ISGroup Conseil en Cybersécurité

Exigences de gestion des incidents selon la directive NIS2

La directive NIS2 définit des exigences spécifiques pour la gestion des incidents, en se concentrant sur une approche multi-étapes pour le signalement des incidents significatifs. Pour approfondir le texte réglementaire, le document officiel de la directive NIS2 est disponible.

[Callforaction-NIS2]

Voici une synthèse basée sur les informations fournies :

  • Réponse initiale (Alerte préliminaire) : Les entités essentielles et les entités importantes sont tenues d’envoyer une alerte préliminaire à leur CSIRT ou à l’autorité nationale compétente sans retard injustifié et, en tout état de cause, dans les 24 heures suivant le moment où elles ont pris connaissance d’un incident significatif. Cette alerte préliminaire doit inclure :
    • La confirmation de l’incident significatif.
    • L’indication, le cas échéant, si l’incident est suspecté d’être le résultat d’actes illégaux ou malveillants.
    • Une évaluation préliminaire sur le fait que l’incident puisse avoir ou soit susceptible d’avoir un impact transfrontalier.
    • L’alerte préliminaire a pour objectif de permettre une réponse rapide et autorise l’entité concernée à demander de l’assistance, si nécessaire.
  • Notification formelle : Suite à l’alerte préliminaire, les entités doivent envoyer une notification formelle de l’incident sans retard injustifié et, en tout état de cause, dans les 72 heures suivant le moment où elles ont pris connaissance de l’incident. Cette notification doit inclure :
    • Les mises à jour des informations fournies dans l’alerte préliminaire.
    • Une évaluation initiale de l’incident, y compris sa gravité et son impact.
    • Des indicateurs de compromission, s’ils sont disponibles.
  • Rapport intermédiaire : Un CSIRT ou une autorité compétente peut demander un rapport intermédiaire à l’entité impliquée. Ce rapport fournit des mises à jour pertinentes sur la situation.
  • Rapport final : Un rapport final doit être envoyé au CSIRT ou à l’autorité compétente dans un délai d’un mois à compter de la transmission de la notification de l’incident. Ce rapport doit contenir :
    • Une description détaillée de l’incident, de sa gravité et de son impact.
    • Une analyse du type de menace ou de la cause déclenchante ayant probablement provoqué l’incident.
    • Une description des mesures d’atténuation adoptées et de celles encore en cours.
    • Une évaluation de l’impact transfrontalier de l’incident, le cas échéant.
  • Signalements continus sur l’incident : Si l’incident est toujours en cours au moment de la transmission du rapport final, l’entité concernée doit fournir un rapport de mise à jour sur l’état de l’incident. Un rapport final sera alors dû dans un délai d’un mois après la résolution de l’incident.
  • Cas particulier : Prestataires de services de confiance : Les prestataires de services de confiance doivent respecter un délai plus court pour le signalement des incidents affectant leurs services de confiance. Ils doivent notifier le CSIRT ou l’autorité compétente sans retard injustifié et, en tout état de cause, dans les 24 heures suivant le moment où ils ont pris connaissance de l’incident significatif.
  • Partage d’informations :
    • Pour garantir une réponse coordonnée, surtout pour les incidents impliquant plusieurs États membres, le CSIRT, l’autorité compétente ou le point de contact unique (SPOC) doit informer sans retard injustifié les autres États membres concernés et l’ENISA.
    • Le partage d’informations doit protéger les intérêts commerciaux de l’entité impliquée et la confidentialité des informations fournies, conformément à la réglementation européenne ou nationale.
    • La divulgation publique de l’incident peut être justifiée si elle est jugée nécessaire pour protéger le public ou si elle est dans l’intérêt public. Cela devrait être fait en consultation avec l’entité concernée.
  • Support et orientation : Une fois l’alerte préliminaire reçue, le CSIRT ou l’autorité compétente doit confirmer la réception et, si l’entité concernée le demande, fournir une orientation ou des conseils opérationnels sur les mesures d’atténuation possibles. Ils peuvent également offrir un support technique supplémentaire sur demande.
  • Signalement à d’autres autorités :
    • Les CSIRT ou les autorités compétentes doivent partager des informations sur les incidents significatifs avec les autorités pertinentes conformément à la directive CER.
    • Si, lors de la gestion de l’incident, une violation potentielle des données est identifiée, les autorités compétentes doivent informer les autorités de protection des données comme prévu par le RGPD.

La directive NIS2 vise à simplifier le signalement des incidents et à garantir une approche cohérente entre les États membres, tout en permettant une certaine flexibilité pour faire face aux circonstances spécifiques de chaque incident. Pour les organisations qui structurent leur parcours de conformité à la NIS2, traduire ces obligations en procédures opérationnelles concrètes nécessite une analyse précise de son périmètre et de ses processus internes. Vous pouvez également approfondir quel est l’objectif principal de la directive NIS2 pour mieux cadrer le contexte réglementaire global.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *