Blogs de l’ICANN

Lisez les blogs de l’ICANN pour vous tenir au courant des dernières activités d’élaboration de politiques, des événements régionaux et bien plus encore.

Consultation NIS2 et prochaines étapes

12 septembre 2024
Par Dimitris Zacharias

La directive sur la sécurité des réseaux et des systèmes d’information (NIS2 pour ses sigles en anglais), relative à des mesures permettant d’élever le niveau global de cybersécurité dans l’Union (UE 2022/2055), renforce les mesures de gestion des risques liés à la cybersécurité et simplifie les obligations de notification d’incidents pour les entités essentielles et importantes qui fournissent des services au sein de l’Union européenne (UE). Les fournisseurs de services du système des noms de domaine (DNS) et les opérateurs de registres de noms de domaine de premier niveau (TLD) sont considérés comme des entités essentielles en vertu de la directive. La directive NIS2 impose également aux registres de noms de domaine et aux entités fournissant des services d’enregistrement de noms de domaine des obligations en matière de collecte, de conservation et d’accès aux données d’enregistrement des noms de domaine.

Les États membres de l’UE doivent transposer la directive dans leur droit national avant le 17 octobre 2024. Ce délai s’applique également à la Commission européenne, qui doit adopter un texte de législation secondaire afin de préciser les impératifs techniques et méthodologiques applicables aux mesures de gestion des risques en matière de cybersécurité pour les entités essentielles et importantes, et de clarifier les circonstances dans lesquelles un incident est considéré comme significatif. Dans ce contexte, la Commission européenne a publié un projet de règlement d’exécution et a invité les parties intéressées à lui faire part de leurs commentaires entre le 27 juin et le 25 juillet 2024.

L’ICANN a fourni des commentaires sur les dispositions préliminaires concernant l’indisponibilité d’un service, la dégradation d’un service et les atteintes à la sécurité informatique des systèmes dorsaux des fournisseurs de services DNS et des registres de noms TLD, ainsi que sur les impératifs techniques et méthodologiques des mesures de gestion des risques en matière de cybersécurité.

Plus précisément, l’ICANN a suggéré que des facteurs échappant au contrôle d’un fournisseur de services DNS ou d’un registre de noms TLD - tels que des problèmes de connectivité au niveau du réseau local ou du fournisseur d’accès à Internet, du réseau intermédiaire ou de transit, ou de la qualité de l’appareil ou du matériel du terminal - peuvent avoir un impact négatif sur la qualité de service perçue. Par conséquent, aborder la dégradation du service du point de vue de l’utilisateur final pourrait indirectement transférer la responsabilité du maintien de la qualité du service aux fournisseurs de services DNS et aux registres de noms TLD alors qu’il s’agit de facteurs qui échappent à leur contrôle. L’ICANN a recommandé de clarifier les critères permettant de déterminer les dommages à la réputation causés par un incident, ainsi que ceux permettant d’identifier des incidents récurrents, afin de prendre en compte des incidents significatifs dont les causes profondes sont sous le contrôle de l’entité touchée.

L’ICANN a suggéré d’inclure l’application de bonnes pratiques de sécurité du DNS parmi les mesures de gestion des risques de cybersécurité, et a invité les entités concernées à appliquer de bonnes pratiques sans les spécifier, étant donné qu’elles peuvent évoluer au fil du temps. Ces pratiques doivent être approuvées par les communautés concernées.

La contribution de l’ICANN à la consultation de la Commission européenne est disponible sur la page Contributions de l’organisation ICANN à des organes externes. Toutes les contributions envoyées à la consultation publique sont disponibles sur le site web de la consultation de la Comission Européenne.

La transposition de la directive NIS2 dans les États membres progresse régulièrement, même si certains retards sont à prévoir. Le rythme des progrès varie considérablement : seuls trois États membres ont entièrement ou partiellement transposé la directive en droit national, tandis que cinq autres ont publié des projets de loi qui sont actuellement examinés par leurs autorités législatives respectives. En outre, onze États membres ont achevé leur phase de consultation. Des retards plus importants sont attendus dans les États membres où des élections ou des changements dans la composition des gouvernements nationaux respectifs ont eu un impact significatif sur la planification et les processus législatifs.

Il convient également de noter la création du groupe de coopération sur les réseaux et les systèmes d’information chargé des travaux sur l’article 28 de la directive NIS2, dont la mission est de faciliter la coopération et l’échange d’informations entre les États membres de l’UE concernant la mise en œuvre de l’article 28 relatif aux données d’enregistrement des noms de domaine. Ce groupe devrait publier des orientations non contraignantes que les États membres sont invités à prendre en compte lors de la transposition de cet article de la directive.

À notre connaissance, le groupe de travail s’est principalement penché sur la vérification des données d’enregistrement et sur l’accès à ces données. Le 9 novembre 2023, l’ICANN a envoyé une lettre au groupe de coopération sur les réseaux et les systèmes d’information chargé des travaux sur l’article 28. Dans cette lettre, l’ICANN a partagé des informations sur le rôle du modèle multipartite de l’ICANN et son travail d’élaboration de politiques, en particulier les politiques, procédures et exigences existantes qui sont en rapport avec l’article 28 « Base de données d’enregistrement des noms de domaine ».

Comme le précise la lettre, l’ICANN estime que la mise en oeuvre de la directive NIS2 doit prendre en considération les « orientations et les normes élaborées par les structures de gouvernance multipartites à l’échelle internationale » et reconnues par la directive NIS2. Tout éventuel conflit entre les dispositions d’une législation nationale et les règles établies au sein de l’écosystème de l’ICANN peut poser d’importants problèmes pour les registres et les bureaux d’enregistrement. Ceci est particulièrement évident en cas d’interprétations et de mises en œuvre variées de l’article 28 qui pourraient potentiellement aboutir à un paysage disparate d’obligations nationales, éloignées des politiques de l’ICANN. De manière plus générale, ces obligations pourraient également poser des problèmes pour le modèle de gouvernance multipartite de l’Internet.

Alors que nous nous rapprochons de l’échéance d’octobre, il est important que toutes les parties prenantes restent engagées et proactives, afin de garantir une transposition uniforme de la NIS2 qui non seulement reconnaisse le caractère unique des écosystèmes nationaux, mais s’aligne également sur les normes internationales, de manière à sauvegarder l’intégrité du DNS et de l’écosystème Internet au sens large.

Authors

Dimitris Zacharias

Government and IGO Engagement Sr. Manager