Bravo, Europe !

Les organisations doivent mettre en place et maintenir un système de gestion de la sécurité de l'information qui permette une approche systématique et proactive de la gestion des risques.

Les organisations sont tenues de mettre en place des capacités appropriées pour prévenir et décourager les cyberattaques. Pour ce faire, elles doivent identifier :

• leurs principales vulnérabilités
• les mesures de cybersécurité nécessaires pour réduire au minimum le risque d'exploitation de la vulnérabilité
• comment l'organisation va détecter les incidents et y répondre

La directive exige explicitement que "les entités essentielles et importantes doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information que ces entités utilisent pour leurs activités ou pour la fourniture de leurs services, et pour prévenir ou réduire au minimum l'impact des incidents sur les destinataires de leurs services et sur d'autres services".

Les organisations doivent planifier leur réaction à une attaque. Les personnes concernées doivent être formées et des plans doivent être élaborés pour faire face aux incidents ayant un impact sur la continuité des activités et pour se remettre des perturbations et des temps d'arrêt potentiels.

Les organisations sont tenues d'évaluer et de gérer les risques posés par les vulnérabilités au sein de leur chaîne d'approvisionnement (supply chain). Cette exigence encourage les organisations à coopérer avec leurs fournisseurs et à s'assurer que toutes les parties comprennent les risques associés à leur participation à la chaîne d'approvisionnement, quel que soit le produit fourni.

Les vulnérabilités des réseaux des organisations doivent être divulguées. Les organisations doivent être transparentes en matière de gestion des vulnérabilités, donner au public les moyens de signaler les vulnérabilités et veiller à ce que les services compétents puissent agir sur la base de ces informations.

Cette transparence signifie que d'autres organisations peuvent agir sur la base de ces informations et s'assurer qu'elles ne sont pas exploitées à l'aide des vulnérabilités connues.

NIS2 exige un rapport initial dans les 24 heures suivant le moment où l'organisation a connaissance d'un incident "significatif", un rapport complet dans les 72 heures et un rapport final au plus tard un mois après l'envoi de la notification de l'incident :

• une description détaillée de l'incident, y compris sa gravité et son impact
• le type de menace ou de cause fondamentale susceptible d'avoir déclenché l'incident
• mesures d'atténuation appliquées et en cours
• si applicable, l'impact transfrontalier de l'incident

Un incident "significatif" est un incident qui a causé ou est susceptible de causer une grave perturbation opérationnelle du service ou une perte financière à l'entité concernée, ou qui a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.

NIS2 encourage une coopération étroite et le partage de données au niveau de l'UE entre les États membres. Cela permet d'apporter des réponses efficaces et coordonnées aux cyber incidents, tant au niveau national qu'au niveau de l'UE. NIS2 encourage également l'utilisation par les États membres des normes et spécifications techniques européennes et internationales relatives à la sécurité des réseaux et des systèmes d'information, ce qui permet d'harmoniser les méthodes d'élaboration des bonnes pratiques en matière de sécurité.