Contrairement à la première directive NIS, qui se concentrait sur les principaux acteurs économiques, cette nouvelle version élargit son champ d'application à davantage d'entités et de secteurs, et introduit des exigences mieux adaptées aux nouvelles menaces cyber.
Elle impose un ensemble de mesures juridiques, techniques et organisationnelles.
Les entités devront mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d'information.
L'ANSSI, en tant qu'autorité nationale en cybersécurité, est chargée de transposer et d'appliquer cette directive au niveau national.
La démarche NIS2 proposée par Adacis
Étape 1 : cadrage
• Êtes vous concerné ?
• Quel est votre niveau de régulation (entité essentielle (EE) ou entité importante (EI) ?
• Mise en place de l’accompagnement avec définition du périmètre métier et technique et des acteurs.
Étape 2 : évaluation de votre maturité
• Audit organisationnel avec le référentiel NIS2.
• Plan d’actions détaillé de mise en conformité.
De facto analyse de risques EBIOS RM (ateliers 1 et 5)
Étape 3 : accompagnement spécifique
• Accompagnement à la demande en fonction de vos contraintes, vos compétences et votre degré d’autonomie avec des points de suivi réguliers.
• Notre équipe d’experts vous accompagnera en fonction de vos besoins.
Étape 4 : validation de la conformité
• Validation de la conformité et réunion de clôture.
Étape 5 : amélioration continue
• Plan d’amélioration continue (PDCA) : revue du plan d’actions et de la conformité suite à des délais ou des changements majeurs.
Mon entité est-elle concernée ?
Evaluez si votre entité est soumise à la directive NIS2 avec le test de l'ANSSI.
Mesures de sécurité prévues par NIS 2
Les obligations pour les entités régulées
01
Des politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information.
02
Traitement des incidents (prévention, détection et réponse aux incidents).
03
La gestion des crises et la continuité des activités, comme la gestion des sauvegardes et la reprise des activités.
04
La sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs.
05
La sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités.
06
Des politiques et procédures (tests et audits) visant à évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité.
07
Des pratiques de base en matière de cyberhygiène et la formation à la cybersécurité.
08
Des politiques et des procédures relatives à l'utilisation de la cryptographie.
09
La sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs.
10
L'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d'urgence au sein de l'entité, selon les besoins.