Quelles preuves faut-il pouvoir présenter pour une préparation NIS 2 ?
Il faut pouvoir présenter des décisions de gouvernance, des évaluations de risques, des contrôles déployés, des éléments de réponse aux incidents et des résultats de tests/suivi.
La préparation se démontre par des preuves que les mesures sont définies, mises en œuvre et effectivement opérées. Cela inclut des responsabilités de gouvernance, des décisions de risques documentées et des éléments montrant comment les contrôles ont été sélectionnés et maintenus pour les actifs critiques.
Les preuves opérationnelles sont tout aussi importantes : plans d'intervention exercés, sensibilisation et formation, résultats de tests, et métriques illustrant la surveillance et l'amélioration continue.
Related Information
- La gouvernance doit être traçable (rôles, décisions, actions).
- Les risques doivent être liés aux services et actifs critiques.
- Les incidents doivent être testés et capitalisés (leçons apprises).
- Les tests doivent montrer la couverture et le suivi de remédiation.
- Les métriques doivent alimenter le pilotage et l'amélioration.
Expert Insight
Sans boucle de retour (écarts détectés, corrigés, re-testés), un programme paraît figé même si des contrôles existent.
Topics
Related Answers
À quoi ressemble une mise en œuvre NIS 2 au-delà d'une mise à jour de politiques ?
La mise en œuvre NIS 2 correspond à un programme opérationnel combinant gouvernance, risques, contrôles, réponse aux incidents, tests et amélioration mesurable.
byTania POSTIL
Que demande la directive NIS 2 aux organisations
La directive NIS 2 impose une gouvernance cybersécurité structurée, une gestion des risques et des mesures de sécurité adaptées. Elle exige aussi une capacité démontrée de gestion des incidents et de résilience.
byTania POSTIL
Comment le parcours structure-t-il la montée en compétence ? — pratique 2
Le programme progresse par modules alignés sur des compétences opérationnelles.
byTania POSTIL