La directive NIS 2 vise à améliorer la résilience des infrastructures critiques et à renforcer la capacité de réponse aux cyberattaques à l'échelle de l'Union européenne.
Ces changements ont pour objectif de faire face aux défis croissants en matière de cybersécurité et d'assurer un niveau élevé de protection des réseaux et des systèmes d'information dans l'ensemble de l'UE.
Au programme :
NIS 2 : 10 mesures de sécurité à suivre
L'article 21 de NIS 2 prévoit 10 mesures minimum de sécurité obligatoires :
- Les politiques relatives à l’analyse des risques et à la sécurité des SI
- La gestion des incidents (notification et reporting)
- La continuité des activités (sauvegarde, stockage) et la gestion de crise
- La sécurité de la chaîne d’approvisionnement
- La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des SI
- Des politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
- Des politiques de base en matière de cyber hygiène et la formation à la cybersécurité
- Les politiques et procédure d’utilisation de la cryptographie et du chiffrement
- La sécurité des RH, des politiques de contrôle d’accès et de la gestion des actifs
- L’utilisation de solutions d’authentification à plusieurs facteurs ou de l’authentification continue, de communication vocales, vidéos et textuelles sécurisées, et de systèmes sécurisés de communication d’urgence
Comment IDECSI peut vous aider dans votre mise en conformité avec NIS 2 ?
La solution IDECSI permet d'outiller les RSSI dans leur mise en conformité autour de la gouvernance, la détection, la réponse ainsi que la protection et le contrôle des actifs et la sécurité des données.
Notre plateforme de supervision des données permet de répondre à certaines de ces exigences :
- Audit des politiques de contrôle d'accès, audit des permissions
- Réduire la surface d'attaque grâce à une analyse de risque sur l'accès aux données
- Revue de droits (nettoyage) par les utilisateurs - cyber hygiène
- Implication des utilisateurs via une interface dédiée (sensibilisation, formation, responsabilisation)
- Sécurité des utilisateurs et de leurs données (notification)