Directive NIS2

 

 

La directive NIS2https://author.ilr.lu/FR/Professionnels/NISS/Directive-NIS2/Pages/NIS2.aspxLa directive NIS2<p>​Cette page est dédiée à donner un aperçu sur la <a href="https://eur-lex.europa.eu/eli/dir/2022/2555/oj">DIRECTIVE (UE) 2022/2555 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)​</a>​ (ci-après la "Directive NIS2").</p><p style="text-align:left;">La Directive NIS2 prévoit une transposition en loi nationale au 17 octobre 2024 (<a href="https://www.chd.lu/fr/dossier/8364">Projet de loi 8364​</a>). Les principales nouveautés de la Directive NIS2 sont expliquées ci-dessous.​</p><p><strong>Important: ​​La Commission européenne a publié le </strong><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R2690&qid=1729254262885"><strong>règlement d'exécution UE 2024/2690 du 17 octobre 2024​</strong></a><strong>.</strong><br></p><p style="text-align:left;"><br></p><p style="text-align:left;"><span style="text-decoration:underline;"><strong>Disclaimer</strong></span> :  La partie 'questions-réponses' ci-dessous vise à améliorer la compréhension des personnes concernées des dispositions de la directive NIS 2. Cependant, elle ne constitue pas une interprétation finale quant aux différents termes de la directive NIS 2 et les explications générales apportées par l'Institut peuvent varier au fil du temps et notamment en fonction de la transposition de la directive NIS 2 en droit luxembourgeois. ​<br></p><p style="text-align:left;"><br></p><h3 class="ms-rteElement-ILRAccordionExpandedElement">Séances d'information<br></h3><p style="text-align:left;">L'Institut tient des <strong>sessions d'information</strong>, les prochaines séances sont planifiées pour :<br></p><ul><li><p> <span style="text-decoration:underline;"> <strong>Session générique sur la NIS2</strong></span>: <a href="https://www.youtube.com/watch?v=5p_3gGDXihU">l'enregistrement de la session du <span style="text-decoration:underline;">24 septembre 2024 (en anglais) </span>est disponible sur ce lien youtube</a> et voici <a href="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-72.pdf">la presentation</a>.​ Le contenu est le même que pour les sessions de Q4/2023 et Q1&Q2/2024.</p></li><li><p>Des sessions sur les thématiques plus spécifiques seront annoncées bientôt.​​</p></li></ul><p style="text-align:left;">Afin de rester informé des nouveaux créneaux, veuillez-vous abonner <a href="https://web.ilr.lu/FR/ILR/_layouts/15/ILR.Internet/Subscribe.aspx">à la newsletter du service NISS​</a>.<br></p><p style="text-align:left;">N'hésitez pas à nous contacter en utilisant <a href="mailto:nis2@ilr.lu">nis2@ilr.lu</a> si vous avez des questions en relation avec la Directive NIS2 ou avec les sessions d'information.​<br></p><h3 class="ms-rteElement-ILRAccordionExpandedElement"> <span class="ms-rteFontSize-3">Auto-enregistreme​nt de votre entreprise</span></h3><p style="text-align:left;">La Directive NIS2 prévoit que les entreprises s'enregistrent elles-mêmes chez l'autorité compétente.</p><ul style="text-align:left;"><li> <span style="font-size:14px;">Le formulaire pour s'auto-enregistrer en ​français est disponible </span> <a href="https://guichet.ilr.lu/portal/rest/start/NISS_EE231?lang=fr"> <span style="font-size:14px;">ici​.</span></a><br></li><li> <span style="font-size:14px;">The form for the self-registration in English is available <a href="https://guichet.ilr.lu/portal/rest/start/NISS_EE231?lang=en">here​</a></span></li></ul><h2> <span class="ms-rteForeColor-2">​​​​​​Périmèt​re et champ d'application</span></h2><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quelles so​nt les principales nouveautés et obligations introduites par la directive NIS 2 ?</span></h3><p>La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (ci-après, la « directive NIS1 ») a été élaborée dans le but de contribuer à la sécurité du fonctionnement de l'économie et de la société dans l'Union Européenne (ci-après, « UE »). Dans ce contexte, les objectifs étaient notamment : </p><ol><li>la création et l'augmentation des capacités en matière de cybersécurité au sein de l'UE ;</li><li>l'atténuation des risques auxquels les réseaux et systèmes d'information dans les secteurs critiques sont exposés ; </li><li>la garantie de la continuité des services essentiels après qu'un incident se soit produit ;</li><li>la création d'un cadre pour faciliter la collaboration et la coopération des États membres au sein de l'UE.</li></ol><p>La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (ci-après, la « directive NIS 2 ») tente d'apporter des améliorations nécessaires par rapport à la directive NIS 1 face à l'évolution du paysage des cybermenaces et vise à limiter les divergences de transposition de la directive NIS 1 identifiées par les différents États membres. Globalement, les nouveautés apportées par la directive NIS 2 sont les suivantes :</p><ol><li>définition de critères homogènes pour déterminer les entités qui tombent par défaut dans le champ d'application de cette directive ;</li><li>introduction de nouveaux secteurs dans le champ d'application, en les regroupant dans les catégories « importants » et « essentiels » ;</li><li>les mesures de gestion des risques sont à appliquer à tous les réseaux et systèmes d'informations qui supportent les activités de l'entité, et non seulement à ceux supportant les services essentiels ;</li><li>responsabilisation des membres des organes de direction des entités tombant dans le champ d'application de la directive NIS 2 ;</li><li>harmonisation des mesures de sécurité à appliquer (établir des politiques de sécurité, assurer la sécurité dans la chaîne d'approvisionnement, etc.) ;</li><li>précision des règles sur la notification des incidents des entités auprès de l'autorité compétente ;</li><li>introduction de catalogues des pouvoirs de supervision et d'exécution des autorités compétentes, ainsi que des seuils de maxima des sanctions pour les violations des dispositions de la directive NIS 2.​<br></li></ol><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">La directive NIS 2 mentionne que les dispositions de cette directive devront être transposées au plus tard le 17 octobre 2024 dans les États membres. Est-ce que les entités devront se conformer aux exigences de la directive NIS 2 pour cette date ?</span></h3><p>Selon l'article 41 paragraphe 1 de la directive NIS 2 les États membres devront adopter et publier les dispositions nécessaires pour se conformer à la directive NIS 2 au plus tard le 17 octobre 2024. Ils devront les appliquer à partir du 18 octobre 2024. Ces dates concernent en particulier l'adoption d'une loi transposant la directive NIS 2 (ci-après, la « loi NIS 2 ») sur le plan national.</p><p>Après l'entrée en vigueur de la loi NIS 2, l'ILR devra mettre à jour ou le cas échéant préparer ses règlements pour les secteurs pour lesquels l'ILR sera l'autorité compétente. Les entités seront informées et consultées à ce sujet. Les règlements définiront au minimum les modalités relatives aux mesures de sécurité et aux notifications des incidents et les différentes échéances à respecter par les entités.</p><p>En parallèle, l'ILR travaille sur des lignes directrices en vue d'accompagner les entités dans l'application des mesures pour les aider à être conforme à la règlementation.<br></p><p>Cependant l'ILR conseille vivement aux entités de d'ores et déjà procéder aux activités de préparation et de mise en œuvre des mesures de sécurité en fonction des normes européennes et internationales et de suivre de près la transposition de la directive NIS 2 au Grand-Duché de Luxembourg.​​<br></p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Mon entreprise est-elle concernée par la Directive NIS2 ?</span><br></h3><p>​Afin de vous aider à déterminer si votre entreprise entre dans le champ d'application de la directive NIS 2, veuillez vous référer au schéma simplifié ci-dessous. <br></p><p>Comme indiqué dans ce schéma, la directive NIS 2 introduit une règle de détermination du champ d'application liée à la taille de l'entreprise, aussi appelée « size-cap ». Cela veut dire qu'une entreprise qui est active dans un des secteurs des annexes et si cette entreprise a une certaine taille (voir ci-dessous la section « Explications sur le size-cap ») elle est concernée par défaut par la Directive NIS 2. </p><p>Par ailleurs, la directive NIS 2 prévoit un certain nombre d'exceptions à l'application du « size-cap » (par exemple : pour les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public, pour les prestataires de services de confiance ou des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine).<br></p><p>Indépendamment de sa taille, une entité peut être identifiée comme essentielle ou importante selon des critères spécifiques (par exemple : entité déjà identifiée comme entité critique ; fournisseur unique dans son domaine d'activité, etc.). ​<br></p><p> <br> </p><div> <br> </div><div> <img src="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-63.png" data-themekey="#" alt="" style="margin:5px;width:700px;height:776px;" /> </div><div> <br> </div><div><p>Veuillez trouver <a href="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-66.pdf">ici​</a> un document proposant la définition des différents secteurs d'activité concernés par la directive NIS2.</p> <br> </div><p></p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Mon​ entreprise est-elle considérée comme une entité essentielle ou importante ?​</span><br></h3><p>Le schéma ci-dessous donne un aperçu du procédé pour déterminer si​ une e​ntité est à considérer comme essentielle ou importante.<br></p><p> <img src="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-64.png" data-themekey="#" alt="" style="margin:5px;width:800px;height:480px;" />​<br></p><p></p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">​​E​​xplications sur le size-cap (entreprise moyenne ou large)​</span><br></h3><p>​</p><p>Le <a href="https://data.europa.eu/doi/10.2873/255862">guide de l'utilisateur​ pour la définition des PME</a> publié par la Commission européenne peut faciliter l’interprétation de la règle de plafond (« size-cap ») de la Directive NIS 2.  Une entité est considérée comme moyenne si elle a un effectif d'au moins 50 et pas plus de 249 personnes, ou si elle a un chiffre d'affaires annuel entre 10 millions € et 50 millions €, ou si le total du bilan annuel est entre 10 millions € et 43 millions €. Dans le cas où un de ces critères est excédé, l'entreprise est considérée comme large.​<br></p><p></p><p></p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quels sont les secteurs hautement critiques (dit: essentiels) de la Directive NIS2?</span><br></h3><p style="text-align:left;">Les secteurs hautement critiques (dit:essentiels) sont les secteurs identifiés dans l'annexe I de la Directive NIS2, donc :<br></p><ul style="text-align:left;"><li>Énergie – électricité ; réseaux de chaleur et de froid ; pétrole ; gaz ; hydrogène ;</li><li>Transport – transport aériens ; transports ferroviaires ; transports par eau ; transports routiers ;</li><li> <em>Secteur bancaire</em></li><li> <em>Infrastructures des marchés financiers</em></li><li>Santé – (prestataires de soins de santé ; laboratoires de référence de l'Union européenne ; entités exerçant des activités de recherche et de développement dans le domaine des médicaments ; entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques ; entités fabriquant des dispositifs médicaux considérés comme critiques en cas d'urgence de santé publique ;)</li><li>Eau potable ;</li><li>Eaux usées ;</li><li>Infrastructure numérique – (fournisseurs de points d'échange Internet ; fournisseurs de services DNS ; registres de noms de domaine de premier niveau ; fournisseurs de services d'informatique en nuage (Cloud service provider) ; fournisseurs de services de centres de données ; fournisseurs de réseaux de diffusion de contenu ; prestataires de services de confiance ; fournisseurs de réseaux de communications électroniques publics ; fournisseurs de services de communications électroniques accessibles au public ;)</li><li>​Gestion des services TIC – (fournisseurs de services gérés ; fournisseurs de services de sécurité gérés ;)</li><li>Administration publique ;</li><li>Espace.​</li></ul><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quels sont les autres secteurs critiques (dit: importants) de la Directive NIS2?</span><br></h3><p style="text-align:left;">Les autres secteurs critiques (dit: importants) sont les secteurs identifiés dans l'annexe II de la Directive NIS2, donc :<br></p><ul style="text-align:left;"><li>Services postaux et d'expédition ;</li><li>Gestion des déchets ;</li><li>Fabrication, production et distribution de produits chimiques ;</li><li>Production, transformation et distribution des denrées alimentaires ;</li><li>Fabrication :</li><ul><li>Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro ;</li><li>Fabrication de produits informatiques, électroniques et optiques ;</li><li>Fabrication d'équipements électriques ;</li><li>Fabrication de machines et équipements n.c.a ;</li><li>Construction de véhicules automobiles, remorques et semi-remorques ;</li><li>Fabrication d'autres matériels de transport ;<br></li></ul><li>Fournisseurs numériques – (fournisseurs de places de marché en ligne ; fournisseurs de moteurs de recherche en ligne ; fournisseurs de plateformes de services de réseaux sociaux ;</li><li>Recherche.​</li></ul><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quelle est la procédure de classification des entités, y compris les rôles et responsabilités de l'entité et de l'autorité compétente ?</span></h3><p>Contrairement à la situation sous la directive NIS 1, les autorités compétentes n'ont plus besoin de désigner les entités tombant dans le champ d'application de la directive NIS 2. Les entités devront analyser leurs situations individuellement et le cas échéant se conformer aux obligations découlant de la directive NIS 2. </p><p>Par ailleurs, la directive NIS 2 oblige l'ILR à établir au plus tard jusqu'au 17 avril 2025 une liste des entités essentielles et importantes, ainsi que des entités fournissant des services d'enregistrement des noms de domaine j. Afin que l'ILR puisse atteindre cet objectif, et conformément à l'article 3 paragraphe 4 de la directive NIS 2, les entités tombant dans le champ d'application de la directive NIS 2 sont dans l'obligation de transmettre toutes les informations demandées via le <a href="https://guichet.ilr.lu/NISS_EE231/Controler?action=login&documentId=Main&mediaType=ji_html&dialogAUTH=D3A22D59E3547C0703CEC5FDB4AEFA9EE57CEC8E7FDFF6C2F9D70E771D22E08F620DAD01F31E9522116C619F2552D4DA">formulaire d'auto-enregistrement</a> disponible sur le site internet de l'ILR.</p><p>À réception du formulaire d'auto-enregistrement, l'ILR procède à une revue et confirme le statut de l'entité en question (c'est-à-dire statut d'entité essentielle ou importante). L'ILR peut demander des informations complémentaires à l'entité en question pour traiter ou compléter le dossier. Par ailleurs, les entités sont tenues de notifier à l'ILR toutes modifications des informations qu'elles ont communiquées précédemment dans un délai de deux semaines à compter de la date de modification.<br></p><p>Néansmoins, l'ILR peut toujours identifier une entité en tant que importante ou essentielle suite à son criticité pour le Luxembourg, même si elle ne tombe pas par défaut dans le champ d'application de la NIS2.<br></p><p>Pour le 17 avril 2025 au plus tard, l'autorité compétente devra notifier à la Commission européenne et au groupe de coopération le nombre d'entités pour chaque secteur et sous-secteur.​<br></p><p> <span style="font-size:14px;"></span></p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Pour quels secteurs l'ILR sera l'autorité compétente ?</span><br></h3><p>L'article 3 du projet de loi n°8364 visant à transposer la directive NIS 2 en droit national au Grand-Duché de Luxembourg attribue à l'ILR la fonction d'autorité compétente en matière de sécurité des réseaux et des systèmes d'information pour la grande majorité des secteurs. D'autre part, le même article confie à la Commission de surveillance du secteur financier (CSSF) le rôle d'autorité compétente pour le secteur bancaire et le secteur des infrastructures des marchés financiers ainsi que pour le secteur des infrastructures numériques et le secteur de la gestion des services TIC, en ce qui concerne les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier.<br></p><h2> <span class="ms-rteForeColor-2">​Enregistrement des entités importantes et essentielles​</span><br></h2><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Auto-enregistrement de votre entreprise</span></h3><p>La Directive NIS2 prévoit que les entreprises s'enregistrent elles-mêmes chez l'autorité compétente.</p><ul><li> <span style="font-size:14px;">Le formulaire pour s'auto-enregistrer en ​français est disponible </span><a href="https://guichet.ilr.lu/portal/rest/start/NISS_EE231?lang=fr"><span style="font-size:14px;">ici​.</span></a><br></li><li> <span style="font-size:14px;">The form for the self-registration in English is available <a href="https://guichet.ilr.lu/portal/rest/start/NISS_EE231?lang=en">here​</a></span></li></ul><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quelles est la date limite pour qu'une entité puisse s'enregistrer ?</span></h3><p>Cette date dépendra de l'entrée en vigueur de la future loi transposant la directive NIS 2 en droit luxembourgeois. La directive NIS 2 prévoit l'obligation pour les autorités compétentes de transmettre à la Commission européenne des données liées au nombre d'entités essentielles et importantes au plus tard pour le 17 avril 2025 </p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Est-ce qu'une entité doit s'enregistrer, même si elle fait déjà partie du périmètre de la loi NIS 1 ou de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques ?</span></h3><p>Si une entité fait déjà partie du périmètre de la directive NIS 1 ou du champ d'application de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, celle-ci n'est pas obligée de procéder au processus d'auto-enregistrement. Elle sera classée par l'ILR comme entité importante ou essentielle sur base du schéma de classification. L'entité sera informée par l'ILR à ce sujet.​<br></p><h2> <span class="ms-rteForeColor-2">Notification des incidents ​</span></h2><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quels sont les seuils et la définition des incidents significatifs ?</span></h3><p>Les obligations concernant les incidents du type important/significatif proviennent de l'article 23 de la directive NIS 2. Un incident est considéré comme important/significatif si :</p><p> <em>«a)  il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l'entité concernée ;</em></p><p> <em>b) il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. »​</em></p><p>Après la transposition de la directive NIS 2 en droit luxembourgeois, l'ILR publiera des critères et indicateurs plus précis à ce sujet par voie de règlement.<br></p><p>Comme défini dans le paragraphe 11 de l'article 23, la Commission va adopter des actes d'exécution précisant plus en détail les cas dans lesquels un incident est à considérer comme important pour les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d'informatique en nuage (Cloud Service Provider), les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux.</p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quelle est la définition d'un incident ? Est-ce que l'obligation de notifier un incident inclut aussi l'indisponibilité des services causée par un acte non-malveillant (p.ex. une défaillance d'un système) ?</span></h3><p>L'article 6 paragraphe 6 de la directive NIS 2 définit un incident comme « <em>un évènement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessible</em> ».</p><p>​Si un incident avec un impact important se produit, que ce soit par un acte de malveillance ou du fait d'une mauvaise manipulation, celui-ci est à notifier dans tous les cas.<br></p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Dans le cas d'un incident déclenché en raison d'une menace physique ou naturelle (p.ex. la pollution) impactant la production d'un service, est-ce qu'une entité devra reporter cet incident à l'ILR ?​</span><br></h3><p>Tout évènement, y compris les menaces naturelles, ayant compromis la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessible tombent dans le champ d'application de la directive NIS 2. Les incidents en dehors de ce périmètre ne devront pas faire objet d'une notification à l'ILR.<br></p><p>Par exemple, un camion qui heurte un répartiteur de circuits électriques ne tombe pas dans le périmètre de la directive NIS 2, même si cet incident impacte les activités opérationnelles du service de fourniture de l'électricité. Cependant, le camion qui heurte un répartiteur de communications électroniques tombe dans le périmètre de la NIS2, étant donné qu'il y a un impact sur les équipements de réseaux et systèmes d'information.<br></p><p>Il est important que les entités identifient tous les types de menaces dans le cadre du processus de gestion des risques, afin de planifier et de mettre en œuvre les mesures de sécurité adéquates, p.ex. un périmètre de sécurité physique, une redondance des systèmes critiques, etc.</p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Au sujet de la notification des incidents, qu'est-ce que veut dire concrètement une notification endéans 24h ? Que se passe-t-il s'il y a un incident pendant le weekend et qu'un service d'astreinte n'est pas assuré par les équipes techniques ?​</span><br></h3><p>Selon l'article 23, paragraphe 4, alinéa a de la directive NIS 2, les entités sont obligées de soumettre au CSIRT(Computer Security Incident Response Team)  ou, selon le cas, à l'autorité compétente <em>« sans retard injustifié et en tout état de cause dans les 24 heures </em> <span style="text-decoration:underline;"> <em>après avoir eu connaissance de l'incident important</em></span><em>, une alerte précoce qui, le cas échéant indique si l'on suspecte​ l'incident important d'avoir été causé par des actes illicites ou malveillants ou s'il pourrait avoir un impact transfrontière »</em>.<br></p><p>Ici, il est important de distinguer entre le temps de la <strong>survenance</strong> d'un incident important et le temps de la <strong>détection</strong> de cet l'incident. Effectivement, il se peut qu'il y ait un délai de seulement quelques minutes entre la survenance et la détection, voire même quelques années, si on considère les cyber menaces qui possèdent des capabilités avancées et complexes et qui sont financées par un État.<br></p><p>Pour conclure, une entité est obligée de notifier un incident important dans les 24h seulement après avoir détecté cet incident, même en dehors des heures de travail. </p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Selon la directive NIS 2, une entité est obligée de notifier un incident important à l'autorité compétente ou au CSIRT(Computer Security Incident Response Team). Comment savoir qui doit être notifié?</span></h3><p>L'ILR collabore avec les différents acteurs de l'écosystème de cybersécurité avec l'objectif, entre autres, de simplifier les procédures relatives à la notification d'incidents.​<br></p><p>Pour l'instant, le projet de loi n°8364 transposant la directive NIS 2 en droit national prévoit que les entités essentielles et importantes notifient tous les incidents dans les 24 heures après leur détection à l'autorité compétente. Ensuite, l'autorité compétente transmet la notification au CSIRT (Computer Security Incident Response Team) concerné et au point de contact unique.</p><p>Toutefois, cette obligation n'empêche pas que l'entité transmette des informations en relation avec l'incident à son propre CSIRT.<br></p><p>L'ILR informera les entités au sujet de la procédure de la notification des incidents.</p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Est-ce qu'une uniformisation des critères et moyens de reporter les incidents est prévue entre les différentes autorités ?</span></h3><p>En ayant une approche collaborative, l'ILR fait tout son possible pour trouver des synergies avec les autres autorités concernées pour avoir des critères et des moyens uniformes afin de contribuer à l'efficacité des activités de chaque entité.​<br></p><p>Dans ce contexte, il est prévu qu'un module « incident reporting » soit intégré dans l'outil SERIMA en tant que plateforme nationale de notification des incident, afin que les entités puissent notifier les incidents à d'autres autorités. Cela simplifiera les procédures de notification des entités.</p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Est-ce qu'il y a un outil pour notifier les incidents importants ?</span></h3><p>Actuellement, les opérateurs de services essentiels et les fournisseurs de services numériques notifient leurs incidents à l'ILR via le formulaire publié sur le site Internet de l'ILR prévu à cet effet.</p><p>Dans un futur proche, pour la mise en œuvre de la directive NIS 2, il est prévu qu'un module « incident reporting » soit intégré dans l'outil SERIMA afin que les entités puissent notifier les incidents importants.​</p><h2> <span class="ms-rteForeColor-2">​Mesures de sécurité</span>​<br></h2><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Quelles sont les différences en termes d'exigence de sécurité entre une entité essentielle et une entité importante ?</span></h3><p>En principe, les entités importantes doivent adopter les mêmes exigences de sécurité spécifiées dans la directive NIS 2 que les entités essentielles. La grande différence entre ces deux catégories d'entités réside au niveau de la supervision par l'autorité compétente.<br></p><p>Les entités essentielles seront soumises à un régime de supervision <em>ex ante</em><span style="text-decoration:underline;"> <strong>et</strong></span><em>ex post</em>, ce qui correspond à une supervision « complète ». Les entités importantes ne seront soumises qu'à un régime de supervision <em>ex post</em>. Les entités importantes seront dès lors notamment exemptées de la fourniture régulière de certains délivrables (e.g. analyse de risques, description de mesures de sécurité en place) que les entités essentielles devront fournir. Lors d'un incident, il peut aussi s'avérer nécessaire pour les entités importantes de fournirdes informations supplémentaires sur les mesures de sécurité mises en œuvre sur demande de l'ILR.</p><p> <img src="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-69.png" alt="ex-ante vs ex-post" data-themekey="#" style="margin:5px;" /> <img class="ms-rtePosition-4" data-themekey="#" alt="" style="margin:5px;width:683px;" />​</p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Que peut‐on attendre concrètement des exigences techniques telles que le chiffrement et le MFA ? Dans quel contexte ? Basées sur quels critères ? Où trouver les exigences relatives aux politiques / procédures ?</span></h3><p>L'article 21 paragraphe 1 de la directive NIS 2 dispose que les entités seront obligées de prendre toutes les mesures techniques, organisationnelles et opérationnelles nécessaires, appropriées et proportionnées pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d'information ou utilisés dans le cadre de leurs activités ou dans la fourniture de leurs services.</p><p>Aussi, l'article 21 paragraphe 2, points h) et j) de la directive NIS 2 exigent que les entités doivent appliquer des mesures fondées sur une approche « tous risques » dans les domaines du chiffrement et d'authentification à plusieurs facteurs :<br></p><p> <em>« 2. Les mesures visées au paragraphe 1 sont fondées sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d'information ainsi que leur environnement physique contre les incidents, et elles comprennent au moins:</em></p><p> <em>…</em></p><p> <em>h) des politiques et des procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du </em> <em> <strong>chiffrement</strong></em><em>;</em></p><p> <em>…</em></p><p> <em>j) l'utilisation de solutions d'</em><em><strong>authentification à plusieurs facteurs</strong></em><em> ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d'urgence au sein de l'entité, selon les besoins. »</em></p><p>Bien que ces deux mesures soient d'ordre technique, l'objectif des politiques et des procédures, qui sont des mesures organisationnelles, est d'aligner les aspects techniques sur les aspects stratégiques de l'entité.​<br></p><p>Tandis que la directive NIS 2 ne définit pas les critères en relation avec la mise en œuvre des mesures de chiffrement et de MFA, l'ILR recommande aux entités de suivre les bonnes pratiques conformément aux normes européennes et internationales.​<br></p><p>L'ILR travaille actuellement sur la définition des mesures de sécurité à mettre en œuvre par les entités dans le cadre de la directive NIS 2.</p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Est-ce que l'ILR a déjà publié une liste avec les mesures de sécurité exigées ?</span></h3><p>Actuellement, les opérateurs tombant dans le champ d'application de la loi NIS 1, ainsi que ceux qui tombent dans le champ d'application des articles 42, paragraphe 1 et 43 paragraphe 2 de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, sont obligés de notifier à l'ILR les mesures de sécurité qu'ils ont mis en place. Cette notification se fait par l'envoi d'un fichier Excel se basant sur des objectifs de sécurité proposés par l'ENISA. Ce fichier peut être téléchargé et consulté via :<a href="https://web.ilr.lu/FR/Professionnels/NISS/Mesures-de-securite">https://web.ilr.lu/FR/Professionnels/NISS/Mesures-de-securite</a>.​</p><p>L'ILR travaille actuellement sur les mesures de sécurité à mettre en œuvre conformément à la directive NIS 2 ainsi que les bonnes pratiques à suivre. Les mesures de sécurité seront en principe alignées sur les normes européennes et internationales (p.ex. l'ISO/IEC 2700x) et les bonnes pratiques existantes (p.ex. CyberFundamentals du CCB).​​<br>​<br></p><p></p><h3 class="ms-rteElement-ILRAccordionElement"> <span class="ms-rteFontSize-3">Est-ce qu'il y aura des changements au niveau des actifs disponibles dans SERIMA pour réaliser les analyses des risques ?</span></h3><p>Les actifs actuellement configurés dans SERIMA seront revus et adaptés conformément aux besoins en vertu de la directive NIS 2. L'ILR informera les entités en ce qui concerne les adaptations des actifs. </p><p>Il convient aussi de souligner que l'ILR organisera des <a href="https://web.ilr.lu/FR/Professionnels/NISS/SERIMA-SEcurity-RIsk-MAnagement">formations à l'utilisation de SERIMA</a>.​<br></p> <br> <p></p> <div> <br> </div><div> <br> </div><div> <br> </div>Directive NIS27/21/2023 2:00:00 PM2024-10-22T07:16:32Z