Mesures de sécurité

 

 

Mesures de sécuritéhttps://author.ilr.lu/FR/Professionnels/NISS/Mesures-de-securite/Pages/Mesures-de-securite.aspxMesures de sécurité<p>​​​​Conformément à l'article 8 (3) de la loi du 28 mai 2019 (NIS) et aux articles 42 (1) et 43 (2) de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, les opérateurs seront tenus de notifier à l'Institut les mesures.</p><p>La notification de ces mesures se fait par :</p><ol><li><span style="font-size:14px;">une description des mesures en place basées sur les objectifs de sécurité proposés par l'ENISA  (</span><a href="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-52.xlsx" title="Objectifs de Sécurité"><span style="font-size:14px;">Formulaire Mesures​</span></a><span style="font-size:14px;">) sous forme du fichier Excel; </span></li><li><span style="font-size:14px;">une liste des dépendances envers d'autres services de communications électroniques ou services essentiels (</span><a href="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-53.xlsx" title="Dépendances"><span style="font-size:14px;">F</span><span style="font-size:14px;">ormul</span><span style="font-size:14px;">​aire Dépendances</span><span style="font-size:14px;">​) <span class="ms-rteThemeForeColor-2-0" style="font-size:14px;">sous forme du fichier Excel</span><span class="ms-rteThemeForeColor-2-0" style="font-size:14px;">;</span> </span></a>et<br></li><li><a href="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-33.xlsx"><span style="font-size:14px;"></span></a><span style="font-size:14px;">une analyse des risques liés au(x) service(s) de communications​ électroniques ou d'essentiel(s) fourni(s). Cette analyse de risques peut soit être réalisée à l'aide de l'outil SERIMA mis à disposition par l'Institut, soit avec un autre outil similaire. L'analyse doit :</span></li></ol><ul style="list-style-type:disc;"><ul><li>être livrée sous forme d'un fichier JSON importable dans SERIMA​​;<br></li><li>le nom du fichier doit respecter la convention de nommage suivante : AnnéeMoisJour_Operateur_Secteur-Soussecteur_Langue.JSON. Par exemple 20221124_MonOrganisation_Energie-Gaz_Fr.JSON;<br></li><li>se baser sur la librairie sectorielle disponible sur demande auprès de l'Institut. Contenu:<br></li><ul><li>une liste des services essentiels fournis au Luxembourg;<br></li><li>les actifs primaires et secondaires nécessaires pour fournir ces services pris en compte;</li><li>la liste des menaces prises en compte;</li><li>la liste des vulnérabilités appliquées pour chaque actif;​​<br></li><li>les impacts de chaque risque identifié;<br></li></ul><li>utiliser les échelles de cotation des menaces, de l'impact et des vulnérabilités (cf ci-dessous);<br></li><li>utiliser les critères d'acceptation des risques;<br></li><li>indiquer les mesures mises en place pour minimiser les risques;<br></li><li>indiquer le choix de traitement des risques et le calendrier d'implémentation y relatif ;<br></li><li>indiquer l'évaluation des risques résiduels;<br></li><li>utiliser une échelle à 5 niveaux, de 0 (minimum) à 4 (maximum), pour l'évaluation du niveau de chaque menace;<br></li><li>utiliser une échelle à 4 niveaux,  de 0 (minimum) à 3 (maximum), pour l'évaluation du niveau de chaque vulnérabilité;<br></li><li>utiliser une échelle d'impact à 5 niveaux, de 0 (minimum) à 4 (maximum), pour l'évaluation du niveau de l'impact.<br></li><li>​L'opérateur est libre d'ajouter des assets et des risques pour compléter son analyse de risques. <br></li></ul></ul><p style="text-align:justify;"><br></p><p style="text-align:justify;">Il est à noter, qu'en fonction du type d'opérateur en question, l'obligation de notification peut se limiter à uniquement un ou deux éléments de la liste précédente.</p><p style="text-align:justify;">Si l'opérateur utilise un autre nombre de niveaux pour les échelles, il faudra qu'il les adapte afin d'être en ligne avec les niveaux ci-dessus. </p><p style="text-align:justify;">Pour toute question, remarque ou demande d'informations supplémentaires, veuillez envoyer un email à l'adresse suivante: <a href="mailto:niss@ilr.lu">serima@ilr.lu</a>. ​​<br>​<br><br></p>Mesures de sécurité6/10/2022 9:30:00 AM2022-11-24T14:33:19Z