Les 10 mesures de gestion des risques NIS2
L'article 21 §2 de la directive (UE) 2022/2555 impose aux entités régulées un socle de 10 mesures techniques, opérationnelles et organisationnelles, à appliquer selon une approche tous risques. Toutes doivent être documentées, mises en œuvre et leur efficacité évaluée régulièrement.
Analyse des risques et sécurité des SI
Politiques d'analyse des risques et de sécurité des systèmes d'information.
Gestion des incidents
Détection, traitement, notification et retour d'expérience post-incident.
Continuité des activités
Gestion des sauvegardes, reprise d'activité, gestion de crise.
Sécurité de la chaîne d'approvisionnement
Sécurité des relations directes avec les fournisseurs et prestataires.
Sécurité de l'acquisition, du développement et de la maintenance
Sécurité du cycle de vie des SI (achat, développement, mise à jour, divulgation des vulnérabilités).
Évaluation de l'efficacité des mesures
Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques.
Cyber-hygiène et formation
Pratiques de base et formation à la cybersécurité.
Cryptographie et chiffrement
Politiques et procédures relatives à l'utilisation de la cryptographie.
Sécurité RH, contrôle d'accès et gestion des actifs
Sécurité des ressources humaines, politique de contrôle d'accès, gestion des actifs.
MFA et communications sécurisées
Authentification multi-facteur, communications sécurisées (voix/vidéo/texte) et communications d'urgence.