Mettre en œuvre la directive NIS 2

Introduction : bref rappel sur NIS 1 & arrivée de NIS 2

• NIS : de quoi parle-t-on ?
• Quel bilan peut-on faire de NIS 1 ?
• Directive NIS 2 : quelles différences par rapport à NIS 1 ?
• Focus sur le calendrier d’intégration NIS 2 en France, dans l’UE : où en est-on ?

Directive NIS 2, ses objectifs, périmètres : où va-t-on ?

• Quelles nouvelles ambitions ?
• Que peut-on analyser à date en termes d’exigences, de moyens de régulation, de nouveaux pouvoirs pour l’ANSSI ?
• Quelle évolution des périmètres d’entités régulées ?
• Focus détaillé sur le Entités Essentielles (EE) et le Entités Importantes (EI)
• Quels critères de sélection des entités ? Quels cas particuliers ? Qui est concerné ?
• Quelles interactions avec l'ANSSI pour toute EE/EI?

Explorer la structure et les exigences de la directive NIS 2

• Analyse détaillée des 9 chapitres de NIS 2
• Sur quoi portent les 3 annexes ?
• Focus sur le contenu du chapitre 4 : mesures de gestion des risques cyber et obligations d’information
• Comprendre les exigences techniques, organisationnelles et opérationnelles de NIS 1 et NIS 2

Directive NIS 2 : quelles étapes de mise en œuvre ?

• Quel soutien de la direction mettre en place ?
• Suivi d’actions, équipe dédiée… Assurer une gestion de projet spécifique pour NIS 2
• Définir une politique de sécurité stable et évolutive
• Quelle méthodologie de gestion des risques pour NIS 2?
• Approuver un plan de traitement... Bâtir une évaluation des risques pour NIS 2
• Sécurité & chaîne d’approvisionnement : quelles sont vos responsabilités vis-à-vis de vos clients ? De vos sous-traitants ?
• Préparer la mise en œuvre d’une évaluation de l’efficacité des mesures (processus, indicateurs…)
• Focus français sur les règles de sécurité : quels liens, points de comparaison avec ISO 27001 ?
• Que prévoit NIS 2 en matière de formation continue et sensibilisation des salariés à la cybersécurité ?
• Réaliser des audits internes
• Piloter une revue de direction spécial NIS 2

La documentation requise

• Quels documents sont requis ? Lesquels sont fréquents en cyber mais non requis ?

Communiquer un incident selon NIS 2

• Qu’entend-on par incident ?
• Quand et comment le notifier ?
• Quelles obligations en matière de supervision, documentation d’incident ?

Liens entre NIS 2 (directive non certifiante) et d’autres cadres réglementaires

• DORA, Directive CER, Digital Service Act, Digital Market Act, Cyberscore… : quels liens avec différents textes qui concernent votre organisation/activité/structure, en complément de NIS 2 ?
• Quelle différence par rapport au RGPD ?

Chaque session de formation est à jour des avancées sur le chantier de transposition de la directive NIS 2 au niveau national.

Votre formateur est un expert en cybersécurité.

•  Une grille d’auto-positionnement est également à renseigner par l’apprenant en amont et en aval de la formation, permettant d’évaluer la progression sur les différents objectifs de la formation. Cette grille est appelée EDA « échelle de degré d’acquisition » et constitue l’évaluation formative du module.
  
  
•  Un questionnaire à froid est envoyé et permet de mesurer l’utilité de la formation à 3 mois auprès du stagiaire et pose la question de la mise en pratique des connaissances.