ISGroup Conseil en Cybersécurité

Qu’est-ce qu’un “incident significatif” selon la directive NIS2 ?

La directive NIS2 établit des critères spécifiques pour déterminer ce qui constitue un “incident significatif” déclenchant les obligations de signalement pour les entités relevant de son champ d’application. Si vous souhaitez comprendre comment ces obligations se traduisent en un parcours concret de mise en conformité, notre service de conformité à la directive NIS2 offre un soutien structuré, de l’évaluation initiale jusqu’à la mise en œuvre des mesures requises.

[Callforaction-NIS2]

Voici une analyse basée sur la source fournie :

L’article 23, paragraphe 3 de la directive définit les critères permettant de classer un incident comme “significatif”, en exigeant une évaluation à deux niveaux :

  • Impact sur les opérations de l’entité : L’incident doit avoir “causé ou être susceptible de causer une interruption significative des services ou une perte financière importante pour l’entité concernée.” Ce critère se concentre sur l’impact direct sur l’entité qui signale l’incident.
  • Impact sur des tiers : L’incident doit avoir “affecté ou être susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.” Ce critère élargit le champ d’application pour inclure les conséquences possibles sur les clients, les utilisateurs, les partenaires ou d’autres parties prenantes.

Clarification supplémentaire sur “l’interruption significative” :

  • Article 16 de la Communication de la Commission : Il fournit un contexte supplémentaire pour interpréter “l’interruption significative des services”, suggérant que cette classification doit être déterminée sur la base d’une évaluation initiale de l’entité touchée. Cette évaluation devrait prendre en compte :
  • La criticité des réseaux et des systèmes d’information impliqués dans la prestation des services de l’entité.
  • La gravité et la nature technique de la cybermenace.
  • Les vulnérabilités exploitées.
  • Les expériences passées de l’entité avec des incidents similaires.
  • Facteurs à prendre en compte : La Communication de la Commission souligne également des indicateurs spécifiques pertinents dans l’évaluation de la gravité de l’interruption :
  • Étendue de l’impact sur les services : Dans quelle mesure l’incident a-t-il compromis la capacité de l’entité à fournir ses services ?
  • Durée de l’incident : L’interruption est-elle toujours en cours et, si tel est le cas, depuis combien de temps dure-t-elle ?
  • Nombre d’utilisateurs concernés : Combien de personnes ou d’organisations dépendant des services de l’entité ont été touchées ?

Actes délégués pour des secteurs spécifiques :

  • Article 23, paragraphe 11 (deuxième alinéa) : Il confère à la Commission le pouvoir d’adopter des actes délégués pour préciser davantage les circonstances dans lesquelles un incident doit être considéré comme “significatif”. Ces actes peuvent fournir des lignes directrices spécifiques par secteur. Par exemple, la Commission est chargée d’adopter des actes délégués pour des entités telles que :
  • Les fournisseurs de services DNS
  • Les registres de noms de domaine de premier niveau
  • Les fournisseurs de services de cloud computing
  • Les fournisseurs de services de centres de données
  • Les réseaux de diffusion de contenu (CDN)
  • Et autres

Considérations clés lors de l’évaluation d’un incident :

  • Potentiel de dommages : Il est important de se rappeler que la définition de la directive se concentre à la fois sur le dommage réel et potentiel. Un incident ne doit pas nécessairement avoir déjà causé des interruptions significatives ou des dommages pour déclencher les obligations de signalement, s’il existe une probabilité raisonnable qu’il puisse entraîner de telles conséquences.
  • Évaluation rapide : L’obligation d’un signalement préliminaire dans les 24 heures suivant la prise de connaissance d’un incident potentiellement significatif souligne l’importance d’une évaluation rapide et continue. Les entités doivent disposer de processus internes pour évaluer rapidement les incidents et déterminer s’ils répondent aux critères de “significatif”. Ces processus incluent également la désignation du référent CSIRT, une figure prévue par la réglementation pour gérer le flux de notification vers les autorités compétentes.

En résumé, un “incident significatif” au sens de la directive NIS2 est un événement qui a causé ou pourrait causer une interruption ou un dommage substantiel, affectant l’entité qui signale l’incident ou des tiers. L’évaluation du niveau de significativité doit être basée sur une combinaison de facteurs, et des lignes directrices spécifiques par secteur pourraient être fournies par le biais d’actes délégués. Pour approfondir le cadre réglementaire global, vous pouvez également consulter quel est l’objectif principal de la directive NIS2.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *