Interprétation et mise en œuvre de NIS2 du point de vue de la norme ISO 27001

• ISO 27001 et NIS2 partagent l'objectif commun d'améliorer la cybersécurité, la norme ISO 27001 étant une norme internationale couvrant de nombreuses mesures requises dans NIS2
• L'évaluation des risques est un élément central des deux cadres, la norme ISO 27001 répondant de manière flexible à l'appétit pour le risque d'une entreprise, tandis que la norme NIS2 définit des exigences spécifiques pour les institutions essentielles et importantes
• Les deux approches mettent l'accent sur la gestion des incidents, avec des processus et des mécanismes de contrôle détaillés conformes à la norme ISO 27001 qui aident les entreprises à respecter les exigences de reporting et les mesures de réponse du NIS2.
• Alors que la norme ISO 27001 traite en partie de la continuité des activités, la conformité à la NIS2 nécessite souvent des normes supplémentaires, telles que la norme ISO 22301, pour couvrir entièrement les exigences et les plans de continuité spécifiques au secteur

ISO 27001 et NIS2 : synergies et stratégies pour répondre aux exigences de cybersécurité

En règle générale, 2 ANS et NORME ISO 27001 étroitement liés. ISO 27001 aborde la directive NIS2 à de nombreux points clés, ce qui facilite la conformité à la NIS2 lorsque la norme ISO 27001 a déjà été mise en œuvre. Bien que les deux approches de la cybersécurité soient différentes, elles partagent un objectif commun : améliorer la cybersécurité et protéger les actifs d'informations critiques.

La directive NIS2 recommande aux entreprises d'utiliser les cadres et normes de cybersécurité existants pour atteindre le niveau de sécurité requis. La norme ISO 27001 peut couvrir la majorité des exigences de cybersécurité mentionnées dans le NIS2. Cependant, des lacunes persistent, qui doivent être comblées par des mesures supplémentaires.

Vue d'ensemble des cadres

NORME ISO 27001

ISO 27001 est une norme internationale pour Systèmes de gestion de la sécurité de l'information (ISMES). Cela comprend l'engagement de la haute direction, l'évaluation des risques, des politiques de sécurité de l'information claires, des audits internes, ainsi qu'une évaluation et une amélioration continues des processus et contrôles de sécurité de l'information.

Les entreprises optent volontairement pour la certification ISO 27001. Cela augmente leur efficacité opérationnelle, leur conformité réglementaire et démontre leur engagement en faveur de la sécurisation des actifs informationnels et de la protection des données des clients. La flexibilité de la norme en termes de contrôles de sécurité et de mesures de mise en œuvre dépend de la tolérance au risque, du secteur, de la taille de l'équipe, des ressources et de la sensibilité des données.

La politique NIS2

NIS2 est une version mise à jour de la directive NIS originale de l'UE visant à renforcer la résilience et la sécurité des réseaux et des systèmes d'information dans les secteurs critiques. Il distingue deux catégories d'institutions : les institutions essentielles et les institutions importantes. Les perturbations dans les installations essentielles peuvent affecter de manière significative l'économie et le bien-être public, tandis que les perturbations dans les principales institutions sont moins critiques.

Le NIS2 vise à accroître la résilience en matière de cybersécurité dans l'UE, à réduire les disparités en matière de résilience et à améliorer la coopération entre les États membres et au niveau de l'Union (chapitre 3, article 14). Article 21, paragraphe 1Évaluation et gestion des risques) et 23 (exigences en matière de préparation et de notification en cas d'incidents de sécurité). La gouvernance (article 20) contribue également à la mise en œuvre de l'article 21 et à la promotion des pratiques de gestion des risques de cybersécurité auprès des employés.

Quels sont les liens entre ISO 27001 et NIS2 ?

évaluation des risques

Les deux cadres valorisent les évaluations des risques pour identifier et gérer les risques de sécurité, mais leur flexibilité diffère.

La norme ISO 27001 oblige les entreprises à effectuer des contrôles de sécurité conformément à leur tolérance au risque. Par exemple, une petite entreprise dont l'équipe est plus petite et une grande entreprise ayant une présence multinationale ont des exigences différentes en matière de gestion des risques. Cela a un impact sur la portée de l'ISMS de chaque entreprise et également sur le temps correspondant requis pour la conformité ou la certification.

Le NIS2 nécessite des installations à la fois essentielles et importantes pour effectuer une évaluation des risques. La différence fondamentale entre les deux catégories réside dans la profondeur de la mise en œuvre de l'évaluation des risques et dans la sophistication des mécanismes permettant d'identifier les menaces et d'y répondre. Par rapport aux institutions clés, les institutions essentielles doivent procéder à une évaluation approfondie des risques et mettre en œuvre des mécanismes de défense améliorés.

Gestion des incidents

Les failles de sécurité des informations peuvent être provoquées par des logiciels malveillants, des accès non autorisés, des violations de données, des erreurs humaines, un manque de sensibilisation ou de formation en matière de sécurité, etc. Les normes ISO 27001 et NIS2 recommandent aux organisations de mettre en place des plans pour répondre aux incidents. La gestion des incidents garantit une résolution rapide des incidents de cybersécurité et une reprise rapide.

Le NIS2 impose aux institutions essentielles et importantes d'informer les autorités nationales — les autorités nationales compétentes (NCA) ou les équipes de réponse aux incidents de sécurité informatique (CSIRT) — et les bénéficiaires des services des perturbations majeures affectant la sécurité de leurs réseaux et systèmes d'information. Un incident grave au sens de la directive NIS2 est généralement défini comme un événement qui peut affecter de manière significative la continuité des services essentiels.

La directive NIS2 encourage l'utilisation des meilleures pratiques pour la gestion des incidents. Elle oblige les entreprises à signaler les incidents importants, mais ne comprend pas de méthodologie détaillée pour le faire. La norme ISO 27001 fournit un processus structuré pour identifier, évaluer et gérer de tels incidents. L'annexe A 5.24 décrit la manière dont les entreprises devraient mettre en place des processus, établir des plans de réponse aux incidents, définir les rôles et les responsabilités et former leurs employés à une gestion efficace des incidents.

La norme fournit des conseils bien guidés pour la planification et la préparation de la gestion des incidents. Il inclut des aspects clés tels que l'identification, la réponse, la gestion et la restauration des incidents, qui sont abordés plus en détail sous les contrôles suivants :

• Équipe responsable de la gestion des incidents (Annexe A 5.25)
• Préparation à la réponse à un incident (Annexe A 5.26)
• Documenter les incidents et en tirer les leçons (Annexe A 5.27)
• Une procédure pour signaler les incidents par les employés (Annexe A 6.8)
• Enregistrement technique des données relatives aux incidents et des alertes (annexes A 8.15 et 8.16).

continuité des activités

Bien que les deux cadres nécessitent une approche basée sur les risques, l'objectif du NIS2, qui est d'assurer la continuité des activités des installations essentielles et critiques, ne correspond pas de manière adéquate aux entreprises conformes à la norme ISO 27001 ayant une très forte propension au risque. Le NIS2 impose aux organisations non seulement de protéger leurs systèmes, mais également de mettre en place des plans pour maintenir les opérations pendant ou après un incident de sécurité. La norme ISO 27001 ne répond pas aux attentes et aux exigences de la NIS2, qui sont principalement spécifiques au secteur et à la continuité des activités. Bien que la norme ISO 27001 inclue certains éléments relatifs à la continuité des activités, elle ne définit pas de processus de gestion de la continuité des activités. Voici d'autres normes telles que la norme ISO 27002 (Reprise après sinistre) et NORME ISO 22301 (Exigences relatives au système de gestion de la continuité des activités) entrent en jeu, ce qui sous-tend la conformité à la norme NIS2.

Résumé : Conformité NIS2 à la norme ISO 27001

En résumé, la directive NIS2 définit ce que les entreprises doivent faire, et la norme ISO 27001 fournit les moyens et les processus nécessaires pour répondre à ces exigences. La certification ISO 27001 ne garantit pas la conformité à la directive NIS2. Cependant, le « comment » de la norme ISO 27001 résout en grande partie le « quoi » de la NIS2.

La norme fournit un cadre de gouvernance efficace pour établir un ISMS de sécurité de l'information qui répond aux exigences NIS2 pour la mise en œuvre d'un système de gestion de la cybersécurité et de la sécurité de l'information. En outre, le modèle de gouvernance dirigé par la direction de la norme renforce les exigences de la NIS2 afin d'impliquer la haute direction dans la prise de décision et la responsabilisation.

La norme ISO 27001 prépare les entreprises aux exigences futures, même si elles ne sont actuellement pas directement concernées par la NIS2. Les entreprises britanniques ou américaines qui livrent dans l'UE sont également concernées par la directive. Même si vous êtes un fournisseur, la reconnaissance internationale de ce cadre peut donc servir de base sur laquelle vous pouvez vous appuyer pour faciliter la conformité à la NIS2.