- Quels sont les critères de classification des secteurs concernés par cette directive ? Où mon organisation se situe-t-elle ?
- Quelles sont les exigences spécifiques en matière de sécurité que mon organisation doit mettre en œuvre et quels sont les délais pour leur mise en application ?
- Quels sont les mécanismes de reporting et de documentation imposée et comment mon organisation peut-elle s’assurer de respecter ces obligations en matière de transparence et de suivi ?
- Quelles sont les sanctions potentielles en cas de non-conformité et comment pouvons-nous mettre en place des stratégies de mitigation pour réduire ces risques ?
par Alexandre CASSART, Antoine LANGE et Léa QUERTEMONT.
1. ALL OVER THE WORLD
Cybersécurité:
quels défis pour
votre entreprise ?
24 novembre 2023
Alexandre CASSART
Léa QUERTEMONT
Antoine LANGE
2. Quatre questions
1. Quels sont les secteurs et les organisations
concernées par la directive NIS 2?
2. Quelles sont les exigences en matière de sécurité que
les organisations doivent mettre en œuvre?
3. Quels sont les mécanismes de reporting et de
documentation sont imposés aux organisations et
comment peuvent-elles assurer le respect de ces
obligations
4. Quelles sont les sanctions potentielles en cas de non-
conformité à la directive NIS 2 ?
3. Historique
• Départ de la réflexion
est la lutte contre la
cybercriminalité
• Affaire Bistel, 1989
• Convention de
Budapest sur la
cybercriminalité
23/11/2001
• Loi du 28/11/2000
relative à la criminalité
informatique
• Insère les infractions
de hacking dans le
Code pénal belge
4. Historique
• Déplacement du
focus vers la
cybersécurité
• Règlement 460/2004
créant ENISA
(Agence européenne
pour la cybersécurité)
• Fondation du CCB en
2015 (AR 10/10/2014)
• [Directive 2013/40
(harmonise le droit
penal)]
• Règlement 2019/881
Cybersecurity Act
• NIS 1 (et 2)
5. Historique
• Demain vers la cyber
résilience ?
• “Cyber Resilience Act”
• Projet de la
Commission dévoilé le
15/09/2022
• Position commune du
Conseil le 19/07/2023
• Visera les obligations
de sécurité des
produits connectés
6. Contexte
• Directive 2016/1148 concernant des mesures destinées à
assurer un niveau élevé commun de sécurité des réseaux et
des systèmes d'information dans l'Union ➔ Directive Network
& Information Security (NIS) 1
• Transposée en droit belge dans la loi du 7 avril 2019
• Etude de l’efficacité de la Directive NIS-1 par la Commission
➔ Directive (UE) 2022/2555 du 14 décembre 2022 concernant
des mesures destinées à assurer un niveau élevé commun
de cybersécurité dans l’ensemble de l’Union ➔ NIS – 2
➔ Enquête publique en cours sur le projet de loi transposant la
directive (site web du CCB)
7. Grandes différences entre les 2 directives
NIS 1 NIS 2
Champ
d'application
6 secteurs
Moins de 100 opérateurs
de services essentiels
18 secteurs
Plus de 2000 entités
concernées
Mesures de
sécurité
Exigences générales en
matière de Sécurité
Exigences plus
spécifiques et
explicites
Notification
d'incident
- Pour les OSE: pas de
seuil européen ou
national
- Pour les Services
Numériques : seuil
européen
Deadlines spécifiques
Possibilité
d'implémentation de
seuils nationaux
Harmonisation Quasiment absente
+ présente pour les
mesures et amendes
administratives
11. De toutes tailles
Grandes comme
petites
- Réseaux de communications
- Prestataires de services de
confiance
- et registres de noms de domaine
Seul prestataire d'un service essentiel
au maintien d'activités sociétales ou
économiques critiques.
En raison de son
importance
- pour le secteur
- Pour le type de
service
Perturbation peut impacter
sécurité , sûreté ou santé publique
Entité de
l’administration publique
1.3. Quels secteurs et organisations
sont concernés ?
Des
pouvoirs
centraux
régional si impact
critiques potentiel
sur
activités au niveau
sociétal /
économique
12. Les entités non concernées en
Belgique
- Entités d’administrations publiques actives dans la
sécurité nationale, la sécurité publique, la défense et
la Justice
- Administrations locales et institutions de l'éducation
- Infrastructures du nucléaire
- Entités dans la banque et infrastructures des marchés
financiers tombant sous l'égide du règlement DORA
1.4. Quels secteurs et organisations
sont concernés ?
13. Quelles exigences en
matière de sécurité
mon organisation
doit-elle mettre en
œuvre ?
Quels sont les délais
pour leur mise en
application ?
14. Rôle des organes de direction - art. 20
Approuver les mesures de gestion des risques en matière
de cybersécurité
Superviser la mise en œuvre des mesures
Peuvent être tenus responsables de la violation des
exigences en matière de cybersécurité (art. 21)
Membres des organes doivent suivre une formation –
acquisition de connaissances suffisantes pour déterminer et évaluer les
risques et leur impact
Encourager les membres du personnel à suivre des
formations similaires
2.1. Quelles exigences mettre en œuvre ?
15. 2.2. Quelles exigences mettre en œuvre ?
Adopter des mesures de gestion des risques de sécurité –
art. 21
OBJECTIFS
1° Gérer les risques qui menacent la sécurité
des réseaux et systèmes d’information
2° Eliminer ou réduire les conséquences des
incidents
Des mesures de gestion des risques …
Techniques
- Pares-feux;
- Antivirus;
- Chiffrement;
- Contrôle d’accès;
- Détection
d’intrusion
Opérationnelles
- Formation du
personnel;
- Gestion des mots de
passe;
- Sauvegarde régulière
des données;
- Surveillance continue
Organisationnelles
- Rôles et
responsabilités;
- Procédures en cas de
violation;
- Intervention
d’urgence;
- Audits réguliers
16. 2.3. Quelles exigences mettre en œuvre ?
Des mesures de gestion des risques …
Permettant un niveau de sécurité adapté au risque existant, en tenant
compte :
Ransom
ware
Malware
Ingénierie
sociale
Menaces
contre
données
Déni
de
service
Chaine
d’approvisi
onnement
De l’état des connaissances
Du coût de mise en œuvre
Des normes européennes et internationales applicables
o ISO/CEI 27000
o ENISA THREAT LANDSCAPE (octobre 2023)
17. 2.4. Quelles exigences mettre en œuvre ?
Proportionnelles
Des mesures de gestion des risques …
Degré d’exposition aux
risques
Conséquences
économiques et
sociales des incidents
Taille de l’entité
Probabilité de
survenance d’incidents
et gravité
18. Authentification à plusieurs facteurs ou continue, systèmes de
communications (y compris) d’urgence sécurisés
Utilisation de la cryptographie et, le cas échéant, du
chiffrement
Sécurité d’acquisition, développement et maintenance des RSI, y
compris le traitement et la divulgation des vulnérabilités
Pratiques de base en cyberhygiène et formation
Sécurité des chaines d’approvisionnement
Gestion des incidents
Continuité des activités
Evaluation de l’efficacité des mesures
Sécurité des ressources humaines, contrôles d’accès et
gestion des actifs
Politiques relatives à l’analyse des risques et à la sécurité
2.5. Quelles exigences mettre en œuvre ?
Exigences minimales,
fondées sur une
approche « tous
risques »
19. Quelques particularités …
➢ Exigences techniques et méthodologiques définies par la
Commission européenne pour des fournisseurs et
prestataires spécifiques (au plus tard le17 octobre 2024) :
o Services DNS
o Services Cloud
o Centres de données
o Réseaux de diffusion de contenu
o Places de marché en ligne
o Moteurs de recherche
o Plateformes de réseaux sociaux
o Prestataires de services de confiance
(signature électronique, …)
NB : CE peut adopter des exigences supplémentaires
pour d’autres secteurs si l’estime nécessaire
Caractère
transfrontalier
➢ Mesures de gestion indépendantes de l’externalisation de la
maintenance des réseaux et systèmes d’information
20. 2.6. Quels délais pour leur application ?
Conseil des ministres (10/11/2023) : approbation d’un
avant-projet de Loi transposant la Directive 2022/2555
et d’un projet d’Arrêté Royal d’exécution
16
janvier
2023
Entrée en
vigueur
de NIS2
17
octobre
2024
Etats
Membres
transposent
NIS2
17
avril
2025
Etats Membres
établissent la
liste des entités
essentielles et
importantes
17
octobre
2027
Révision de
NIS2
21. Quels mécanismes
de reporting et de
documentation sont
imposés ?
Comment s’assurer
de respecter les
obligations de
transparence et de
suivi?
22. 3.1 Quels mécanismes de reporting sont imposés ?
Obligation d'information pour les
incidents importants
➢ Cause
▪ Une perturbation opérationnelle grave
des services
▪ Pertes financières pour l'entité
➢ Affecte
▪ d'autres personnes physiques ou
morale
▪ en causant des dommages
matériels, corporels ou moraux
considérables
23. 3.2. Quels mécanismes de reporting sont imposés ?
Quel timing pour informer ?
24 Heures
Alerte Précoce
Seulement les infos nécessaires
Doit déjà indiquer si soupçon d'acte
malveillant ou illicite
72 Heures
Notification d'incident
• Mettre à jour les infos de l'alerte précoce
• Evaluation initiale de l'incident :
• Gravité
• Impact
• Indicateurs de compromissions si dispo
À la demande du
CSIRT/Autorité
compétente
Rapport intermédiaire
Update de la situation
Dans le mois de
la notification
Rapport final
Description détaillée de l'incident
Type de menace/cause
Mesures d'atténuation
Impact transfrontière, s'il y en a
24. 3.3. Quels mécanismes de reporting sont imposés ?
Demande d'informations ou de conseils
Information des
moyens de porter
l'incident aux
autorités répressives.
Réponse du
CCB/ autorité
compétente
À la demande
de l’entité
Conseils & orientation
sur la mise en œuvre
de mesures
d'atténuations
Si suspicion
d’une menace
d’origine criminelle
24 heures après
l’incident
25. Comment s'assurer de respecter les obligations de
transparence et de suivi ?
Le rôle d'un superviseur est conseillé
Superviseur
Afin de :
• Surveiller le respect de la directive
• Communiquer avec
• les autorités compétentes
• Les parties prenantes
• Rendre compte au top management
Peut-être :
- une personne physique ou
morale,
- interne ou externe
Doit avoir compétences, ressources et
indépendance nécessaire pour
exercer ses fonctions
26. Comment démontrer que mon entité respecte les règles ?
Pas d'obligation de certification
MAIS
être capable de prouver qu'on répond aux exigences
Plusieurs certifications sont possibles dont:
• ISO 27001 : Système de gestion de la sécurité de
l'information – exigence de l'ancienne Directive,
toujours acceptable pour NIS 2
• ISO 27002 : Répond totalement aux exigences de
NIS2
• Cyber Fundamentals : initiative belge par le CCB
Fournit des recommendations, outils et exemples
pour chaques besoins
Présomption de conformité pour les Cyber
Fundamentals et ISO 27002
Certification
27. Comment démontrer que mon entité respecte ces règles ?
Cyberfundamentals
Accroître la
Cyber-
résilience
Réduire le risque
de cyber-attaques
Protéger les
données
Identifier
Protéger
Détecter
Répondre
Rétablir
29. 4.1. Mesures de supervision – Pouvoirs des
autorités compétentes (art. 32 et 33 dir. NIS2)
❑ Inspections sur place et
contrôles à distance
❑ Scans de sécurité
Demandes:
❑ informations nécessaires à
évaluation des mesures de
gestion des risques
❑ accès aux données
❑ preuves de mise en œuvre des
politiques de cybersécurité
❑ Audits de sécurité réguliers par
organisme indépendant ou
autorité compétente
❑ Audits ad hoc, justifiés par
incident important ou violation
30. 4.2 Quelles sanctions ?
❑ Avertissements
❑ Instructions contraignantes
❑ Mettre un terme au comportement qui viole la directive
❑ Garantir la conformité des mesures de gestion
❑ Informer les personnes physiques ou morales
❑ Mettre en œuvre recommandations formulées à la suite
d’un audit de sécurité
❑ Désigner pour une période déterminée, un responsable
du contrôle du respect des articles 21 et 23 (pas pour les
entités importantes)
❑ Ordonner de rendre publics les aspects de la violation de
la directive
❑ Amendes administratives
Mesures administratives ordonnées par l’Autorité compétente
(art. 32 et 33 dir. NIS2)
31. 4.2. Quelles sanctions ?
Amendes administratives
Entités essentielles Entités importantes
10 000 000 EUR
ou
2% du chiffre d’affaires
annuel mondial total de
l’exercice précédent
7 000 000 EUR
ou
1,4% du chiffre d’affaires
annuel mondial total de
l’exercice précédent
• Montant le + élevé retenu
• Possibilités d’astreintes
32. 4.2. Quelles sanctions ?
Appréciation de la sanction - critères :
Gravité de la violation
Durée de la violation
Violation antérieure pertinente
Dommages causés, pertes économiques,
nombre d’utilisateurs touchés
Violation délibérée ou par négligence
Mesures prises pour prévenir ou atténuer les
dommages
Application de codes de conduite ou
mécanismes de certification approuvés
Degré de coopération avec les autorités
compétentes
o Violations répétées;
o Absence de notification des incidents importants;
o Ne pas pallier les insuffisances malgré les instructions contraignantes;
o Entraver les audits et les activités de contrôle;
o Fournir des informations fausses ou manifestement inexactes
33. En tout dernier recours …
Suspension temporaire d’une
certification ou d’une
autorisation concernant tout
ou partie des services fournis
et activités menées par
l’entité
Interdiction temporaire de
toute personne physique
exerçant des responsabilités
dirigeantes à un niveau de
directeur général ou de
représentant légal d’exercer
ces responsabilités
4.2. Quelles sanctions ?
34. Stratégie globale
• Lien avec d’autres obligations de conformité et autres
mécanismes sont assez évidents
• Similarité avec le RGPD par exemple
• Stratégie de conformité globale par rapport à ces
« nouvelles » obligations doit être envisagée vu les liens
• Procédure de notification de violation de DACP
• Politique de divulgation coordonnée des vulnérabilités
• Canal de signalement interne
• …
35. Hacking éthique
Infraction pénale
Mais cause de justification SI :
1.Information immédiate :
• au Centre for Cybersecurity Belgium,
• à l’organisation propriétaire du système
vulnérable.
2.Confidentialité : ne peut pas divulguer
les informations à quiconque d’autre.
3.Intervention limitée à ce qui
est nécessaire et proportionné, sans action
frauduleuse ou dessein de nuire.
4.But désintéressé
PREVENTION → Adopter une politique de
divulgation coordonnée des vulnérabilités
36. Etablir un canal de signalement interne
pour signaler des irrégularités
17/02/2023 : Obligatoire pour les entreprises de plus de 50
travailleurs
Loi du 28 novembre 2022 sur la
protection des personnes qui
signalent des violations au droit
de l'Union ou au droit national
constatées au sein d'une entité
juridique du secteur privé.
notamment concernant :
• la protection des données à
caractère personnel,
• la sécurité des réseaux et des
systèmes d’information.
37. Merci
pour votre attention !
Des questions ?
Notre prochaine formation
earlegal :
→ 26 janvier :
Nouveau droit de la
distribution et
coopération entre
entreprises
→ Inscription sur notre
site internet :
lexing.be