NIS 2
Mesures de sécurité et la supervision sous NIS2
La directive NIS2 encadre la cybersécurité des entités essentielles et importantes en définissant les responsabilités des organes de direction, les mesures de sécurité obligatoires et les régimes de supervision ex ante et ex post, selon le type d’entité.
La responsabilité des organes de direction
La Directive NIS2 met en place dans son article 20 que les organes de direction sont responsable pour les mesures de sécurité au sein de l’entité. Les organes de direction « approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21, supervisent sa mise en oeuvre et puissent être tenus responsables de la violation dudit article par ces entités. »
Afin d’être en mesure d’approuver ces mesures, les organes de direction doivent suivre régulièrement des formations pour pouvoir « évaluer les pratiques des gestion des risques en matière de cybersécurité et leur impact sur les services fournis. »
Les mesures de sécurité
La Directive NIS2 formule des mesures de sécurité à prendre par les entités essentielles et importantes. L’article 21(1) de la Directive NIS2 prévoit que « les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services. »
Les mesures comprennent au moins – Art 21(2):
- les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;
- la gestion des incidents;
- la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
- la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;
- la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
- des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
- les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
- des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
- la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;
- l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo
La supervision
La Directive NIS2 différencie entre entités essentielles et importantes.
En principe, les entités importantes doivent adopter les mêmes exigences de sécurité spécifiées dans la directive NIS 2 que les entités essentielles. La grande différence entre ces deux catégories d’entités réside au niveau de la supervision par l’autorité compétente.
Les entités essentielles seront soumises à un régime de supervision ex ante et ex post, ce qui correspond à une supervision « complète ». Les entités importantes ne seront soumises qu’à un régime de supervision ex post. Les entités importantes seront dès lors notamment exemptées de la fourniture régulière de certains délivrables (e.g. analyse de risques, description de mesures de sécurité en place) que les entités essentielles devront fournir. Lors d’un incident, il peut aussi s’avérer nécessaire pour les entités importantes de fournir des informations supplémentaires sur les mesures de sécurité mises en œuvre sur demande de l’ILR.
Supervision mechanisms
| Mechanism | To be sent to ILR | Essential entity | Important entity |
|---|---|---|---|
| Ex-ante | Security measures | ✓ | ✗ |
| Ex-post | Incident notification | ✓ | ✓ |
| Ex-post | After incident & upon request | ✓ | ✓ |