ISGroup Conseil en Cybersécurité

Fréquence des évaluations des risques de cybersécurité selon la NIS2

Bien que les sources disponibles décrivent les éléments principaux de la gestion des risques informatiques prévus par la directive NIS2, y compris la nécessité pour les entités d’effectuer des évaluations des risques, aucune fréquence obligatoire n’est explicitement spécifiée pour ces évaluations.

Article 21, Paragraphe 1 : Cet article, qui décrit les mesures de gestion des risques informatiques, établit que les entités essentielles et importantes doivent adopter des mesures « appropriées et proportionnées » pour gérer les risques pesant sur leurs systèmes de réseau et d’information.
Accent sur la gestion continue des risques : Le langage utilisé dans l’article 21, avec des expressions telles que « appropriées et proportionnées », suggère une approche continue et itérative de la gestion des risques plutôt qu’une planification basée sur un calendrier fixe.

[Callforaction-NIS2]

Pistes issues des dispositions connexes et du contexte

Bien que la réglementation n’indique pas de fréquence spécifique, diverses dispositions et facteurs contextuels au sein de la NIS2 fournissent des indications sur la fréquence à laquelle les entités devraient idéalement effectuer leurs évaluations des risques :

  1. Nature dynamique des cybermenaces : La réglementation souligne fréquemment l’évolution rapide du paysage des menaces informatiques. Compte tenu de l’apparition continue de nouvelles menaces et vulnérabilités, les entités doivent revoir régulièrement leur posture de sécurité, ce qui implique que les évaluations des risques devraient avoir lieu plus fréquemment qu’une seule fois.
  2. Changements contextuels : Le profil de risque d’une entité peut être influencé par une vaste gamme de changements internes et externes, notamment :
    • Opérations commerciales : L’expansion sur de nouveaux marchés, l’adoption de nouvelles technologies, les changements dans les chaînes d’approvisionnement ou des modifications significatives des services existants pourraient nécessiter une réévaluation des risques de sécurité.
    • Environnement réglementaire : De nouvelles réglementations, normes sectorielles ou lignes directrices des autorités de surveillance pourraient introduire des exigences supplémentaires en matière de cybersécurité, entraînant la nécessité de mettre à jour les évaluations des risques.
    • Intelligence sur les menaces : Les informations sur les menaces émergentes, les vulnérabilités spécifiques au secteur ou aux technologies utilisées, ou une augmentation des activités ciblant des organisations similaires, devraient inciter à une réévaluation des risques.
  3. Accent sur la proportionnalité : La NIS2 souligne que les mesures de cybersécurité, y compris les évaluations des risques, doivent être « proportionnées » à la taille de l’entité, à son profil de risque et à l’impact potentiel des incidents. Les entités de plus grande taille opérant dans des secteurs à haut risque avec des services critiques devront probablement effectuer des évaluations des risques plus fréquentes et approfondies que les entités plus petites ayant des profils de risque inférieurs.
  4. Audits et révisions périodiques : La NIS2 confère aux autorités compétentes le pouvoir de mener des audits réguliers et ciblés sur les entités essentielles et importantes. Ces audits peuvent inclure des révisions des pratiques de gestion des risques informatiques et pourraient identifier des domaines où les évaluations des risques doivent être mises à jour ou effectuées avec une plus grande fréquence.

Meilleures pratiques et recommandations

En l’absence d’une fréquence spécifique établie par la NIS2, il est conseillé d’adopter les meilleures pratiques de cybersécurité et les recommandations d’organisations de confiance. Bien qu’elles ne soient pas juridiquement contraignantes au titre de la NIS2, ces ressources fournissent souvent des indications sur la fréquence des évaluations des risques basées sur l’expérience du secteur et l’évolution du paysage des menaces.

Note : Les recommandations présentées ici ne découlent pas directement des sources que vous avez fournies, mais sont basées sur les meilleures pratiques courantes en matière de cybersécurité. Je vous suggère de vérifier ces informations de manière indépendante.

  • National Institute of Standards and Technology (NIST) : Le cadre NIST, bien qu’il ne soit pas spécifique à la NIS2, est une ressource largement reconnue. Bien qu’il ne prescrive pas de fréquence fixe, il souligne que les évaluations des risques doivent être effectuées « périodiquement » et chaque fois que des changements significatifs surviennent.
  • ENISA (Agence de l’Union européenne pour la cybersécurité) : L’ENISA pourrait publier des lignes directrices ou des recommandations sur la fréquence des évaluations des risques dans le contexte de la mise en œuvre de la NIS2. Consulter leurs ressources pourrait fournir des pistes supplémentaires.

Que faire concrètement

Bien que la NIS2 ne fixe pas de fréquence spécifique pour les évaluations des risques informatiques, l’accent mis sur une approche fondée sur les risques, la nature dynamique des cybermenaces et la nécessité de mesures proportionnées suggèrent clairement que ces évaluations doivent être menées régulièrement et non comme un exercice occasionnel. Des facteurs tels que les changements dans les opérations commerciales, l’évolution du paysage des menaces et les exigences réglementaires doivent tous être pris en compte pour déterminer la fréquence appropriée. Pour comprendre comment structurer ce processus au sein de votre organisation, il peut être utile de consulter la page sur l’objectif principal de la directive NIS2 ou le texte officiel de la directive NIS2, et d’évaluer un parcours de conformité à la NIS2 qui tienne compte du profil de risque spécifique de l’organisation.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *