Des milliers d’entreprises sont concernées pour la première fois à NIS2. Comment passer à la conformité ? L’ENISA vient de publier deux guides précieux pour implémenter et manager NIS2.
“La mise en œuvre de la norme NIS2 est une priorité absolue pour l’ENISA. L’Agence œuvre pour une plus grande harmonisation et une plus grande simplification. Pour y parvenir, nous élaborons des orientations pratiques et techniques en matière de cybersécurité afin de soutenir la mise en œuvre de mesures de cybersécurité, contribuant ainsi à améliorer la maturité en matière de cybersécurité dans les secteurs critiques européens” explique Juhan Lepassaar, directeur exécutif de l’ENISA.
Le premier guide identifie les rôles clés et compétences nécessaires pour se conformer à NIS2. Il s’appuie sur le European Cybersecurity Skills Framework (ECSF), le référentiel européen des compétences cyber. Le guide traduit les obligations légales en profils de métiers clairs et compréhensibles par les DRH, DSI et RSSI. Il explique l’organisation et compétences nécessaires pour améliorer sa résilience avec NIS2.
Il donne une cartographie détaillée entre chaque exigence NIS2 et les tâches opérationnelles. Le document permet aux organisations d’identifier les effectifs et compétences à mobiliser mais aussi, et c’est essentiel, de planifier la formation et le recrutement de manière ciblée.
Le mode d’emploi NIS2
Le second guide se consacre à la mise en œuvre pratique de NIS2. Il détail les étapes concrètes pour appliquer la directive. Il donne une méthodologie pour transposer les obligations légales en politiques, procédures et mesures techniques.
Le document fournit les règles et exigences de preuves sur :
– La politique de sécurité des réseaux et des systèmes d’information
– La politique de gestion des risques
– La gestion des incidents
– La continuité des activités et gestion de crise
– La sécurité de la chaîne d’approvisionnement
– La sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information
– La politiques et procédures visant à évaluer l’efficacité des mesures de gestion des risques de cybersécurité
– La pratiques de base en matière d’hygiène informatique et formation à la sécurité
– La cryptographie
– La sécurité des ressources humaines
– Le contrôle d’accès
– La gestion d’actifs
– La sécurité environnementale et physique
Les nouveaux acteurs concernés sont invités à se baser sur ces documents essentiels sans attendre la transposition de la Directive.
