Le règlement NIS2 élève la question de la sécurité de l’information dans l’industrie de l’énergie éolienne à un nouveau niveau. Les exploitants et les exploitants doivent désormais vérifier s’ils relèvent des nouvelles réglementations – et prendre les mesures organisationnelles et techniques appropriées. Une coopération étroite avec des prestataires de services certifiés en sécurité peut contribuer de manière significative à la preuve de la conformité.
La mise en œuvre de la directive européenne NIS2 dans le droit national marque un tournant pour la cybersécurité dans l’industrie de l’énergie – en particulier pour les entreprises du secteur éolien. L’ordonnance fusionne les règlements existants, les élargit considérablement et apporte de nouvelles responsabilités qui vont bien au-delà des exigences précédentes de la KRITIS.
Qu’est-ce que le règlement NIS2 ?
La NIS2 (Directive sur la sécurité des réseaux et de l’information) est une directive à l’échelle de l’UE qui renforce la protection des installations critiques et importantes contre les cyberattaques. L’objectif est d’accroître la résilience des entreprises et des infrastructures dans des secteurs tels que l’énergie, les transports, la santé, l’eau ou les services numériques.
En Allemagne, le NIS2 a désormais été mis en place par une loi nationale sur la cybersécurité.
Qui est concerné ?
De nombreuses entreprises éoliennes relèvent désormais pour la première fois du champ d’application de la directive. Les personnes suivantes sont particulièrement touchées :
- les exploitants de parcs éoliens dont les éoliennes atteignent une certaine taille ou une certaine importance pour l’approvisionnement énergétique,
- Les opérateurs et entreprises qui exploitent ou contrôlent des infrastructures informatiques centrales dans le secteur de l’énergie,
- ainsi que des entreprises qui n’étaient pas auparavant classées comme participantes à KRITIS mais qui sont désormais considérées comme des « institutions importantes » en raison de leur taille ou de leur pertinence systémique.
Que doivent faire les entreprises concernées ?
Les exploitants et exploitants de parcs éoliens sont tenus de mettre en place des mesures étendues pour renforcer la sécurité informatique et de l’information . Celles-ci incluent :
- Mise en place d’un système de gestion de la sécurité de l’information (ISMS),
- La mise en œuvre de mesures techniques de protection telles que la gestion des correctifs et des accès, les stratégies de sauvegarde et les processus de réponse aux incidents,
- Documentation et formation régulière des employés,
- Introduction de plans d’urgence et de redémarrage,
- Surveiller et évaluer les prestataires de services et fournisseurs pour leurs normes de cybersécurité.
Un point particulièrement important : la responsabilité incombe à la direction. Les membres de la direction et du conseil peuvent être tenus personnellement responsables de non-conformité – même au sein des entreprises.
Qu’est-ce que cela signifie pour travailler avec les prestataires de services ?
Puisque de nombreux procédés dans l’industrie éolienne sont soutenus par des prestataires de services externes, leurs normes de sécurité doivent également être vérifiées et prouvées.
Un exemple est Light :Guard GmbH, un fournisseur de marquage nocturne contrôlé par la demande (BNK). Bien que l’entreprise elle-même ne soit pas soumise à l’obligation de déclaration du règlement NIS2, elle est certifiée selon la norme ISO 27001 – actuellement le seul fournisseur de son segment.
Avec un ISMS audité, des procédures de déclaration claires et des contrôles de sécurité réguliers, Light :Guard répond déjà aux exigences attendues des fournisseurs dans l’environnement NIS2. De cette manière, l’entreprise soutient activement les exploitants de parcs éoliens dans le respect de leurs nouvelles obligations légales.
