Dejan KosuticLa directive NIS 2 (SRI 2) ne précise les obligations d’information que dans l’article 23, mais cet article est assez long et exigeant. Alors quels incidents devez-vous notifier, à qui devez-vous les notifier et comment devez-vous vous y prendre ?
- Une alerte précoce
- Une notification d’incident
- Un rapport intermédiaire
- Un rapport final
- Un rapport d’avancement
Qu’est-ce qu’un incident important selon NIS 2 ?
Selon NIS 2, un incident signifie « un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles. »
NIS 2 exige uniquement la notification des incidents importants ; elle définie un incident important comme « tout incident ayant un impact important sur la fourniture » des services réalisée par les entités essentielles et importantes si :
- « (a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
- (b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. »
Le considérant (101) du préambule de NIS 2 précise que « des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident ou le nombre de bénéficiaires de services touchés pourraient jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave. »
En dehors de ces éléments, aucune ligne directrice n’a été publiée sur ce qu’une « perte financière grave » pourrait signifier ou sur ce que pourraient être « des dommages matériels, corporels ou moraux considérables ».
Les entités essentielles et importantes doivent notifier les incidents importantes, alors qu’il n’existe aucune obligation de notifier d’autres types d’incidents.
À qui sont notifiés les incidents ?
NIS 2 exige des entités essentielles et importantes qu’elles notifient aux parties suivantes des incidents importants :
- Le centre de réponse aux incidents de sécurité informatique (CSIRT) ou une autorité compétente (ces autorités sont désignées par les Etats membres pour se charger de la cybersécurité et des tâches de supervision)
- Les destinataires des services des entités essentielles ou importantes qui sont potentiellement affectés par l’incident important
Comment sont notifies les incidents ?
L’article 23 exige des entreprises qu’elles notifient les incidents importants des façons suivantes :
| Exigence de NIS 2 | Article pertinent de NIS 2 | Quand notifier | Quoi notifier | Suggestion de nom de document |
| Une notification (aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante) | Article 23, paragraphe 2 | Sans retard injustifié | Toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace ; le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même | Notification d’un incident important aux destinataires des services |
| Une alerte précoce (au CSIRT ou à l’autorité compétente) | Article 23, paragraphe 4, point (a) | Sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important | Indique si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière | Alerte précoce relative à un incident important |
| Une notification d’uincident (au CSIRT ou à l’autorité compétente) | Article 23, paragraphe 4, point (b) | Sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident important | Fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles | Notification d’un incident important au CNIST/à l’autorité compétente |
| Un rapport intermédiaire (au CSIRT ou à l’autorité compétente) | Article 23, paragraphe 4, point (c) | À la demande d’un CSIRT ou, selon le cas, de l’autorité compétente | Mises à jour pertinentes de la situation | Rapport intermédiaire relatif à un incident important |
| Un rapport final (au CSIRT ou à l’autorité compétente) | Article 23, paragraphe 4, point (d) | Au plus tard un mois après la présentation de la notification d’incident | i) Une description détaillée de l’incident, y compris de sa gravité et de son impact ; ii) le type de menace ou la cause profonde qui a probablement déclenché l’incident ; iii) les mesures d’atténuation appliquées et en cours ; iv) le cas échéant, l’impact transfrontière de l’incident |
Rapport final relatif à un incident important |
| Un rapport d’avancement (au CSIRT ou à l’autorité compétente) | Article 23, paragraphe 4, point (e) | En cas d’incident en cours | (non précisé) | Rapport d’avancement relatif à un incident important |
Espérer le meilleur et se préparer au pire
Après avoir mis en œuvre les mesures en matière de cybersécurité requises par NIS 2, vous réduirez significativement les risques d’un incident, surtout concernant les incidents importants.
Mais la cybersécurité n’est pas parfaite ; malgré tous vos efforts, un tel incident peut se produire. C’est pourquoi vous devez être prêt à y réagir mais également à le notifier correctement.
Pour en savoir plus sur NIS 2, téléchargez ce livre blanc gratuit : Guide complet sur la directive NIS 2.