Mourez Politique NIS2 Faites de la cybersécurité une priorité absolue. Pas pour ce qui est de l'informatique. En haut du tableau.
L'article 20 de la directive crée une responsabilité personnelle pour les administrateurs et les administrateurs qui ne peuvent pas être délégués. En Allemagne, l'article 38 du BSIG précise encore cette responsabilité : une renonciation par l'entreprise à toute réclamation contre la direction est inefficace.
Cela signifie que si les obligations du NIS2 ne sont pas respectées, vous êtes personnellement responsable. Pas seulement l'entreprise.
Cette courte référence résume vos principales obligations. Imprimez-le. Raccrochez-les. Vérifiez régulièrement si tous les points ont été atteints.
Pourquoi cette liste de contrôle NIS2 existe
De nombreux directeurs généraux sous-estiment ce que NIS2 exige spécifiquement d'eux. La directive n'oblige pas seulement l'entreprise à se conformer. Cela exige de la direction qu'elle approuve activement, surveille et assume ses responsabilités de manière démontrable.
En cas de violation, il existe une menace Amendes pouvant aller jusqu'à 10 millions d'euros soit 2 % du chiffre d'affaires mondial annuel. Pour les grandes institutions, les directeurs généraux peuvent être temporairement exclus des fonctions de gestion. L'assurance D&O peut ne pas être pleinement efficace, car les violations réglementaires sont souvent exclues.
Les recommandations suivantes ne sont pas des recommandations. Ce sont des obligations légales.
Vos obligations en matière de NIS2 : la référence rapide
Approbation et approbation
Approuver officiellement les mesures de gestion des risques. L'article 20 NIS2 impose à la direction d'approuver les mesures de gestion des risques de cybersécurité. Impossible de déléguer. Une approbation documentée est requise.
Définissez un budget de sécurité approprié. Une budgétisation inadéquate malgré les risques connus entraîne une responsabilité personnelle. Documentez la base de vos décisions budgétaires.
Politiques et politiques de publication. consignes de sécurité, Plans de réponse aux incidents, les concepts de continuité d'activité nécessitent votre approbation documentée.
Approuver l'acceptation des risques par écrit. Si les risques résiduels sont acceptés, cela doit être approuvé par écrit par la direction. En Allemagne, une renonciation aux réclamations pour violations du NIS2 en vertu de la section 38 du BSIG est inefficace.
Surveillance et contrôle
Demandez des rapports de sécurité réguliers. Vous devriez recevoir des rapports sur l'état de la cybersécurité au moins une fois par trimestre. À lire avant les réunions. Posez des questions. Documenter.
Suivez la mise en œuvre des mesures. Vous devez surveiller la mise en œuvre, pas simplement l'approuver. Obtenir des rapports d'avancement
Corrigez les vulnérabilités identifiées. Lorsque des audits ou des évaluations révèlent des lacunes, assurez-vous que des mesures correctives sont prises et achevées.
Agissez lorsque des alertes se produisent. N'ignorez pas les conseils documentés du CISO, de l'équipe de sécurité ou des auditeurs externes. Cela crée une exposition d'adhérence maximale.
Formation continue personnelle
Formation complète sur la cybersécurité. Article 20, paragraphe 2, NIS2 Exige explicitement des organes de gestion qu'ils suivent des cours de formation afin d'acquérir des connaissances et des compétences suffisantes. Aucune exception pour les directeurs généraux.
Formation documentaire. Date, contenu, durée. Ces preuves sont pertinentes pour les audits.
Rafraîchissez régulièrement. En Allemagne, la mise en œuvre est recommandée au moins tous les trois ans. Les remises à niveau annuelles constituent une bonne pratique.
Devoirs organisationnels
assurer l'enregistrement auprès de l'autorité compétente. Les entreprises concernées doivent s'enregistrer auprès de l'autorité nationale. En Allemagne avec le BSI. Respectez les délais.
Établissez des canaux de signalement des incidents. Alerte précoce 24 heures sur 24 en cas d'incidents importants. Assurez-vous que les processus existent et fonctionnent.
Garantir la sécurité de la chaîne d'approvisionnement. L'article 21, paragraphe 2, point d), impose aux fournisseurs de satisfaire aux exigences de sécurité. Ajustez les contrats, évaluez les risques, surveillez en permanence.
Garantir la continuité des activités. gestion des sauvegardes, reprise après sinistre, gestion de crise doivent être mis en œuvre et testés.
exigences en matière de documentation
Consignez toutes les approbations par écrit. Protocoles, signatures, approbations formelles. En cas de litige, vous devez prouver que vous avez rempli vos obligations.
Documentez les bases de la prise de décisions. Pourquoi un budget spécifique a-t-il été approuvé ? Pourquoi un risque a-t-il été accepté ? Les raisons appartiennent aux dossiers.
Conservez des procès-verbaux des réunions portant sur des sujets liés à la sécurité. La cybersécurité devrait figurer régulièrement à l'ordre du jour. Enregistrez les discussions et les décisions.
Les dix domaines de sécurité visés par l'article 21
En tant que directeur général, vous devez savoir quels domaines couvre NIS2. L'article 21 définit dix domaines pour lesquels des mesures doivent être mises en œuvre. Votre tâche n'est pas la mise en œuvre technique, mais l'approbation et le suivi des mesures dans ces domaines.
Les dix domaines comprennent l'analyse des risques et les politiques de sécurité de l'information, le traitement des incidents et la gestion des incidents, la continuité des activités et la gestion des crises, la sécurité de la chaîne d'approvisionnement, le développement et l'approvisionnement de systèmes sécurisés, l'évaluation de l'efficacité des mesures, hygiène cybernétique et la formation, l'utilisation de la cryptographie, le contrôle d'accès et la gestion des actifs, ainsi que l'authentification multifactorielle et les communications sécurisées.
Pour chacun de ces domaines, vous devez comprendre quelles mesures votre organisation a mises en œuvre et comment leur efficacité est évaluée.
Qu'est-ce qui est imminent en cas de manquement à une obligation
Les conséquences d'un manquement à une obligation du NIS2 sont importantes. Les institutions importantes sont passibles d'amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour les institutions importantes, les amendes maximales sont de 7 millions d'euros, soit 1,4 % du chiffre d'affaires.
En outre, les autorités de surveillance peuvent émettre des instructions contraignantes, ordonner des audits, rendre publiques les violations et interdire temporairement aux directeurs généraux d'exercer des fonctions de direction dans les grandes institutions.
La responsabilité personnelle envers l'entreprise est ajoutée. Si l'entreprise subit des dommages à la suite d'un incident et que la direction 2 ANS- a manqué à ses obligations, les actionnaires peuvent demander une indemnisation. L'article 38 du BSIG indique clairement que l'entreprise ne peut pas effectivement renoncer à ces réclamations.
Évitez les erreurs courantes
Délégation complète à l'informatique. La mise en œuvre opérationnelle peut être déléguée. Pas d'approbation ni de surveillance. Ils restent responsables.
Absence de documentation. En cas de doute, ce qui n'est pas documenté n'a pas eu lieu. Votre défense dépend des preuves.
Ignorez les alertes. Si votre équipe de sécurité signale des risques et que vous n'agissez pas, il s'agit d'une négligence documentée.
Des budgets inadéquats sans justification. Le sous-financement constant de la sécurité malgré les risques connus entraîne une exposition personnelle.
Mlle l'entraînement. L'obligation de poursuivre l'éducation personnelle est explicitement énoncée dans la loi. Aucune excuse.
Le calendrier
La date limite de transposition du NIS2 était le 17 octobre 2024. De nombreux États membres n'ont pas respecté cette date limite et travaillent toujours à la mise en œuvre au niveau national. Mais cela ne signifie pas que vous devez attendre.
Les exigences fondamentales sont clairement définies dans la directive. Les entreprises qui commencent à se préparer dès maintenant ont un avantage. Dès l'entrée en vigueur de la législation nationale, la conformité est attendue immédiatement. Il n'y a généralement pas de période de transition.
Pour les entreprises allemandes : Loi de mise en œuvre du BSIG précise les exigences. Attendez-vous à ce que l'application commence dès que la mise en œuvre nationale sera terminée.
Prochaines étapes pour les directeurs généraux
Commencez par faire le point. Vérifiez si votre entreprise entre dans le champ d'application. Les critères sont l'appartenance au secteur et les seuils de taille d'au moins 50 employés ou 10 millions d'euros de chiffre d'affaires et de total du bilan.
Laissez un Réaliser une évaluation des lacunes, qui établit un équilibre entre votre statut actuel et les exigences du NIS2. Les résultats indiquent les domaines dans lesquels des mesures sont nécessaires.
Planifiez votre entraînement personnalisé. N'attendez pas que quelqu'un les organise. Demandez-les.
Établir des rapports de sécurité réguliers à l'intention de la direction, s'ils ne sont pas déjà disponibles. Un trimestre est un minimum.
À partir de maintenant, documentez toutes les approbations et décisions en matière de cybersécurité. En cas d'urgence, cette documentation est votre défense.
Kertos
Kertos aide les directeurs généraux à respecter de manière vérifiable leurs obligations NIS2. Notre plateforme fournit des tableaux de bord sur l'état de sécurité, une documentation des approbations et des activités de surveillance, ainsi que des pistes d'audit pour la défense réglementaire. 80 % d'efforts en moins qu'avec les consultants traditionnels.
Commencez votre activité gratuitement Évaluation de l'écart entre le NIS2.
