Fuite de données, piratage, logiciels malveillants… Les réseaux et systèmes d’information sont l’objet de menaces grandissantes qui génèrent des risques pour la confiance des citoyens, l’activité économique et la sureté nationale. La directive NIS (Network and Information Security), adoptée le 6 juillet 2016 et transposée dans la loi luxembourgeoise du 28 mai 2019, est une étape majeure pour assurer un niveau élevé commun de sécurité dans l’Union européenne. La directive vise en particulier les services essentiels dans les secteurs de l’énergie, des transports, de la santé, de l’eau, les banques et les infrastructures numériques. Elle concerne aussi les fournisseurs de services numériques que sont les cloud service providers, les moteurs de recherche et les places de marché en ligne.
Chaque pays doit déterminer quelles autorités nationales sont compétentes pour contrôler l’application de la directive. Pour le Luxembourg, il s’agit de l’Institut Luxembourgeois de Régulation (ILR) pour tous les secteurs sauf pour le secteur financier pour lequel la Commission de Surveillance du Secteur Financier (CSSF) a été désignée. Concrètement, pour pouvoir sécuriser les services essentiels, il faut d’abord les définir. Ce processus d’identification (toujours en cours) a fait l’objet d’une première phase de collaboration entre l’ILR, le LIST et le Haut-Commissariat à la Protection Nationale (HCPN). Le LIST a contribué à concevoir une méthodologie d’identification des services essentiels et des opérateurs de services essentiels, méthodologie conforme à la Directive, innovante et adaptée au contexte luxembourgeois.
Mission accomplie pour le LIST, qui a réussi à définir en un temps record une approche collaborative incluant l’ensemble des acteurs des secteurs concernés, de manière structurée, reproductible et objective (et donc incontestable).
Et ce n’est pas terminé car la phase d’implémentation doit suivre. Le LIST a donc signé en juin 2019 un nouvel accord de collaboration avec l’ILR qui va encore plus loin. Le LIST va ainsi développer un modèle d’analyse de risque destiné aux opérateurs qui seront identifiés, des outils et formations pour les aider à s’organiser dans la gestion des risques et un schéma de certification de leur maturité. Le tout sera supporté par une plateforme informatique qui permettra en plus aux opérateurs de notifier les incidents et de faire du benchmarking.
Le LIST est fier de poursuivre ce partenariat de longue date pour l’optimisation, l’intégration et l’amélioration du cycle réglementaire au Luxembourg, notamment dans les domaines de la sécurité de l’information et en cohérence avec la stratégie nationale en matière de cybersécurité.