Le nouveau rapport technique ETSI TR 103 456, récemment publié par le comité technique de normalisation ETSI/TC CYBER, en charge de la normalisation technique pour les aspects de cyber sécurité, fournit des conseils pour la mise en œuvre de la Directive (UE) 2016/1148 sur la sécurité des réseaux et des systèmes d’information (Directive NIS).
Cette nouvelle publication de l’ETSI fournit des indications sur les spécifications techniques, publiées ou en cours de développement au sein des principales communautés actives dans le domaine de la cyber sécurité et conçues pour satisfaire aux mesures légales et aux exigences techniques de la Directive NIS.
Le rapport technique couvre ainsi différentes questions et exigences en matière de cyber sécurité :
- Méthodes pour le partage et l'échange structuré d'informations ;
- Notification d'incident ;
- Gestion des risques du système d'information technique et organisationnel ;
- Défis et solutions ;
- Recommandations techniques.
La gestion des risques de cyber sécurité consiste à évaluer un éventail de risques dans l’environnement de l’organisation, à comprendre les actifs, les ressources et les processus fondamentaux de l'organisation et à prendre des mesures pour améliorer continuellement la manière dont elle protège, détecte et répond aux incidents impliquant ces actifs, ressources et processus.
« Ce nouveau rapport de l'ETSI fournit un contexte de cyber sécurité plus large s'appuyant sur la Directive NIS ou le rapport sur les écarts de normalisation de l'ENISA », déclare Charles Brookson, président de l'ETSI/TC CYBER. « L'ETSI possède une longue expertise en matière de sécurité, y compris le travail développé dans notre comité. Ce rapport devrait aider ceux qui s'efforcent de satisfaire aux exigences de la directive NIS et les guider sur la manière de les satisfaire ».
Le rapport technique ETSI TR 103 456 est destiné à tous ceux qui ont besoin de considérer les effets, d’utiliser ou d’effectuer la transposition de la Directive NIS dans leur législation nationale, qu’il s’agisse de régulateurs, d'opérateurs de services essentiels ou de fournisseurs de services numériques.
L'ETSI étudie actuellement de nouvelles technologies telles que la NFV, la 5G ou l'informatique quantique, qui posent de nouveaux défis de sécurité. Divers groupes de l’ETSI travaillent donc en étroite collaboration avec le TC CYBER et s'assurent que les aspects de security by design sont inclus dans toutes les spécifications dès le départ. Le TC CYBER a déjà publié 17 spécifications et rapports sur la cyber sécurité au cours des trois dernières années. Ils sont disponibles gratuitement sur le site de l’ETSI ou encore sur l’e-Shop ILNAS.