Dans la même thématique...
Découvrez des liens vers des pages connexes pour approfondir vos connaissances et explorer des sujets similaires.
Questions fréquentes par rapport à NIS2 (FAQ)
Disclaimer : La partie ‘questions-réponses’ ci-dessous vise à améliorer la compréhension des personnes concernées des dispositions de la directive NIS 2. Cependant, elle ne constitue pas une interprétation finale quant aux différents termes de la directive NIS 2 et les explications générales apportées par l’Institut peuvent varier au fil du temps et notamment en fonction de la transposition de la directive NIS 2 en droit luxembourgeois.
A propos NIS2 - points génériques
Quelles sont les principales nouveautés et obligations introduites par la directive NIS 2 ?
La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (ci-après, la « directive NIS1 ») a été élaborée dans le but de contribuer à la sécurité du fonctionnement de l’économie et de la société dans l’Union Européenne (ci-après, « UE »). Dans ce contexte, les objectifs étaient notamment :
- la création et l’augmentation des capacités en matière de cybersécurité au sein de l’UE ;
- l’atténuation des risques auxquels les réseaux et systèmes d’information dans les secteurs critiques sont exposés ;
- la garantie de la continuité des services essentiels après qu’un incident se soit produit ;
- la création d’un cadre pour faciliter la collaboration et la coopération des États membres au sein de l’UE.
La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (ci-après, la « directive NIS 2 ») tente d’apporter des améliorations nécessaires par rapport à la directive NIS 1 face à l’évolution du paysage des cybermenaces et vise à limiter les divergences de transposition de la directive NIS 1 identifiées par les différents États membres. Globalement, les nouveautés apportées par la directive NIS 2 sont les suivantes :
- définition de critères homogènes pour déterminer les entités qui tombent par défaut dans le champ d’application de cette directive ;
- introduction de nouveaux secteurs dans le champ d’application, en les regroupant dans les catégories « importants » et « essentiels » ;
- les mesures de gestion des risques sont à appliquer à tous les réseaux et systèmes d’informations qui supportent les activités de l’entité, et non seulement à ceux supportant les services essentiels ;
- responsabilisation des membres des organes de direction des entités tombant dans le champ d’application de la directive NIS 2 ;
- harmonisation des mesures de sécurité à appliquer (établir des politiques de sécurité, assurer la sécurité dans la chaîne d’approvisionnement, etc.) ;
- précision des règles sur la notification des incidents des entités auprès de l’autorité compétente ;
- introduction de catalogues des pouvoirs de supervision et d’exécution des autorités compétentes, ainsi que des seuils de maxima des sanctions pour les violations des dispositions de la directive NIS 2.
La directive NIS 2 mentionne que les dispositions de cette directive devront être transposées au plus tard le 17 octobre 2024 dans les États membres. Est-ce que les entités devront se conformer aux exigences de la directive NIS 2 pour cette date ?
Selon l’article 41 paragraphe 1 de la directive NIS 2 les États membres devront adopter et publier les dispositions nécessaires pour se conformer à la directive NIS 2 au plus tard le 17 octobre 2024. Ils devront les appliquer à partir du 18 octobre 2024. Ces dates concernent en particulier l’adoption d’une loi transposant la directive NIS 2 (ci-après, la « loi NIS 2 ») sur le plan national.
Après l’entrée en vigueur de la loi NIS 2, l’ILR devra mettre à jour ou le cas échéant préparer ses règlements pour les secteurs pour lesquels l’ILR sera l’autorité compétente. Les entités seront informées et consultées à ce sujet. Les règlements définiront au minimum les modalités relatives aux mesures de sécurité et aux notifications des incidents et les différentes échéances à respecter par les entités.
En parallèle, l’ILR travaille sur des lignes directrices en vue d’accompagner les entités dans l’application des mesures pour les aider à être conforme à la règlementation.
Cependant l’ILR conseille vivement aux entités de d’ores et déjà procéder aux activités de préparation et de mise en œuvre des mesures de sécurité en fonction des normes européennes et internationales et de suivre de près la transposition de la directive NIS 2 au Grand-Duché de Luxembourg.
Périmètre de la NIS2 et le champ d'application
Mon entreprise est-elle concernée par la Directive NIS2 ?
Afin de vous aider à déterminer si votre entreprise entre dans le champ d’application de la directive NIS 2, veuillez vous référer au schéma simplifié ci-dessous.
Comme indiqué dans ce schéma, la directive NIS 2 introduit une règle de détermination du champ d’application liée à la taille de l’entreprise, aussi appelée « size-cap ». Cela veut dire qu’une entreprise qui est active dans un des secteurs des annexes et si cette entreprise a une certaine taille (voir ci-dessous la section « Explications sur le size-cap ») elle est concernée par défaut par la Directive NIS 2.
Par ailleurs, la directive NIS 2 prévoit un certain nombre d’exceptions à l’application du « size-cap » (par exemple : pour les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public, pour les prestataires de services de confiance ou des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine).
Indépendamment de sa taille, une entité peut être identifiée comme essentielle ou importante selon des critères spécifiques (par exemple : entité déjà identifiée comme entité critique ; fournisseur unique dans son domaine d’activité, etc.).
Pour plus d’information veuillez consulter notre page sur le périmètre et le champ d’application de la NIS2
Mon entreprise est-elle considérée comme une entité essentielle ou importante ?
Le schéma ci-dessous donne un aperçu du procédé pour déterminer si une entité est à considérer comme essentielle ou importante.
Pour plus d’information veuillez consulter notre page sur le périmètre et le champ d’application de la NIS2
Quels sont les secteurs hautement critiques de la Directive NIS2?
Les secteurs hautement critiques (dit:essentiels) sont les secteurs identifiés dans l’annexe I de la Directive NIS2, donc :
- Énergie – électricité ; réseaux de chaleur et de froid ; pétrole ; gaz ; hydrogène ;
- Transport – transport aériens ; transports ferroviaires ; transports par eau ; transports routiers ;
- Secteur bancaire
- Infrastructures des marchés financiers
- Santé – (prestataires de soins de santé ; laboratoires de référence de l’Union européenne ; entités exerçant des activités de recherche et de développement dans le domaine des médicaments ; entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques ; entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique.)
- Eau potable ;
- Eaux usées ;
- Infrastructure numérique – (fournisseurs de points d’échange Internet ; fournisseurs de services DNS ; registres de noms de domaine de premier niveau ; fournisseurs de services d’informatique en nuage (Cloud service provider) ; fournisseurs de services de centres de données ; fournisseurs de réseaux de diffusion de contenu ; prestataires de services de confiance ; fournisseurs de réseaux de communications électroniques publics ; fournisseurs de services de communications électroniques accessibles au public.)
- Gestion des services TIC – (fournisseurs de services gérés ; fournisseurs de services de sécurité gérés.)
- Administration publique ;
- Espace.
Pour plus d’information veuillez consulter notre page sur NIS2 – champ d’application
Quels sont les autres secteurs critiques de la Directive NIS2?
Les autres secteurs critiques (dit: importants) sont les secteurs identifiés dans l’annexe II de la Directive NIS2, donc :
- Services postaux et d’expédition ;
- Gestion des déchets ;
- Fabrication, production et distribution de produits chimiques ;
- Production, transformation et distribution des denrées alimentaires ;
- Fabrication :
- Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro ;
- Fabrication de produits informatiques, électroniques et optiques ;
- Fabrication d’équipements électriques ;
- Fabrication de machines et équipements n.c.a ;
- Construction de véhicules automobiles, remorques et semi-remorques ;
- Fabrication d’autres matériels de transport ;
- Fournisseurs numériques – (fournisseurs de places de marché en ligne ; fournisseurs de moteurs de recherche en ligne ; fournisseurs de plateformes de services de réseaux sociaux ;
- Recherche.
Pour plus d’information veuillez consulter notre page sur SERIMA
Quelle est la procédure de classification des entités, y compris les rôles et responsabilités de l'entité et de l'autorité compétente ?
Contrairement à la situation sous la directive NIS 1, les autorités compétentes n’ont plus besoin de désigner les entités tombant dans le champ d’application de la directive NIS 2. Les entités devront analyser leurs situations individuellement et le cas échéant se conformer aux obligations découlant de la directive NIS 2.
Par ailleurs, la directive NIS 2 oblige l’ILR à établir au plus tard jusqu’au 17 avril 2025 une liste des entités essentielles et importantes, ainsi que des entités fournissant des services d’enregistrement des noms de domaine j. Afin que l’ILR puisse atteindre cet objectif, et conformément à l’article 3 paragraphe 4 de la directive NIS 2, les entités tombant dans le champ d’application de la directive NIS 2 sont dans l’obligation de transmettre toutes les informations demandées via le formulaire d’auto-enregistrement disponible sur le site internet de l’ILR.
À réception du formulaire d’auto-enregistrement, l’ILR procède à une revue et confirme le statut de l’entité en question (c’est-à-dire statut d’entité essentielle ou importante). L’ILR peut demander des informations complémentaires à l’entité en question pour traiter ou compléter le dossier. Par ailleurs, les entités sont tenues de notifier à l’ILR toutes modifications des informations qu’elles ont communiquées précédemment dans un délai de deux semaines à compter de la date de modification.
Néansmoins, l’ILR peut toujours identifier une entité en tant que importante ou essentielle suite à son criticité pour le Luxembourg, même si elle ne tombe pas par défaut dans le champ d’application de la NIS2.
Pour le 17 avril 2025 au plus tard, l’autorité compétente devra notifier à la Commission européenne et au groupe de coopération le nombre d’entités pour chaque secteur et sous-secteur.
Pour quels secteurs l'ILR sera l'autorité compétente ?
L’article 3 du projet de loi n°8364 visant à transposer la directive NIS 2 en droit national au Grand-Duché de Luxembourg attribue à l’ILR la fonction d’autorité compétente en matière de sécurité des réseaux et des systèmes d’information pour la grande majorité des secteurs. D’autre part, le même article confie à la Commission de surveillance du secteur financier (CSSF) le rôle d’autorité compétente pour le secteur bancaire et le secteur des infrastructures des marchés financiers ainsi que pour le secteur des infrastructures numériques et le secteur de la gestion des services TIC, en ce qui concerne les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier.
Enregistrement des entités importantes et essentielles
Auto-enregistrement de votre entreprise
Quelles est la date limite pour qu'une entité puisse s'enregistrer ?
Cette date dépendra de l’entrée en vigueur de la future loi transposant la directive NIS 2 en droit luxembourgeois. La directive NIS 2 prévoit l’obligation pour les autorités compétentes de transmettre à la Commission européenne des données liées au nombre d’entités essentielles et importantes au plus tard pour le 17 avril 2025
Est-ce qu'une entité doit s'enregistrer, même si elle fait déjà partie du périmètre de la loi NIS 1 ou de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques ?
Si une entité fait déjà partie du périmètre de la directive NIS 1 ou du champ d’application de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, celle-ci n’est pas obligée de procéder au processus d’auto-enregistrement. Elle sera classée par l’ILR comme entité importante ou essentielle sur base du schéma de classification. L’entité sera informée par l’ILR à ce sujet.
Notification des incidents
Quels sont les seuils et la définition des incidents significatifs ?
Les obligations concernant les incidents du type important/significatif proviennent de l’article 23 de la directive NIS 2. Un incident est considéré comme important/significatif si :
«a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. »
Après la transposition de la directive NIS 2 en droit luxembourgeois, l’ILR publiera des critères et indicateurs plus précis à ce sujet par voie de règlement.
Comme défini dans le paragraphe 11 de l’article 23, la Commission va adopter des actes d’exécution précisant plus en détail les cas dans lesquels un incident est à considérer comme important pour les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage (Cloud Service Provider), les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux.
Quelle est la définition d'un incident ? Est-ce que l'obligation de notifier un incident inclut aussi l'indisponibilité des services causée par un acte non-malveillant (p.ex. une défaillance d'un système) ?
L’article 6 paragraphe 6 de la directive NIS 2 définit un incident comme « un évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessible ».
Si un incident avec un impact important se produit, que ce soit par un acte de malveillance ou du fait d’une mauvaise manipulation, celui-ci est à notifier dans tous les cas.
Dans le cas d'un incident déclenché en raison d'une menace physique ou naturelle (p.ex. la pollution) impactant la production d'un service, est-ce qu'une entité devra reporter cet incident à l'ILR ?
Tout événement, y compris les menaces naturelles, ayant compromis la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessible tombent dans le champ d’application de la directive NIS 2. Les incidents en dehors de ce périmètre ne devront pas faire objet d’une notification à l’ILR.
Par exemple, un camion qui heurte un répartiteur de circuits électriques ne tombe pas dans le périmètre de la directive NIS 2, même si cet incident impacte les activités opérationnelles du service de fourniture de l’électricité. Cependant, le camion qui heurte un répartiteur de communications électroniques tombe dans le périmètre de la NIS2, étant donné qu’il y a un impact sur les équipements de réseaux et systèmes d’information.
Il est important que les entités identifient tous les types de menaces dans le cadre du processus de gestion des risques, afin de planifier et de mettre en œuvre les mesures de sécurité adéquates, p.ex. un périmètre de sécurité physique, une redondance des systèmes critiques, etc.
Au sujet de la notification des incidents, qu'est-ce que veut dire concrètement une notification endéans 24h ? Que se passe-t-il s'il y a un incident pendant le weekend et qu'un service d'astreinte n'est pas assuré par les équipes techniques ?
Selon l’article 23, paragraphe 4, alinéa a de la directive NIS 2, les entités sont obligées de soumettre au CSIRT(Computer Security Incident Response Team) ou, selon le cas, à l’autorité compétente « sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important, une alerte précoce qui, le cas échéant indique si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière ».
Ici, il est important de distinguer entre le temps de la survenance d’un incident important et le temps de la détection de cet l’incident. Effectivement, il se peut qu’il y ait un délai de seulement quelques minutes entre la survenance et la détection, voire même quelques années, si on considère les cyber menaces qui possèdent des capabilités avancées et complexes et qui sont financées par un État.
Pour conclure, une entité est obligée de notifier un incident important dans les 24h seulement après avoir détecté cet incident, même en dehors des heures de travail.
Selon la directive NIS 2, une entité est obligée de notifier un incident important à l'autorité compétente ou au CSIRT(Computer Security Incident Response Team). Comment savoir qui doit être notifié?
L’ILR collabore avec les différents acteurs de l’écosystème de cybersécurité avec l’objectif, entre autres, de simplifier les procédures relatives à la notification d’incidents.
Pour l’instant, le projet de loi n°8364 transposant la directive NIS 2 en droit national prévoit que les entités essentielles et importantes notifient tous les incidents dans les 24 heures après leur détection à l’autorité compétente. Ensuite, l’autorité compétente transmet la notification au CSIRT (Computer Security Incident Response Team) concerné et au point de contact unique.
Toutefois, cette obligation n’empêche pas que l’entité transmette des informations en relation avec l’incident à son propre CSIRT.
L’ILR informera les entités au sujet de la procédure de la notification des incidents.
Est-ce qu'une uniformisation des critères et moyens de reporter les incidents est prévue entre les différentes autorités ?
En ayant une approche collaborative, l’ILR fait tout son possible pour trouver des synergies avec les autres autorités concernées pour avoir des critères et des moyens uniformes afin de contribuer à l’efficacité des activités de chaque entité.
Dans ce contexte, il est prévu qu’un module « incident reporting » soit intégré dans l’outil SERIMA en tant que plateforme nationale de notification des incident, afin que les entités puissent notifier les incidents à d’autres autorités. Cela simplifiera les procédures de notification des entités.
Est-ce qu'il y a un outil pour notifier les incidents importants ?
Actuellement, les opérateurs de services essentiels et les fournisseurs de services numériques notifient leurs incidents à l’ILR via le formulaire publié sur le site Internet de l’ILR prévu à cet effet.
Dans un futur proche, pour la mise en œuvre de la directive NIS 2, il est prévu qu’un module « incident reporting » soit intégré dans l’outil SERIMA afin que les entités puissent notifier les incidents importants.
Pour plus d’information veuillez consulter notre page sur SERIMA
Mesures de sécurité
Quelles sont les différences en termes d'exigence de sécurité entre une entité essentielle et une entité importante ?
En principe, les entités importantes doivent adopter les mêmes exigences de sécurité spécifiées dans la directive NIS 2 que les entités essentielles. La grande différence entre ces deux catégories d’entités réside au niveau de la supervision par l’autorité compétente.
Les entités essentielles seront soumises à un régime de supervision ex ante etex post, ce qui correspond à une supervision « complète ». Les entités importantes ne seront soumises qu’à un régime de supervision ex post. Les entités importantes seront dès lors notamment exemptées de la fourniture régulière de certains délivrables (e.g. analyse de risques, description de mesures de sécurité en place) que les entités essentielles devront fournir. Lors d’un incident, il peut aussi s’avérer nécessaire pour les entités importantes de fournirdes informations supplémentaires sur les mesures de sécurité mises en œuvre sur demande de l’ILR.
| Mechanism | To be sent to ILR | Essential entity | Important entity |
|---|---|---|---|
| Ex-ante | Security measures | ✓ | ✗ |
| Ex-post | Incident notification | ✓ | ✓ |
| Ex-post | After incident & upon request | ✓ | ✓ |
Que peut‐on attendre concrètement des exigences techniques telles que le chiffrement et le MFA ? Dans quel contexte ? Basées sur quels critères ? Où trouver les exigences relatives aux politiques / procédures ?
L’article 21 paragraphe 1 de la directive NIS 2 dispose que les entités seront obligées de prendre toutes les mesures techniques, organisationnelles et opérationnelles nécessaires, appropriées et proportionnées pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information ou utilisés dans le cadre de leurs activités ou dans la fourniture de leurs services.
Aussi, l’article 21 paragraphe 2, points h) et j) de la directive NIS 2 exigent que les entités doivent appliquer des mesures fondées sur une approche « tous risques » dans les domaines du chiffrement et d’authentification à plusieurs facteurs :
« 2. Les mesures visées au paragraphe 1 sont fondées sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents, et elles comprennent au moins:
…
h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
…
j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins. »
Bien que ces deux mesures soient d’ordre technique, l’objectif des politiques et des procédures, qui sont des mesures organisationnelles, est d’aligner les aspects techniques sur les aspects stratégiques de l’entité.
Tandis que la directive NIS 2 ne définit pas les critères en relation avec la mise en œuvre des mesures de chiffrement et de MFA, l’ILR recommande aux entités de suivre les bonnes pratiques conformément aux normes européennes et internationales.
L’ILR travaille actuellement sur la définition des mesures de sécurité à mettre en œuvre par les entités dans le cadre de la directive NIS 2.
Pour plus d’information veuillez consulter notre page sur SERIMA
Est-ce que l'ILR a déjà publié une liste avec les mesures de sécurité exigées ?
Actuellement, les opérateurs tombant dans le champ d’application de la loi NIS 1, ainsi que ceux qui tombent dans le champ d’application des articles 42, paragraphe 1 et 43 paragraphe 2 de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, sont obligés de notifier à l’ILR les mesures de sécurité qu’ils ont mis en place. Cette notification se fait entre autre par l’envoi d’un formulaire sur les mesures en place se basant sur des objectifs de sécurité proposés par l’ENISA. Ce fichier peut être téléchargé et consulté ici.
L’ILR travaille actuellement sur les mesures de sécurité à mettre en œuvre conformément à la directive NIS 2 ainsi que les bonnes pratiques à suivre. Les mesures de sécurité seront en principe alignées sur les normes européennes et internationales (p.ex. l’ISO/IEC 2700x) et les bonnes pratiques existantes (p.ex. CyberFundamentals du CCB).
Pour plus d’information veuillez consulter notre page sur SERIMA
Est-ce qu'il y aura des changements au niveau des actifs disponibles dans SERIMA pour réaliser les analyses des risques ?
Les actifs actuellement configurés dans SERIMA seront revus et adaptés conformément aux besoins en vertu de la directive NIS 2. L’ILR informera les entités en ce qui concerne les adaptations des actifs.
Pour plus d’information veuillez consulter notre page sur SERIMA