La directive NIS2 doit être transposée en droit national d’ici le 17 octobre 2024. À partir du 18 octobre, les organisations basées dans un État membre de l’UE ou opérant au sein de l’Union européenne doivent être en mesure de démontrer qu’elles renforcent efficacement leur cybersécurité. Cela s’accompagne d’obligations de reporting en cas d’incidents, de l’inclusion de la chaîne d’approvisionnement, de sanctions sévères et de nombreuses disciplines transversales issues des domaines de la gouvernance, de la gestion des risques et de la conformité (GRC). Le logiciel GRC vous offre un soutien optimal pour démontrer votre conformité NIS2.
OMNINET accompagne déjà ses clients dans la préparation à la conformité NIS2.
Couverture NIS2 dans l’OMNITRACKER GRC Center
- Approche basée sur les risques (gestion des risques intégrée)
- Gestion des crises et des urgences (gestion de la continuité des activités)
- Gestion des actifs (identification des besoins de protection et évaluation des dépendances des actifs)
- Risques spécifiques aux fournisseurs (gestion de la chaîne d'approvisionnement basée sur les risques)
- Initiation et documentation des mesures et contrôles (contenu obligatoire des rapports)
- Préparation optimale et réalisation efficace des audits
- Mise à disposition d'un canal de contact et de signalement
- Classement des documents avec une gestion documentaire centralisée
- Obligation ISMS pour les domaines critiques
Consulting technique individuel au niveau de votre conformité NIS2
La directive NIS2 présente de nombreux chevauchements thématiques avec d'autres domaines de la gouvernance, de la gestion des risques et de la conformité. La solution multistandard OMNITRACKER GRC Center vous assiste en gérant de manière centralisée tous les sujets de conformité, d'audit, de gestion des risques et de documentation. Cela crée des effets de synergie et vous permet de vous conformer aux exigences à venir de la directive NIS2 de manière efficace et à l'épreuve des audits.
Contexte, obligations et secteurs concernés par la directive NIS2
Contexte
L'objectif de la directive NIS2 (lien vers le site officiel de l'UE) est de renforcer la cybersécurité des organisations importantes et pertinentes. Les secteurs clés pour le bon fonctionnement d'une société numérique, ainsi que les organisations d'une certaine taille, doivent prouver qu'elles ont une protection cybersécurité efficace et basée sur les risques lors de l'entrée en vigueur de la loi nationale correspondante. La responsabilité globale incombe à la direction, qui doit notamment suivre des formations liées à la sécurité. La sensibilisation du personnel doit également être assurée. Les quelque 30 000 organisations concernées s'exposent à des sanctions si elles ne respectent pas leurs obligations.
Obligations
En cas d'incident, celui-ci doit être signalé à une autorité de contrôle via un signalement rapide, avec des rapports intermédiaires si nécessaire ainsi qu’un rapport final. Ces rapports doivent contenir des informations sur les domaines organisationnels concernés par l'incident de cybersécurité (l’Asset Management est utile pour ce faire), les mesures prises et les mesures pouvant être utilisées pour prévenir ou atténuer des incidents similaires à l'avenir.
Pertinence
La directive NIS2 concerne de nombreux secteurs et industries, qui sont définis dans deux annexes. Les établissements de taille moyenne comptant plus de 50 salariés et un chiffre d’affaires annuel supérieur à 10 millions, mais inférieur à 50 millions d’euros (ou un bilan annuel ne dépassant pas 43 millions d’euros) qui sont répertoriés dans un secteur d’activité des annexes 1 ou 2 doivent être prêts à mettre en œuvre la directive NIS2 à partir d’octobre 2024. Il en va de même pour les grandes entreprises comptant plus de 250 salariés et un chiffre d’affaires annuel supérieur à 50 millions d’euros ou un bilan annuel supérieur à 43 millions d’euros.
Les infrastructures significatives et importantes relèveront du champ d’application de la NIS2, quel que soit leur chiffre d’affaires ou leur nombre d’employés.
De plus, les organisations plus petites peuvent également relever de la NIS2 sur ordre des autorités, par exemple si elles font partie de l’infrastructure numérique, sont des fournisseurs DNS ou proposent des services critiques – l’administration publique fait également exception ici. Les organisations jusqu’ici classées comme infrastructures critiques sont toutes concernées par la NIS2.
La catégorie dans laquelle se trouve une institution a une incidence sur les sanctions et la surveillance potentielles (réactives/proactives).
Annexe 1 : Secteurs à haute criticité
Energie
Transport
Services bancaires
Infrastructures des marchés financiers
Soins de santé
Eau potable
Eaux usées
Infrastructures numériques
Gestion des services ICT
Administration publique
L’espace
Annexe 2 : Autres secteurs critiques
Services postaux et de messagerie
Gestion des déchets
Fabrication, production et distribution de produits chimiques
Production, transformation et distribution de produits alimentaires
Production
Fournisseurs numériques
Recherche
L'outil pour votre conformité NIS2.
Testez-le maintenant gratuitement pendant 30 jours.
Le GRC Center en tant que solution multistandard – un outil central pour tous les systèmes de gestion, risques et audits
Avec le GRC Center, vous êtes non seulement préparé aux exigences de conformité de la directive NIS2, mais aussi à l'audit de votre ISMS (par ex. selon ISO 27001), de votre IMS, système de gestion de la qualité (ISO 9001) ou de nombreuses autres normes et réglementations (y compris futures). Les avantages d'une conformité généralisée sont évidents : les risques et les unités organisationnelles sont conservés dans un emplacement central. Un concept d'autorisation et de rôle est utilisé pour gérer, documenter et améliorer en permanence la gestion des risques, des mesures, des contrôles, des audits, des contrats et des plans d'urgence.
Fonctionnalités pertinentes pour la NIS2 dans l’OMNITRACKER Governance, Risk and Compliance Center
- Gestion des risques intégrée
- Concept de rôle pour les approbations et les responsabilités
- Capacité multistandard (tous les dossiers de conformité regroupés dans un seul outil)
- Gestion des documents (versionnage, classement, approbation, fonction d'abonnement)
- Gestion des fournisseurs (pour les processus/services externalisés pertinents pour NIS2)
- Établissement d'un ISMS (certifiable conformément à la norme ISO 27001)
- Canal de reporting central
- Gestion des dossiers de conformité
- Gestion de la continuité des activités (gestion des urgences)
- Gestion des actions et des contrôles (y compris les plans d'action)
- Gestion des audits (planification et exécution des audits)
- Gestion des actifs (dépendances, catégorisation et évaluation)
Le savoir-faire d'OMNINET en matière de réalisation de projets de conformité
En tant que partenaire de numérisation, nous sommes heureux de vous aider à vous préparer à la nouvelle directive européenne, par exemple dans les domaines de gestion des fournisseurs, des actifs, des crises, des audits, des documents et des risques, ainsi que dans la mise en place d'un canal de reporting ou dans la clarification structurée et basée sur les processus des responsabilités et des compétences. Nous sommes enthousiastes à l’idée de vous accompagner dans toutes les phases de réalisation de votre projet, depuis l'analyse des besoins, la mise en œuvre et le conseil technique jusqu'à la mise en service et la maintenance et le développement continus de votre système.
Pour garantir le bon déroulement de l’implémentation, nous vous accompagnerons en tant que partenaire de consulting expérimenté. Nous connaissons l'outil de manière détaillée et disposons d'une expertise complète au niveau de tous les processus d’implémentation du logiciel.
Nous élaborons ensemble, lors d'un workshop, les exigences individuelles de votre système OMNITRACKER. Nous documentons ensuite systématiquement les résultats dans l’OMNITRACKER Requirements Management Center.
Nous nous occupons également de la gestion et du contrôle de projet. Notre modèle de processus standardisé et testé sur le terrain convient aussi bien à l'exécution de projets agiles que traditionnels.
Après avoir défini le système et les processus d’entreprise, nous mettons rapidement en œuvre vos exigences dans OMNITRACKER. Des configurations complexes et hautement personnalisées sont également possibles.
Après une phase de test approfondie et réussie, et des ajustements finaux si nécessaire, votre installation OMNITRACKER est mise en service, avec notre assistance.
Après la mise en service, nous restons disponibles pour toutes vos questions sur les opérations en cours, les demandes de changement ou les améliorations des performances.
Contactez-nous pour toute question concernant nos disponibilités et la directive NIS2.
Pourquoi choisir OMNITRACKER
|
|