NIS2 directive europeenne cybersecurite nis/2 NIS/2 securite informatique infrastructure securisee Security by design conformité NIS2 by ABSOMOD Groupn

NIS2 directive europeenne cybersecurite nis/2 NIS/2 securite informatique infrastructure securisee Security by design conformité NIS2 by ABSOMOD Group
NIS2 directive europeenne cybersecurite nis/2 NIS/2 securite informatique infrastructure securisee Security by design conformité NIS2 by ABSOMOD Group

Gestion risques Cybersécurité

En vertu de la NIS 2, les organisations sont tenues d'adopter une approche proactive plutôt que réactive en matière de gestion des risques, en introduisant des politiques de sécurité de l'information solides, y compris pour les périmètres spécifiques tels que la cybersécurité OT (Operational Technology). Ce politiques visent à garantir une analyse systématique et approfondie des risques, une taxonomie homogène, une cartographie des risques prenant pleinement en compte les spécificités locales, ainsi qu’un processus de gestion des risques harmonisé.

En outre, ces politiques devraient être conçues sur la base d'une approche tous-risques, proportionnelle au risque, à la taille, au coût, à l'impact et à la gravité des incidents auxquels les organisations individuelles sont confrontées. En tenant compte de ce principe de proportionnalité, on s'attend à ce que les organisations mettent en œuvre des mesures de cybersécurité reconnues par l'industrie et à la pointe de la technologie, notamment dans les domaines suivants :
 
Prévention, détection et réponse aux incidents

En vertu de la NIS 2, les entités essentielles et importantes doivent disposer d'un cadre de gestion des incidents (Incident Management Framework) robuste, régulièrement testé et communiqué à toutes les parties concernées. De plus, la nouvelle directive exige que les organisations mettent en place des procédures claires pour prévenir les attaques, enquêter sur les causes profondes et adopter des mesures d'atténuation.
 
Continuité des activités et gestion de crise

En vertu de la NIS 2, les entités essentielles et importantes doivent veiller à la continuité de leurs opérations en cas d'incident majeur (en matière de cybersécurité). Par conséquent, les organisations doivent mettre en place un cadre de résilience complet, englobant la continuité des activités, la reprise après sinistre et la gestion de crise, afin de minimiser les perturbations.
 
Maîtrise des risques liés aux tiers

À mesure que la sécurité de la chaîne d'approvisionnement numérique devient de plus en plus importante, NIS 2 exige des entités essentielles et importantes qu'elles s'engagent dans la gestion des risques liés aux tiers (Third Party Risk Management - TPRM). S'assurer du TPRM dans l'ensemble de leurs chaînes de valeur numérique représentera un défi de taille pour les organisations, et la mise en place d'un cadre de résilience de la chaîne d'approvisionnement complet pourrait être justifiée.