Dans le domaine de l’eau et des eaux usées, il existe différentes réglementations et normes portant sur la cybersécurité. Il y a d’abord la Loi de programmation militaire (LPM), avec les opérateur d’importance vitale (OIV), qui cible notamment les opérateurs de l’eau, ainsi que le règlement général sur la protection des données (RGPD), qui peut avoir un impact sur les infrastructures de traitement de l’eau. La directive européenne 2022/2555 ou NIS (Network and Information Security), adoptée en juillet 2016 et transposée en droit français deux ans plus tard, concerne certaines installations d’assainissement.
La version 2 de la directive NIS, ou NIS 2, qui sera transposée dans les lois nationales d’ici octobre 2024, va considérablement élargir le périmètre des entités ayant l’obligation de se mettre en conformité en termes de sécurisation de leurs sites, avec des amendes à la clé dans le cas contraire. Du côté des normes, on trouve l’ISA/IEC 62443, qui spécifie des exigences de cybersécurité pour les systèmes de contrôle industriel et d’automatisation, et l’ISO 27001 qui définit les exigences pour un système de gestion de la sécurité de l’information, y compris la gestion des risques de cybersécurité.
Les
utilisateurs peuvent enfin s’appuyer sur des documents tels que
le guide de la cybersécurité des systèmes industriels de l’Agence
nationale de la sécurité des systèmes d’information (Anssi), les
recommandations de bonnes pratiques en matière de cybersécurité
pour les infrastructures critiques publiées par le Centre de sécurité
des infrastructures (CIS), le guide de sécurité pour les services
d’eau d’Europol, le Cybersecurity Framework (CSF) du NIST, etc.
