ISGroup Conseil en Cybersécurité

Comment la directive NIS2 aborde-t-elle la continuité opérationnelle et la gestion des crises ?

La directive NIS2 aborde la continuité opérationnelle et la gestion des crises à travers une série d’exigences visant à renforcer la posture de cybersécurité des entités essentielles et importantes, à promouvoir la coopération et à établir des cadres pour la gestion des incidents et des crises. Si vous souhaitez mieux comprendre quel est l’objectif principal de la directive NIS2, vous pouvez approfondir le sujet dans l’article dédié.

[Callforaction-NIS2]

Mesures de continuité opérationnelle

  • Article 21 : Cet article établit que les entités essentielles et importantes doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques informatiques pesant sur leurs systèmes et services. Cela inclut des mesures visant à « prévenir ou minimiser l’impact des incidents » sur leurs opérations et sur les destinataires de leurs services.
  • Exigences spécifiques pour la continuité opérationnelle : L’article 21, paragraphe 2, énumère explicitement les « opérations de continuité, telles que la gestion des sauvegardes et la reprise après sinistre (disaster recovery), ainsi que la gestion des crises » comme des éléments clés des mesures requises pour la gestion des risques informatiques. Les organisations qui souhaitent structurer un plan de mise en conformité avec la directive NIS2 doivent commencer précisément par ces exigences opérationnelles.
  • Focus sur la sécurité de la chaîne d’approvisionnement : La directive reconnaît l’importance de la sécurité de la chaîne d’approvisionnement pour garantir la continuité opérationnelle.
    • L’article 21, paragraphe 2, inclut la « sécurité de la chaîne d’approvisionnement » comme un élément nécessaire de la gestion des risques informatiques. Cela concerne les aspects relatifs à la sécurité des relations entre les entités et leurs fournisseurs directs ou prestataires de services.
    • L’article 22, paragraphe 1, confie aux États membres, en coopération avec la Commission et l’ENISA, la mission de mener des évaluations coordonnées des risques de sécurité des chaînes d’approvisionnement critiques. Traiter les vulnérabilités et les dépendances au sein des chaînes d’approvisionnement critiques est essentiel pour garantir la continuité opérationnelle, surtout en cas de perturbations.

Cadre de gestion des crises

  • Autorités nationales de gestion des crises : L’article 9, paragraphe 1, établit que chaque État membre doit désigner ou créer une ou plusieurs autorités compétentes pour la gestion des incidents informatiques et des crises de grande ampleur. Ces autorités sont désignées comme des « autorités de gestion des crises de cybersécurité ».
  • Plans nationaux de réponse : Chaque État membre est tenu d’adopter un « plan national pour la réponse aux incidents et aux crises informatiques de grande ampleur ». Ce plan doit prévoir :
    • Les objectifs et procédures pour la gestion des incidents et des crises informatiques.
    • Les rôles et responsabilités des autorités de gestion des crises informatiques.
    • L’intégration des procédures de gestion des crises informatiques dans le cadre général de gestion des crises nationales.
    • Des mesures de préparation nationale, incluant des exercices et des activités de formation.
    • L’identification des parties prenantes pertinentes du secteur public et privé.
    • Des procédures et accords pour garantir la participation efficace de l’État membre à la gestion coordonnée des incidents et des crises de grande ampleur au niveau de l’UE.
  • EU-CyCLONe (European Cyber Crisis Liaison Organisation Network) : L’article 16 institue l’EU-CyCLONe pour soutenir la gestion coordonnée des incidents et des crises informatiques de grande ampleur au niveau opérationnel. Ce réseau :
    • Est composé de représentants des autorités de gestion des crises informatiques des États membres. La Commission y participe également, soit en tant que membre à part entière (si l’incident ou la crise affecte de manière significative les services régis par la directive NIS2), soit en tant qu’observateur.
    • A pour but d’améliorer la préparation, de développer une conscience situationnelle partagée, d’évaluer les impacts, de coordonner la gestion des crises et de soutenir le processus décisionnel politique lors d’incidents et de crises informatiques de grande ampleur.
  • Coopération et partage d’informations : La NIS2 met l’accent sur la coopération et le partage d’informations entre les États membres, les autorités compétentes et les entités concernées pour améliorer la gestion des crises. Cela inclut des dispositions relatives à :
    • Groupe de coopération : L’article 14 institue un groupe de coopération composé de représentants de chaque État membre pour faciliter la coopération stratégique et l’échange d’informations en matière de cybersécurité. Ce groupe a pour mission de contribuer aux décisions politiques, de discuter des meilleures pratiques et de fournir des orientations stratégiques sur la gestion des crises.
    • Réseau CSIRT : L’article 15 institue un réseau de CSIRT composé de représentants des CSIRT nationaux. Ce réseau se concentre sur la coopération opérationnelle, y compris l’échange d’informations sur les incidents, la discussion des réponses coordonnées et l’assistance mutuelle lors d’incidents informatiques. Pour les entités NIS, il est utile de connaître également les obligations de désignation du référent CSIRT prévues par la réglementation italienne.

Formation et sensibilisation

  • Article 20, paragraphe 2 : Cet article, bien qu’il soit principalement axé sur la gestion des risques informatiques, exige que les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes reçoivent une formation adéquate. De plus, il encourage ces entités à proposer une formation similaire à leurs employés afin de les doter des connaissances et compétences nécessaires pour identifier les risques et évaluer les pratiques de gestion des risques informatiques. Bien que cela ne soit pas explicitement indiqué, cette formation comprend probablement des aspects liés à la continuité opérationnelle et à la gestion des crises.

Ce que cela signifie pour les organisations soumises à la NIS2

  • La NIS2 adopte une approche proactive de la continuité opérationnelle en imposant des mesures de gestion des risques informatiques et en soulignant l’importance de la planification de la continuité.
  • La directive établit des cadres complets pour la gestion des crises, tant au niveau national qu’au niveau de l’UE, dans le but de garantir une réponse coordonnée et efficace aux incidents informatiques et aux crises de grande ampleur.
  • Le partage d’informations et la coopération sont au cœur de l’approche de la NIS2, reconnaissant que les menaces informatiques transcendent souvent les frontières nationales et nécessitent des efforts conjoints.

À travers ces exigences, la NIS2 vise à améliorer la résilience des entités essentielles et importantes et, par extension, à renforcer la résilience du marché intérieur et de la société de l’UE face à des menaces informatiques en constante évolution. Pour ceux qui doivent vérifier leur situation par rapport aux obligations d’inscription, il est utile de consulter également les informations sur l’ACN et la liste des entités NIS2.

Questions fréquentes sur la continuité opérationnelle dans la NIS2

  • Quelles mesures concrètes une organisation doit-elle adopter pour satisfaire aux exigences de continuité opérationnelle de la NIS2 ?
  • L’article 21 exige au minimum un plan de sauvegarde et de reprise après sinistre documenté, des procédures de gestion des crises et une évaluation périodique des risques liés à la chaîne d’approvisionnement. Les mesures doivent être proportionnées à la taille et au profil de risque de l’organisation.
  • Qui est responsable de la gestion des crises informatiques au niveau national en Italie ?
  • En Italie, l’Agence pour la cybersécurité nationale (ACN) est l’autorité compétente désignée pour la gestion des crises de cybersécurité conformément à la NIS2. L’ACN coordonne également les relations avec le réseau EU-CyCLONe au niveau européen.
  • La NIS2 oblige-t-elle également les organisations à former leur personnel à la gestion des crises ?
  • Oui. L’article 20 prévoit que les membres des organes de direction reçoivent une formation adéquate sur la gestion des risques informatiques, et encourage les organisations à étendre des parcours de formation similaires à tous les employés impliqués dans la sécurité opérationnelle.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *