Sécuriser son organisation
Notification des mesures de sécurité
Vous trouvez ici les informations nécessaires afin de soumettre les mesures de sécurité de votre entité.
Notification des mesures de sécurité
Conformément à l’article 8 (3) de la loi du 28 mai 2019 (NIS) et aux articles 42 (1) et 43 (2) de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, les opérateurs seront tenus de notifier à l’Institut les mesures de sécurité.
- Le Règlement ILR/N22/7 du 15 septembre 2022 portant sur la notification des mesures de sécurité à prendre par les opérateurs de services essentiels précisent les modalités et les délais de cette notification pour les secteurs Energie, Transports, Santé, Eau potable et Infrastructures numériques.
- Le Règlement ILR/N22/8 du 26 septembre 2022 portant sur la notification des mesures de sécurité à prendre par les entreprises fournissant des réseaux de communications publics et/ou des services de communications électroniques au public. précisent les modalités et les délais de cette notification pour le secteur de communications électroniques publiques
La soumission des mesures de sécurité à l'équipe NISS
La soumission des rapports se fait de préférence via la demande d’un lien OTX auprès de serima(at)ilr(dot)lu ou directement via l’envoi sécurisé à serima(at)ilr(dot)lu
Le contenu exigé pour la notification des mesures de sécurité
La notification de ces mesures se fait par :
- une description des mesures en place, basées sur les objectifs de sécurité proposés par l’ENISA (Formulaire Mesures) sous forme du fichier Excel;
- une liste des dépendances envers d’autres services de communications électroniques ou services essentiels (Formulaire Dépendances) sous forme du fichier Excel;et
- une analyse des risques liés au(x) service(s) de communications électroniques ou d’essentiel(s) fourni(s). Cette analyse de risques peut soit être réalisée à l’aide de l’outil SERIMA mis à disposition par l’Institut, soit avec un autre outil similaire. L’analyse doit :
- être livrée sous forme d’un fichier JSON importable dans SERIMA;
- le nom du fichier doit respecter la convention de nommage suivante : AnnéeMoisJour_Operateur_Secteur-Soussecteur_Langue.JSON. Par exemple 20221124_MonOrganisation_Energie-Gaz_Fr.JSON;
- ne pas contenir de données à caractère personnel
- se baser sur la librairie sectorielle disponible sur demande auprès de l’Institut. Contenu:
- une liste des services essentiels fournis au Luxembourg;
- les actifs primaires et secondaires nécessaires pour fournir ces services pris en compte;
- la liste des menaces prises en compte;
- la liste des vulnérabilités appliquées pour chaque actif;
- les impacts de chaque risque identifié;
- utiliser les échelles de cotation des menaces, de l’impact et des vulnérabilités (cf ci-dessous);
- utiliser les critères d’acceptation des risques;
- indiquer les mesures mises en place pour minimiser les risques;
- indiquer le choix de traitement des risques et le calendrier d’implémentation y relatif ;
- indiquer l’évaluation des risques résiduels;
- utiliser une échelle à 5 niveaux, de 0 (minimum) à 4 (maximum), pour l’évaluation du niveau de chaque menace;
- utiliser une échelle à 4 niveaux, de 0 (minimum) à 3 (maximum), pour l’évaluation du niveau de chaque vulnérabilité;
- utiliser une échelle d’impact à 5 niveaux, de 0 (minimum) à 4 (maximum), pour l’évaluation du niveau de l’impact.
- L’opérateur est libre d’ajouter des assets et des risques pour compléter son analyse de risques.
N.B. Il est à noter, qu’en fonction du type d’opérateur en question, l’obligation de notification peut se limiter à uniquement un ou deux éléments de la liste précédente.
Si l’opérateur utilise un autre nombre de niveaux pour les échelles, il faudra qu’il les adapte afin d’être en ligne avec les niveaux ci-dessus.