La conformité à la directive NIS 2 exige une approche de gestion des risques dirigée par le conseil d’administration, incluant la nomination d’un responsable, l’évaluation des actifs critiques, la formation du personnel et la préparation de plans de continuité et de réponse aux incidents.

• Décision : La direction doit nommer formellement un responsable de la sécurité de l’information (CISO), qui peut être une ressource interne, externe ou un membre du conseil d’administration formé à cet effet.
• Point Clé : La responsabilité personnelle des dirigeants est engagée en cas de manquement grave aux obligations de cybersécurité, transformant la conformité en un enjeu stratégique plutôt qu’un simple coût informatique.
• Action : Réaliser une évaluation des risques en identifiant les actifs critiques de l’entreprise (les ‘joyaux de la couronne’) et en hiérarchisant les menaces les plus probables comme le phishing et les ransomwares.
• Action : Élaborer un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA), en s’assurant que les sauvegardes suivent la règle ‘3-2-1-0’ (3 copies, 2 supports, 1 hors ligne, 0 erreur de test).
• Risque Identifié : Le non-respect de la directive expose l’entreprise à des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires, ainsi qu’à des sanctions commerciales et une perte de confiance des clients.