13 mars 2023
Avec l’avènement de la directive NIS2, outre le devoir de diligence, le devoir de signalement, qui existait déjà dans la directive NIS initiale, sera élargi.
La première directive NIS a introduit le devoir de signaler les incidents ayant un impact significatif sur la continuité des services. Selon la directive, un incident correspond à « tout événement ayant un effet préjudiciable réel sur la sécurité des réseaux et des systèmes d’information ». La sécurité désigne « la capacité des réseaux et des systèmes d’information à résister à des actions qui affectent la disponibilité, l’intégrité, la confidentialité et l’authenticité des réseaux et des systèmes d’information avec un certain degré de fiabilité ». Pour déterminer si un incident a un impact significatif, la directive décrit plusieurs paramètres à prendre en considération, notamment le nombre d’utilisateurs touchés, la durée de l’incident et la taille de la zone géographique touchée par l’incident. Si un incident semble avoir un impact significatif sur la continuité du service fourni par un fournisseur, l’incident doit être signalé sans délai à l’équipe locale de réponse aux incidents de sécurité informatique (CSIRT) ou à l’autorité compétente désignée par l’État membre. Le rapport doit contenir suffisamment d’informations pour permettre à l’autorité compétente ou au CSIRT de déterminer l’impact transfrontalier de l’incident.
Notifications
La directive NIS2 prévoit une « approche en deux étapes » pour le signalement des incidents. La première notification vise à limiter la propagation potentielle des incidents et à permettre aux entités de demander de l’aide. Le second compte rendu doit être exhaustif, de manière à ce que des leçons puissent être tirées des incidents précédents. Il est toutefois important de noter que des éclaircissements supplémentaires peuvent être nécessaires pour évaluer clairement l’incident et ses conséquences. L’objectif est d’améliorer progressivement la résilience des entreprises et des secteurs entiers face aux cybermenaces. Outre l’obligation de déposer le premier rapport, celui-ci porte sur le traitement des incidents.
1. Première notification — Sans retard excessif et, en tout état de cause, une première notification devrait être faite à l’autorité compétente ou au CERT national pertinent dans les 24 heures suivant la prise de connaissance de l’incident, en indiquant, si possible, si un acte illicite ou malveillant a causé l’incident. Cette disposition satisfait aux informations strictement nécessaires. Dans les 72 heures suivant l’émission de la première alerte, l’entité concernée est également tenue de présenter une évaluation initiale plus détaillée de l’attaque et des mesures mises en place. À la demande de l’entité, il est possible de recevoir des conseils sur la mise en œuvre de mesures d’atténuation potentielles et, le cas échéant, une assistance technique supplémentaire. Dans le cas d’un incident criminel, l’entité concernée reçoit également des conseils sur la manière de signaler l’incident aux autorités chargées de l’application de la loi.
2. Notification finale — Enfin, dans un délai d’un mois à compter de la présentation de la notification initiale ou du premier signalement, un rapport final doit être présenté, comprenant (i) une description détaillée de l’incident, de sa gravité et de ses conséquences, (ii) le type de menace ou de cause susceptible d’avoir conduit à l’incident, et (iii) les mesures d’atténuation appliquées et en cours de mise en œuvre.
Cybermenaces significatives
La disposition relative au signalement des incidents ayant des conséquences importantes a été adoptée dans la directive NIS2, qui ajoute que les entités devront également signaler toute cybermenace majeure qu’elles ont identifiée et qui pourrait conduire à un incident significatif. Le terme « cybersécurité » est défini dans le règlement relatif à l’ENISA (l’Agence de l’Union européenne pour la cybersécurité) et à la certification de la cybersécurité des technologies de l’information et de la communication ; la loi sur la cybersécurité. Ce règlement définit la cybersécurité comme « les activités nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ». Un incident est considéré comme significatif s’il entraîne ou peut entraîner une perturbation opérationnelle significative ou des pertes financières pour l’entité concernée, ou si l’incident a affecté ou peut affecter des personnes physiques ou morales en causant des dommages matériels ou immatériels significatifs.
Notifications volontaires
Les entités n’entrant pas dans le champ d’application de la directive NIS2 peuvent volontairement signaler les incidents significatifs, les cybermenaces ou les incidents évités de justesse. L’autorité compétente ou le CSIRT suit la procédure décrite dans la « notification en deux étapes ». Les signalements soumis volontairement ne peuvent faire l’objet d’aucune obligation supplémentaire. Ainsi, une entité qui fait une notification volontaire ne devrait pas être soumise à des obligations plus onéreuses que si elle ne l’avait pas faite.