Directive NIS 2. L’Europe se dote d’un guide pratique pour la conformité en matière de cybersécurité

 

Un règlement d’exécution de la directive NIS 2 vient d'être tout juste adopté. Ce texte, complément à la directive NIS 2, constitue un pont essentiel entre les objectifs généraux de cette directive et les mesures pratiques que les entités doivent prendre pour améliorer la cybersécurité. En définissant des cadres clairs de gestion des risques, des procédures de traitement des incidents et des obligations de déclaration, le règlement garantit que les entités essentielles et importantes sont équipées pour atténuer efficacement les risques de cybersécurité. Ce texte vise ainsi à construire un écosystème numérique plus sûr dans toute l’UE.

 

De quoi parle-t-on?

Le règlement d’exécution de la Commission1 fournit un cadre essentiel qui traduit les principes généraux de la directive NIS 2 (directive (UE) 2022/2555) en obligations concrètes et réalisables. Ce règlement est essentiel pour transformer les objectifs généraux de cybersécurité de la directive NIS 2 en mesures pratiques pour les entités clés, notamment les fournisseurs de DNS, les services cloud et les plateformes de réseaux sociaux.

Le règlement définit des mesures précises de gestion des risques liés à la cybersécurité, en mettant l’accent sur le principe de proportionnalité, qui garantit que même les plus petites entités peuvent adapter ces mesures efficacement sans contrainte excessive. Les éléments clés comprennent des procédures de gestion des incidents robustes, des exigences claires en matière de sécurité de la chaîne d’approvisionnement et des protocoles de test de sécurité détaillés tels que la segmentation du réseau et l’authentification multifacteur.

Il est important de noter que le règlement établit des critères pour déterminer ce qui constitue un incident significatif qui doit être signalé, ainsi que des orientations complètes de l’ENISA pour aider les entités à se conformer. Cet acte d’exécution constitue un lien direct entre les aspirations de haut niveau de NIS 2 et les pratiques opérationnelles spécifiques qui nous aideront à construire une Europe numérique plus sûre.

 

Qu'est-ce que la directive NIS 2 (petit rappel)?

La directive NIS 2 vise à renforcer la cybersécurité dans l’ensemble de l’Union européenne en améliorant la résilience et la coopération entre les entités essentielles et importantes. Elle élargit le champ d’application pour inclure davantage de secteurs, tels que les infrastructures numériques, les services publics de communication électronique, les services postaux et les produits chimiques, garantissant ainsi une approche globale de la sécurité des infrastructures critiques.

Les entités doivent adopter des mesures appropriées de gestion des risques liés à la cybersécurité, notamment la gestion des incidents, les plans de continuité des activités et la sécurité de la chaîne d’approvisionnement. Elles sont également tenues de signaler rapidement les incidents aux autorités, avec des notifications initiales dans les 24 heures et des rapports détaillés dans les 72 heures .

Chaque État membre doit établir des stratégies nationales de cybersécurité, désigner des autorités compétentes et mettre en place des équipes de réponse aux incidents de sécurité informatique (CSIRT) . La coopération est renforcée par le biais du groupe de coopération, du réseau des CSIRT et du réseau EU - CyCLONe pour gérer les incidents de grande ampleur.

La directive met l’accent sur la sécurité de la chaîne d’approvisionnement, en reconnaissant les vulnérabilités des services TIC critiques. Des amendes administratives peuvent être imposées en cas de non-conformité, ce qui souligne l’importance de la mise en œuvre. Globalement, la directive NIS 2 vise à harmoniser les mesures de cybersécurité dans toute l’UE, avec une gouvernance claire, une gestion de crise renforcée et une meilleure coopération transfrontalière pour se protéger contre les menaces de cybersécurité.

 

Quels sont les 8 principaux aspects du règlement d'application?

Le règlement d'exécution de la Commission1 fournit des lignes directrices essentielles pour mettre en œuvre la directive NIS 2, en mettant l'accent en particulier sur la gestion des risques de cybersécurité et en définissant les critères de signalement des incidents significatifs. Il s'applique à des secteurs clés tels que les fournisseurs DNS, le cloud computing, les réseaux de diffusion de contenu, les marchés en ligne et d'autres entités essentielles et importantes telles que définies dans la directive NIS 2.

1. Portée et exigences en matière de cybersécurité
• Ce règlement s’applique à un large éventail d’entités, notamment les fournisseurs de services DNS, les fournisseurs de cloud computing, les fournisseurs de réseaux de diffusion de contenu, les marchés en ligne et d’autres entités essentielles et importantes couvertes par la directive NIS 2.
• Les entités doivent mettre en œuvre des mesures de gestion des risques de cybersécurité qui comprennent l'établissement de politiques de sécurité des réseaux et des systèmes d'information, la définition claire des rôles et des responsabilités au sein de l'organisation et la garantie de mesures efficaces de réponse aux incidents et de surveillance.
  
  
2. Cadre de gestion des risques
• Les entités sont tenues d’établir et de maintenir un cadre de gestion des risques qui comprend l’identification des risques pour la sécurité de leur réseau et de leurs systèmes d’information, la réalisation d’évaluations des risques et la mise en œuvre de mesures de traitement des risques.
• Le processus de gestion des risques doit impliquer l'identification, l'évaluation, la priorisation et le traitement des risques . Cela permet aux entités d'évaluer et d'atténuer systématiquement les risques de cybersécurité de manière structurée.
• Le cadre devrait également prendre en compte les risques liés aux fournisseurs et aux prestataires de services, en veillant à ce que la sécurité de la chaîne d’approvisionnement fasse partie intégrante de la posture globale de cybersécurité.
  
  
3. Gestion et classification des incidents
• Les entités doivent établir et mettre en œuvre une politique de gestion des incidents pour gérer efficacement les incidents de cybersécurité. Cette politique doit détailler les rôles et responsabilités en matière de réponse aux incidents, y compris les procédures de détection, de journalisation, de réponse, de confinement et de récupération.
• La classification des incidents est un élément essentiel de ce processus. Les incidents doivent être classés en fonction de leur impact potentiel et gérés en conséquence. La réglementation exige un examen post-incident pour évaluer les leçons apprises et mettre en œuvre des améliorations pour prévenir de futurs incidents.
  
  
4. Continuité des activités et sécurité de la chaîne d'approvisionnement
• Les entités doivent maintenir un plan de continuité des activités et de reprise après sinistre pour garantir leur résilience face aux incidents de cybersécurité. Ce plan doit être régulièrement testé et mis à jour pour tenir compte de l'évolution des menaces et des vulnérabilités.
• En outre, les entités sont tenues d’établir une politique de sécurité de la chaîne d’approvisionnement qui définit les critères de sélection des fournisseurs et impose des pratiques de cybersécurité spécifiques à ces derniers afin de minimiser les risques posés par la chaîne d’approvisionnement. Cela comprend la définition d’obligations contractuelles pour les fournisseurs de respecter des normes de cybersécurité définies.
  
  
5. Tests de sécurité et de conformité
• Des tests de sécurité réguliers sont obligatoires pour vérifier la mise en œuvre et l'efficacité des mesures de gestion des risques de cybersécurité. Ces tests comprennent des tests de pénétration, des analyses de vulnérabilité et des audits de sécurité pour identifier et corriger les vulnérabilités.
• Les entités doivent également garantir le respect des politiques internes de cybersécurité par le biais d’une surveillance et d’un examen continus. Cela permet de garantir que les mesures de sécurité restent efficaces et sont adaptées aux nouveaux risques et menaces.
• Le règlement encourage les entités à procéder à des évaluations régulières des risques et à adapter leurs mesures de cybersécurité en conséquence pour faire face aux menaces nouvelles et émergentes.
  
  
6. Critères pour les incidents significatifs
• Le règlement précise des critères détaillés permettant d'évaluer si un incident est considéré comme important et doit être signalé. Cela inclut les incidents qui :
• Impacter un grand nombre d'utilisateurs .
• Causer de graves perturbations opérationnelles ou des pertes financières .
• Entraîner des dommages matériels ou immatériels importants, y compris une atteinte à la réputation.
• Les entités doivent signaler rapidement les incidents importants, sur la base de critères prédéfinis. Le règlement fournit des indications claires sur les seuils de signalement, garantissant que les incidents ayant des répercussions importantes sont transmis aux autorités compétentes sans délai.
  
  
7. Soutien de l'ENISA et des autorités nationales
• L' Agence de l'Union européenne pour la cybersécurité (ENISA) et les autorités nationales sont chargées de fournir des orientations pour aider les entités à mettre en œuvre les mesures de gestion des risques requises. Ces orientations comprennent des évaluations des risques, l'élaboration de cadres de gestion des risques et l'identification de solutions de traitement des risques appropriées .
• L'ENISA fournit également des outils et des modèles sectoriels spécifiques que les entités peuvent utiliser pour se conformer aux exigences, contribuant ainsi à normaliser les pratiques dans différents secteurs et à garantir que toutes les entités respectent le niveau de cybersécurité requis.
  
  
8. Conformité aux normes et aux meilleures pratiques
• Le règlement met l'accent sur l'utilisation des meilleures normes et techniques de déploiement disponibles pour la sécurité des réseaux, la sécurité des e-mails et la sécurité DNS.
• La participation de plusieurs parties prenantes est considérée comme essentielle pour développer les meilleures pratiques en matière de cybersécurité. Le règlement encourage la collaboration avec le secteur des télécommunications et d’autres parties prenantes pour garantir que les mesures de cybersécurité sont solides, à jour et efficaces pour faire face aux menaces actuelles.

 

traduction et synthèse du texte par Pierre Berthelet alias securiteinterieure.fr

• règlement d'exécution
• annexe au règlement d'exécution
  

A lire sur securiteinterieure.fr  : 

• La stratégie de l'UE en matière de cybersécurité va être mise à jour
  
• L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces
• Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"
• La stratégie de cybersécurité de l’UE déplore un retard de l'Europe à l'heure des tensions géopolitiques croissantes et au moment où la criminalité numérique est galopante
  
• Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes 
• Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
• Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes