NIS2 – Vers une cybersécurité renforcée

La responsabilité de la transposition de la Directive NIS2 (Network and Information Security Directive) en droit national incombe au Haut-Commissariat à la Protection Nationale, mettant en évidence son caractère d’une importance cruciale au niveau national. La Directive NIS2 est le pendant du règlement DORA (Digital Operational Resilience Act) pour les professionnels du secteur financier. Elle a pour objectif d’améliorer la gestion du risque lié aux fournisseurs de TIC, incluant les services tiers de cloud. La Directive englobe également tous les sous-traitants des fournisseurs TIC en vue de renforcer la cyberrésilience au niveau européen suite à la multiplication incontrôlée des incidents cyber depuis 2020.

En incluant tous les sous-traitants des fournisseurs de services numériques et les opérateurs d’infrastructures critiques, la Directive NIS2 a également des implications importantes pour les communes et les autorités locales. C’est la raison pour laquelle le SIGI a participé, mercredi 6 décembre, à une réunion d’information concernant la cybersécurité et la Directive NIS2 au sein de l’Institut de Régulation Luxembourgeois.

Le SIGI, en tant qu’entité essentielle selon un mécanisme de proportionnalité en fonction du niveau de criticité, fait désormais partie des infrastructures critiques du pays. Cette responsabilité accrue exige une approche renforcée et sophistiquée en matière de sécurité de l’information.

NIS2 – « Nice to know »

Voici quelques points clés à savoir de la Directive NIS2, qui constitue une mise à jour de la directive précédente NIS1.

• 1. Élargissement du champ d’application : La Directive couvre un éventail plus large d’acteurs, notamment les fournisseurs de services numériques essentiels (ESN) et les plateformes en ligne, en plus des opérateurs de services essentiels (OSE) déjà inclus dans NIS1.

• 2. Exigences renforcées pour les acteurs concernés : Les ESN et les plateformes en ligne doivent prendre des mesures pour garantir la sécurité de leurs réseaux et systèmes d’information, et notifier les incidents de sécurité majeurs aux autorités compétentes.

• 3. Coopération renforcée entre les États membres : La Directive encourage la coopération et l’échange d’informations entre les États membres pour mieux faire face aux menaces transfrontalières et aux incidents de cybersécurité.

• 4. Gouvernance et supervision : Les États membres doivent désigner des autorités compétentes pour surveiller la conformité des acteurs concernés et assurer la mise en œuvre efficace de la Directive au niveau national.

• 5. Mesures de sécurité et gestion des incidents : Les acteurs concernés sont tenus de mettre en place des mesures de sécurité appropriées et des mécanismes de gestion des incidents pour prévenir et répondre aux attaques et aux failles de sécurité.

• 6. Sanctions : Des sanctions peuvent être imposées aux acteurs non conformes, encourageant ainsi le respect des normes de cybersécurité établies par la Directive.

La Directive NIS2 vise à renforcer la résilience et la sécurité des infrastructures numériques cruciales pour les services essentiels et la société dans son ensemble, tout en favorisant une meilleure coordination entre les pays membres de l’UE pour répondre aux défis croissants en matière de cybersécurité.