et les responsables opérationnels
7. Établir un processus de déclaration 24h/72h/1 mois

Les entités du secteur de l'eau potable font face à des risques spécifiques au secteur en vertu de NIS2 :

La conformité à NIS2 pour le secteur de l'eau potable est donc une exigence fondamentale de résilience pour la protection de la santé publique.

• Interruption de service : Des incidents cyber peuvent interrompre le traitement ou la distribution de l'eau.
• Risque pour la santé publique : Des systèmes compromis pourraient affecter les contrôles de la qualité de l'eau.
• Compromission de la chaîne d'approvisionnement : Les fournisseurs technologiques peuvent introduire des vulnérabilités.
• Sanctions réglementaires : La non-conformité peut entraîner des sanctions financières substantielles.
• Atteinte à la réputation : La confiance du public dans la sécurité de l'eau est très sensible aux défaillances de service.