ISGroup Conseil en Cybersécurité

Directive NIS2 : Comment sera-t-elle évaluée ?

La directive NIS2 impose de nouvelles normes en matière de cybersécurité, mais comment les acteurs concernés seront-ils évalués ? Les entreprises devront respecter des critères plus stricts, mais quels seront les paramètres de contrôle ? Comprendre le processus d’évaluation est essentiel pour se préparer aux nouvelles règles et éviter les sanctions. Pour les organisations qui structurent un parcours de mise en conformité à la NIS2, connaître les mécanismes de contrôle prévus par la directive est la première étape concrète.

[Callforaction-NIS2]

Directive NIS2 : La révision périodique de la Commission européenne

La Commission européenne est chargée d’examiner le fonctionnement de la directive et de présenter un rapport au Parlement européen et au Conseil. La première révision est prévue pour le 17 octobre 2027, suivie de révisions tous les 36 mois. Cette révision évaluera l’impact de la directive, identifiera les domaines à améliorer et examinera l’éventuelle nécessité de nouvelles propositions législatives.

  • Examen par les pairs (Peer review) : La directive NIS2 établit un mécanisme d’examen par les pairs volontaire entre les États membres. Ces examens visent à évaluer et à améliorer les capacités de cybersécurité des États membres ainsi que les politiques relatives à la mise en œuvre de la directive. Le groupe de coopération, avec le soutien de la Commission et de l’ENISA, définit la méthodologie et les aspects organisationnels de ces examens.
    • Les examens par les pairs se concentrent sur divers aspects, notamment la mise en œuvre des mesures de gestion des risques informatiques, les processus de signalement des incidents, les capacités des autorités compétentes et des CSIRT, les accords d’assistance mutuelle, les accords de partage d’informations et les problématiques transfrontalières ou intersectorielles.
    • Les résultats de ces examens fourniront des indications sur l’efficacité de la mise en œuvre de la directive entre les États membres et identifieront des domaines potentiels d’amélioration.
  • Rapports du groupe de coopération : Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Il est responsable de la préparation de rapports basés sur les expériences acquises au niveau stratégique et lors des examens par les pairs. Ces rapports seront transmis à la Commission, au Parlement européen et au Conseil, contribuant ainsi à l’évaluation globale de l’efficacité de la directive.
  • Rapports sur l’état de la cybersécurité : L’ENISA, en collaboration avec la Commission et le groupe de coopération, est tenue de publier un rapport biennal sur l’état de la cybersécurité dans l’UE. Ce rapport évaluera divers aspects de la cybersécurité, notamment :
    • Les risques de cybersécurité au niveau de l’UE, en tenant compte du paysage des menaces informatiques.
    • Le développement des capacités de cybersécurité dans les secteurs public et privé.
    • La sensibilisation des citoyens et des entités à la sécurité informatique et à l’hygiène cybernétique.
    • Les résultats agrégés des examens par les pairs.
    • Le niveau agrégé de maturité des capacités et des ressources de cybersécurité dans l’UE, y compris pour des secteurs spécifiques, ainsi que le niveau d’alignement des stratégies nationales de cybersécurité des États membres.
    Ces rapports fourniront des données et des analyses précieuses sur l’état global de la posture de cybersécurité de l’UE et sur l’impact de la directive NIS2.
  • Rapports du réseau CSIRT : Le réseau CSIRT, responsable de la coopération opérationnelle entre les CSIRT nationaux, est tenu d’évaluer les progrès de la coopération opérationnelle et de produire un rapport tous les deux ans. Le rapport sera établi à partir du 17 janvier 2025. Ce rapport, transmis au groupe de coopération, évaluera les progrès sur la base des examens par les pairs des CSIRT nationaux et inclura des conclusions et des recommandations. Le rapport contribuera à comprendre l’efficacité de la coopération opérationnelle et des mécanismes de réponse aux incidents institués par la directive.
  • Rapport d’évaluation d’EU-CyCLONe : EU-CyCLONe, créé pour soutenir la gestion coordonnée des incidents et crises informatiques à grande échelle, présentera un rapport d’évaluation au Parlement européen et au Conseil. Le premier rapport est prévu pour le 17 juillet 2024, avec des rapports successifs tous les 18 mois. Ce rapport fournira des indications sur l’efficacité des mécanismes de gestion des crises informatiques au niveau de l’UE.

En combinant les données et les analyses issues de ces différentes sources, l’UE entend évaluer de manière exhaustive l’efficacité de la directive NIS2 dans l’atteinte de ses objectifs d’amélioration de la cybersécurité à travers l’Union.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *