NIS2 – Vers une cybersécurité renforcée
Le SIGI, une infrastructure critique de la sécurité du pays
La dynamique géopolitique actuelle, marquée par le conflit en Ukraine et les tensions au Moyen-Orient, étend le champ des discussions sur la sécurité au-delà de la seule défense militaire, englobant également des préoccupations cruciales en matière de cybersécurité. Cette évolution dans le paysage géopolitique européen confère une importance et une priorité exceptionnelles à la question de la sécurité numérique.
La responsabilité de la transposition de la Directive NIS2 (Network and Information Security Directive) en droit national incombe au Haut-Commissariat à la Protection Nationale, mettant en évidence son caractère d’une importance cruciale au niveau national. La Directive NIS2 est le pendant du règlement DORA (Digital Operational Resilience Act) pour les professionnels du secteur financier. Elle a pour objectif d’améliorer la gestion du risque lié aux fournisseurs de TIC, incluant les services tiers de cloud. La Directive englobe également tous les sous-traitants des fournisseurs TIC en vue de renforcer la cyberrésilience au niveau européen suite à la multiplication incontrôlée des incidents cyber depuis 2020.
En incluant tous les sous-traitants des fournisseurs de services numériques et les opérateurs d’infrastructures critiques, la Directive NIS2 a également des implications importantes pour les communes et les autorités locales. C’est la raison pour laquelle le SIGI a participé, mercredi 6 décembre, à une réunion d’information concernant la cybersécurité et la Directive NIS2 au sein de l’Institut de Régulation Luxembourgeois.
Le SIGI, en tant qu’entité essentielle selon un mécanisme de proportionnalité en fonction du niveau de criticité, fait désormais partie des infrastructures critiques du pays. Cette responsabilité accrue exige une approche renforcée et sophistiquée en matière de sécurité de l’information.
NIS2 – « Nice to know »
Voici quelques points clés à savoir de la Directive NIS2, qui constitue une mise à jour de la directive précédente NIS1.
- 1. Élargissement du champ d’application : La Directive couvre un éventail plus large d’acteurs, notamment les fournisseurs de services numériques essentiels (ESN) et les plateformes en ligne, en plus des opérateurs de services essentiels (OSE) déjà inclus dans NIS1.
- 2. Exigences renforcées pour les acteurs concernés : Les ESN et les plateformes en ligne doivent prendre des mesures pour garantir la sécurité de leurs réseaux et systèmes d’information, et notifier les incidents de sécurité majeurs aux autorités compétentes.
- 3. Coopération renforcée entre les États membres : La Directive encourage la coopération et l’échange d’informations entre les États membres pour mieux faire face aux menaces transfrontalières et aux incidents de cybersécurité.
- 4. Gouvernance et supervision : Les États membres doivent désigner des autorités compétentes pour surveiller la conformité des acteurs concernés et assurer la mise en œuvre efficace de la Directive au niveau national.
- 5. Mesures de sécurité et gestion des incidents : Les acteurs concernés sont tenus de mettre en place des mesures de sécurité appropriées et des mécanismes de gestion des incidents pour prévenir et répondre aux attaques et aux failles de sécurité.
- 6. Sanctions : Des sanctions peuvent être imposées aux acteurs non conformes, encourageant ainsi le respect des normes de cybersécurité établies par la Directive.
La Directive NIS2 vise à renforcer la résilience et la sécurité des infrastructures numériques cruciales pour les services essentiels et la société dans son ensemble, tout en favorisant une meilleure coordination entre les pays membres de l’UE pour répondre aux défis croissants en matière de cybersécurité.
Affaire à suivre
Soucieux d’offrir aux communes membres des services professionnels sécurisés, le SIGI, sur base de son expérience de certification ISO27001, renforcera sa gouvernance et ses activités liées à la sécurité afin de protéger au mieux le patrimoine communal et répondre à cette nouvelle Directive.
Le SIGI a programmé une réunion avec l’Institut Luxembourgeois de Régulation le mercredi 10 janvier 2024 afin d’évaluer globalement les impacts de cette Directive au niveau de notre Syndicat mais également, des communes.
Nous évoluons actuellement dans un nouveau contexte européen où la stabilité en matière de sécurité peut rapidement devenir critique, une évolution que le SIGI suivra de près.