La directive NIS2 impose des obligations spécifiques aux États membres concernant la création, la mise en œuvre et la révision périodique des stratégies nationales de cybersécurité. Ces stratégies fournissent un cadre de haut niveau pour améliorer la posture de cybersécurité et la résilience à l’échelle nationale.

[Callforaction-NIS2]

Voici un aperçu des principales obligations :

• Adoption d’une stratégie nationale de cybersécurité : Chaque État membre est tenu d’établir une stratégie nationale de cybersécurité complète. Cette stratégie doit définir les objectifs stratégiques de cybersécurité du pays, les ressources allouées pour atteindre ces objectifs, ainsi que les mesures stratégiques et réglementaires en place pour obtenir et maintenir un niveau élevé de cybersécurité.
• Contenu de la stratégie : La directive NIS2 fournit des détails spécifiques sur les éléments qui devraient être inclus dans chaque stratégie nationale de cybersécurité. Ceux-ci incluent :
• Objectifs et priorités : Définition claire des objectifs et des priorités en matière de cybersécurité, avec une attention particulière portée aux secteurs énumérés aux annexes I et II de la directive, qui comprennent un large éventail de secteurs critiques tels que l’énergie, les transports, la santé et les infrastructures numériques.
• Cadre de gouvernance : Structure de gouvernance bien définie pour atteindre les objectifs et les priorités établis. Ce cadre doit clarifier les rôles et les responsabilités des parties prenantes impliquées dans la cybersécurité au niveau national, y compris les autorités compétentes, les équipes d’intervention en cas d’urgence informatique (CSIRT) et les points de contact uniques (SPOC). Il doit également définir les mécanismes de coopération et de coordination entre ces entités.
• Évaluation des risques et identification des ressources : Mécanisme permettant d’identifier et d’évaluer les risques de cybersécurité au sein de l’État membre, accompagné d’une évaluation des ressources disponibles pour faire face à ces risques. Cet élément garantit une approche fondée sur les risques dans l’allocation des ressources et la définition des priorités.
• Préparation et réponse aux incidents : Plan décrivant les mesures visant à assurer la préparation, la réponse et le rétablissement après des incidents de cybersécurité, y compris la collaboration entre les secteurs public et privé. Cela souligne l’importance d’une approche coordonnée de la réponse aux incidents et du rétablissement.
• Identification des parties prenantes : Liste des diverses autorités et parties prenantes impliquées dans la mise en œuvre de la stratégie nationale de cybersécurité, favorisant la transparence et la responsabilité.
• Cadre de coordination : Cadre stratégique visant à améliorer la coordination entre les autorités compétentes responsables de la cybersécurité en vertu de la directive NIS2 et celles opérant sous la directive (UE) 2022/2557. Ce cadre vise à optimiser le partage d’informations et la collaboration sur les risques, menaces et incidents cyber et non-cyber, ainsi que les tâches de supervision conjointe lorsque nécessaire.
• Sensibilisation du public : Plan, incluant les mesures nécessaires, pour accroître la sensibilisation générale du public à la cybersécurité. Cet élément souligne l’importance d’éduquer les citoyens sur les risques cyber et de promouvoir des pratiques en ligne sécurisées.
• Mesures stratégiques : Outre les éléments principaux, la directive NIS2 encourage les États membres à envisager des mesures stratégiques spécifiques dans leurs stratégies, telles que :
  • La cybersécurité dans la chaîne d’approvisionnement TIC
  • Les exigences de cybersécurité dans les marchés publics de produits et services TIC
  • La gestion des vulnérabilités, y compris la divulgation coordonnée des vulnérabilités
  • Le soutien à un Internet sûr et ouvert
  • La promotion de technologies de cybersécurité avancées
  • La défense cyber active
• Notification à la Commission : Les États membres sont tenus de notifier à la Commission européenne leurs stratégies nationales de cybersécurité adoptées dans les trois mois suivant leur adoption. Cette notification permet à la Commission de surveiller la mise en œuvre et d’évaluer l’alignement global des stratégies nationales avec les objectifs de la directive NIS2. Pour les organisations entrant dans le périmètre de la directive, comprendre ces obligations est la première étape vers un parcours structuré de conformité à la NIS2. Sur le plan italien, l’ACN gère l’inscription des entités obligées : tout ce qu’il faut savoir sur la liste NIS2 et les échéances de l’ACN.
• Révision et mises à jour périodiques : La directive NIS2 impose aux États membres d’évaluer et de mettre à jour régulièrement leurs stratégies nationales de cybersécurité.
• Fréquence : Cette révision doit avoir lieu périodiquement, au moins une fois tous les cinq ans, et se baser sur un ensemble d’indicateurs clés de performance (KPI) pour évaluer l’efficacité des stratégies.
• Soutien de l’ENISA : Reconnaissant la complexité du développement et de la mise à jour de ces stratégies, la directive NIS2 souligne le soutien disponible pour les États membres de la part de l’ENISA, l’Agence de l’Union européenne pour la cybersécurité. Sur demande, l’ENISA peut assister les États membres dans la rédaction, la mise à jour ou l’évaluation de leurs stratégies et dans le développement des KPI pertinents, assurant ainsi l’alignement avec les exigences de la directive.

En établissant ces obligations claires, la directive NIS2 vise à garantir que tous les États membres disposent de stratégies nationales de cybersécurité robustes et à jour. Ces stratégies, développées et révisées conformément à un ensemble commun de principes et d’objectifs, jouent un rôle crucial dans la promotion d’un niveau plus élevé de préparation et de résilience en matière de cybersécurité dans toute l’Union européenne. Pour approfondir le cadre réglementaire de référence, le texte et l’objectif principal de la directive NIS2 sont disponibles.

[Callforaction-NIS2-Footer]