La directive NIS2 encourage le signalement volontaire d’informations sur la cybersécurité grâce à une approche multidimensionnelle, incluant la clarification des procédures de signalement, la garantie de la confidentialité et l’accent mis sur les avantages du partage d’informations. Pour une analyse approfondie du texte réglementaire, le document officiel de la directive NIS2 est disponible.

Directive NIS2 : Dispositions clés encourageant le signalement volontaire

• L’article 30 de la directive NIS2 précise que les entités peuvent notifier volontairement les CSIRT ou les autorités nationales.
• Les notifications peuvent concerner des incidents significatifs, des cybermenaces et des quasi-incidents détectés par des entités essentielles et importantes.
• Même les entités non soumises à une obligation de signalement peuvent communiquer ces mêmes événements, indépendamment du champ d’application de la directive.
• La directive prévoit un processus de gestion des notifications volontaires, similaire à celui des signalements obligatoires de l’article 23.
• Les États membres peuvent accorder la priorité aux signalements obligatoires par rapport aux signalements volontaires.
• L’article 91 précise que le signalement volontaire ne doit entraîner aucune obligation supplémentaire pour l’entité.
• Cette disposition réduit les préoccupations concernant les conséquences négatives potentielles liées à la divulgation d’informations.
• L’article 29 favorise le partage volontaire d’informations entre les entités.
• La directive promeut la création d’accords de partage d’informations sur la cybersécurité.
• Ces accords permettent d’échanger des données sur les menaces, les quasi-incidents, les vulnérabilités, les techniques d’attaque et les pratiques de sécurité.
• La directive encourage la formation de communautés de partage dans les secteurs essentiels et importants.
• Les États membres doivent faciliter ces accords en fournissant des lignes directrices sur leur fonctionnement, leur contenu et leurs conditions.
• Les entités essentielles et importantes doivent notifier aux autorités leur participation à ces accords.
• Cette obligation garantit la transparence et favorise la confiance dans le système de partage d’informations.
• L’ENISA soutient le partage par le biais de lignes directrices, l’échange de bonnes pratiques et une assistance dans la création des accords.

Autres éléments soutenant le signalement volontaire

• La directive promeut une culture de la cybersécurité, en soulignant l’importance de la formation et de la sensibilisation. Elle exige des entités qu’elles dispensent une formation en cybersécurité à leur personnel et les encourage à étendre cette formation à tous les employés.
• Elle établit un cadre pour la divulgation coordonnée des vulnérabilités dans toute l’UE, invitant les individus et les organisations à signaler les vulnérabilités présentes dans les produits et services TIC.
• La création d’une base de données européenne des vulnérabilités gérée par l’ENISA fournit un répertoire central pour les vulnérabilités publiquement connues, améliorant la transparence et facilitant des mesures de sécurité proactives.

Ce que cela signifie concrètement pour les organisations

La directive NIS2 crée un environnement sûr et propice au partage d’informations : elle clarifie les voies de signalement, garantit la confidentialité et souligne les avantages collectifs découlant d’une gestion proactive des défis de cybersécurité. Pour les organisations devant évaluer leur périmètre d’application ou structurer un plan de mise en conformité, le parcours de conformité à la directive NIS2 offre un soutien structuré, de l’évaluation initiale jusqu’à la mise en œuvre des mesures requises. Pour les aspects liés à la désignation des référents auprès du CSIRT national, le guide sur l’obligation de désignation du référent CSIRT pour les entités NIS est également utile.

[Callforaction-NIS2-Footer]