La directive NIS 2 et le règlement DORA exigent tous deux des dispositifs formalisés de gestion d'incidents et de gestion de crise, avec des délais de notification définis par leurs articles respectifs. ISO 22361:2022 fournit le cadre méthodologique pour structurer la cellule de crise qui répond opérationnellement aux deux régimes.
La directive NIS 2 (article 21) impose aux entités essentielles et importantes des mesures de gestion des risques cybernétiques, incluant la gestion des incidents. L'article 23 définit les obligations de notification : une alerte précoce au CSIRT ou à l'autorité compétente, suivie d'une notification d'incident formelle puis d'un rapport final, selon les délais précisés par la directive.
Le règlement DORA (articles 17 à 23) impose aux entités financières un cadre intégré de gestion des risques liés aux technologies de l'information et de la communication. La notification des incidents ICT majeurs aux autorités compétentes (ACPR, AMF en France ; BaFin en Allemagne ; FINMA en Suisse pour les acteurs supervisés) suit les délais et le format définis par les normes techniques de réglementation (RTS) adoptées par la Commission européenne.
Pour répondre opérationnellement aux deux régimes, une organisation articule trois couches : un plan de réponse aux incidents technique (CSIRT, playbooks, forensics) ; une cellule de crise stratégique activable au-delà du seuil de gravité — c'est ici qu'ISO 22361 fournit le cadre méthodologique ; une chaîne de notification réglementaire automatisée pour respecter les délais légaux distincts.
Le piège opérationnel le plus fréquent : la cellule technique gère l'incident, mais c'est la cellule de crise qui décide quoi communiquer aux régulateurs, aux clients et au marché. Sans formation Crisis Management formalisée, cette articulation se fait dans la panique le jour J, avec un risque réputationnel et juridique majeur.
La formation PECB Certified Lead Crisis Manager est une certification individuelle internationale de 5 jours alignée sur la norme ISO 22361:2022. Elle vise les professionnels appelés à piloter une cellule de crise : Crisis Manager, Directeur de la Résilience, RSSI face aux incidents majeurs.
byHenri HAENNI
La durée d'une formation en gestion de crise varie selon le niveau visé. Pour une sensibilisation des équipes : 1 à 2 jours. Pour une certification opérationnelle de Crisis Manager : la formation PECB Lead Crisis Manager dure 5 jours, examen inclus, alignée sur la norme ISO 22361:2022.
byPhani SRIPADA
ISO 22361:2022 et ISO 22301:2019 sont deux normes complémentaires de la famille sécurité et résilience. ISO 22301 définit un Système de Management de la Continuité d'Activité (SMCA) certifiable. ISO 22361 fournit des lignes directrices pour la gestion de crise — le moment où l'incident dépasse le cadre du plan de continuité.
byHenri HAENNI
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.