SOOIZ propose ses services pour vous accompagner à démarrer une démarche de conformité à la directive Européenne NIS 2.
La mise en œuvre de toutes les mesures exigées par la directive peut être un projet plus ou moins long et complexe en fonction en particulier de la taille de votre organisation mais surtout des mesures de sécurité déjà mises en œuvre pour protéger votre système d’information.
Pour cette raison, nous proposons dans un premier temps de réaliser pour commencer un diagnostic. Celui-ci permettra de mettre en place une feuille de route à 12 mois, 24 mois, 36 mois et d’estimer l’effort à réaliser pour être conforme.
Du fait de notre expérience sur ISO 27001, notre approche consistera en la mise en place d’un système de management de la sécurité de l’information (SMSI).
Un SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information (CID).
Une différence majeure entre ISO27001 et la directive NIS 2 est que dans le premier cas, vous choisissez le périmètre que vous souhaitez certifier. Dans le cas de NIS 2, tout le périmètre à risque cyber est à prendre en compte.
2025 : Le texte n’est pas encore transposé en loi Française, MAIS
A la différence d’un règlement, comme le RGPD, une directive Européenne n’est pas applicable en l’état dans les pays membres de l’UE. Ces derniers doivent prendre en compte le texte, le transposer, dans leur propre droit.
En théorie, les pays membres de l’UE avaient jusqu’à fin 2024 pour transposer le texte. Certains l’ont fait, la France a pris du retard, notamment du fait des aléas de l’agenda politique.
Malgré tout, il existe d’une part un règlement d’exécution Européen, donc directement applicable. Ce règlement s’adresse en particulier aux prestataires de services numériques depuis Octobre 2024.
Quelques sources sur le sujet :
- Le règlement d’exécution : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202402690
- Guide d’implémentation de l’ENISA : https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
- Rapide présentation en BD : https://ledieu-avocats.fr/nis2-entites-et-reseaux-critiques-reglement-d-execution-2024-2690-du-17-octobre-2024-conference-numeum-ledieu-avocats/
D’autre part, compte tenu de la complexité à mettre en œuvre les mesures de sécurité, réaliser un premier état des lieux et définir une feuille de route permet de prendre un peu d’avance. Cela permet également de gagner en visibilité pour anticiper l’effort et les budgets requis.
D’autant plus que la directive, comme dans toutes les règles de bonnes pratiques Cyber, implique un contrôle de ses fournisseurs et sous traitants. Aussi, que vous soyez concerné directement par la norme, ou non, vos donneurs d’ordre pourraient rapidement vous challenger sur votre niveau de cybersécurité.
Déroulement d’un projet de conformité NIS2
Notre méthodologie projet consiste en la mise en place d’un SMSI pour se conformer aux exigences de la directive NIS2. Le projet se déroule en général en 4 grandes phases.
SOOIZ est en mesure de vous accompagner sur chacune de ces phases, tout en réalisant une formation en continue pendant le déroulement du projet.
Initialisation
Cette phase préliminaire au lancement du projet à proprement parler, se déroule en avant-vente.
Elle nous permet de comprendre vos enjeux, votre organisation, afin de vous conseiller sur la stratégie à adopter.
A la fin de cette phase, nous serons en mesure de vous proposer une organisation projet, un plan de charge et un macro planning. Cette phase vous permettra d’estimer les budgets nécessaire et de valider ou non le lancement de votre projet de certification.
Feuille de route
Pour réaliser la feuille de route, il faudra approfondir la phase d’initialisation.
Dans cette phase, nous entrerons plus dans le détail de vos enjeux et de vos processus. Nous réalisons un diagnostic de maturité détaillé, nous identifierons les principaux actifs critiques, les rôles et responsabilités.
A l’issue de cette phase, vous aurez une feuille de route relativement détaillée pour vous permettre d’estimer l’effort à réaliser pour vous conformer aux exigences de NIS 2.
Implémentation
La phase d’implémentation consiste à réaliser un SMSI.
C’est à dire réaliser l’analyse des risques, de rédiger les politiques, les procédures et les instructions.
A l’issue de cette phase le SMSI doit être complet et fonctionnel pour entrer dans l’amélioration en continue et mettre en œuvre les mesures de sécurité.
Fonctionnement
La phase de fonctionnement va viser à étaler la mise en conformité dans la durée.
Dans cette phase nous implémenteront les mesures qui n’auront pas été mises en œuvre dans la phase d’implémentation ainsi que des mesures visant à diminuer des risques.
En phase de fonctionnement vous avez adopté une bonne hygiène en matière de cybersécurité, vous détectez les menaces, vulnérabilités, évènements, incidents et vous fonctionnez en amélioration continue.
Comment commencer ?
Si vous vous posez des questions quant à l’impact de NIS2 pour votre organisation, ou la pertinence de la certification ISO 27001.
Si vous hésitez à vous orienter vers une certification de type SecNumCloud par exemple.
N’hésitez pas à nous contacter.
Nous organiserons un premier rendez-vous, physique ou à distance, et nous répondrons à vos interrogations.
Les avantages de se baser sur un SMSI ISO27001 pour aborder la mise en conformité à NIS2
S’appuyer sur un Système de Management de la Sécurité de l’Information (SMSI) conforme à ISO 27001 permet de structurer la mise en conformité NIS2 autour d’une démarche déjà éprouvée de gestion des risques et d’amélioration continue.
Plutôt que de traiter NIS2 comme un “projet de plus”, vous capitalisez sur un cadre qui organise la gouvernance, les responsabilités, les processus et les preuves attendues, tout en restant adaptable à votre contexte.
Un socle méthodologique déjà prêt
- ISO 27001 fournit une méthode claire pour inventorier vos actifs, analyser les risques et définir un plan de traitement, ce qui répond directement aux exigences NIS2 en matière d’approche basée sur les risques.
- En réutilisant cette méthodologie, vous évitez de repartir de zéro, réduisez le temps de cadrage et sécurisez vos décisions grâce à un cadre reconnu internationalement.
Une meilleure gouvernance et une responsabilité clarifiée
- Le SMSI ISO 27001 met déjà au centre la direction, la définition des rôles et responsabilités, les instances de pilotage et le suivi régulier des objectifs sécurité, éléments également attendus par NIS2.
- Cette gouvernance en place facilite l’appropriation de NIS2 par les dirigeants, la démonstration de leur implication et la validation des moyens nécessaires (budgets, ressources, arbitrages).
Des processus réutilisables pour répondre aux exigences NIS2
- Les processus clés (gestion des incidents, gestion des changements, continuité d’activité, gestion des fournisseurs, sensibilisation) sont déjà structurés dans un SMSI et peuvent être ajustés pour couvrir précisément les exigences de la directive.
- Plutôt que de multiplier les dispositifs, vous consolidez vos pratiques dans un ensemble cohérent, plus simple à maintenir, à auditer et à expliquer à vos parties prenantes.
Une documentation et des preuves déjà cadrées
- ISO 27001 impose une documentation maîtrisée (politiques, procédures, registres, rapports d’audit, revues de direction) qui peut servir directement de base pour démontrer votre conformité lors de contrôles liés à NIS2.
- Vous gagnez ainsi du temps sur la production de preuves, limitez les “usines à gaz” documentaires créées dans l’urgence et améliorez la lisibilité pour les autorités, clients et partenaires.
Une démarche évolutive, alignée sur vos enjeux
- Un SMSI est conçu pour évoluer : il intègre la revue régulière des risques, des mesures et des objectifs, ce qui correspond bien à la logique de réévaluation permanente promue par NIS2.
- En adoptant cette approche, vous ne visez pas uniquement la conformité à une date donnée, mais une trajectoire de maturité cybersécurité qui accompagne durablement vos enjeux métiers et réglementaires.
Secteurs géographiques d’intervention
Basé en Charente, avec une présence dans le Maine-et-Loire.
J’interviens facilement en région Nord Nouvelle Aquitaine et Pays de La Loire
- Angoulême, Bordeaux, Poitiers, Niort, La Rochelle, Limoges, Périgueux
- Angers, Nantes, Cholet, Laval, Tours, La Roche-sur-Yon, Le Mans, Rennes
Carte des principaux départements couverts