Mise en conformité à la directive NIS 2

Préparez-vous dès aujourd'hui à la conformité NIS 2 et renforcez votre cybersécurité

Préparez-vous à la Directive NIS 2 en toute confiance

La Directive NIS 2 (“Network and Information Security”) concerne les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Vous y préparer en étant bien accompagné est essentiel, car elle accroît notamment la responsabilité des dirigeants exécutifs (C-Level), les rendant directement responsables de la conformité.

En cas de manquements, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est habilitée à imposer des sanctions sévères. Pour les entités dites essentielles, cela peut inclure la suspension des certifications, une interdiction temporaire de l’exercice des fonctions de direction, ainsi que des amendes administratives d’un montant maximal s’élevant à au moins 10 millions d'euros, ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.

La conformité à la Directive NIS 2 est bien plus qu'une obligation légale, c'est un investissement stratégique qui forge la résilience face aux cybermenaces, tout en renforçant la gestion des risques, assurant ainsi la sécurité aujourd'hui et anticipant les défis de demain.

Fabrice Garnier de Labareyre, Associé Cyber Intelligence, PwC France et Maghreb

Vous accompagner sur vos enjeux

Renforcer la prise de conscience du management pour les risques cybersécurité

Dans le cadre de la directive NIS 2, les organes de direction des entités essentielles et importantes devront imposer les mesures de gestion des risques en matière de cybersécurité et superviser leur mise en œuvre. La directive NIS 2 établit également des exigences en matière de sensibilisation des utilisateurs et de formation pour les rôles stratégiques. Chez PwC, nous accompagnons nos clients dans la refonte de programmes de gestion de risques globaux incluant une taxonomie homogène, une cartographie des risques prenant pleinement en compte vos spécificités locales, ainsi qu'un processus harmonisé impliquant notamment les dirigeants exécutifs.

Renforcer la gestion des incidents pour une meilleure résilience

En vertu de la directive NIS 2, les entités essentielles et importantes doivent disposer d'un cadre robuste pour la gestion des incidents, régulièrement testé et communiqué à toutes les parties concernées. Les entités régulées sont désormais tenues de signaler à l’ANSSI, sans délai injustifié, tout incident ayant un impact significatif sur la prestation de leurs services. 

En ce sens, nous vous proposons des services de bout en bout, de la création de plans de réponse robustes jusqu'à l'évaluation de leurs efficacité opérationnelle. 

Prioriser la protection des systèmes d’information sensibles

Conformément à la directive NIS 2, les entités essentielles et importantes doivent prioriser la protection des systèmes “cœur de confiance", éléments centraux du système d'information. Cela implique notamment de mettre l'accent sur la gestion des accès privilégiés et la sécurisation des services d'annuaires (zero-trust, gestion et sécurisation des ressources d’administration, stratégies de segmentation, protocoles d’accès-à-distance,…). En particulier, la sécurisation des périmètres OT (Operation Technology) présente des défis majeurs pour les entités régulées. Nous accompagnons nos clients sur des programmes de sécurisation des réseaux et systèmes industriels en lien avec les meilleures pratiques du marché (NIST SP800-82, ISO27019 et IEC62443).

Maîtriser les risques liés aux tiers

Dans le cadre de la directive NIS 2, les entités essentielles et importantes doivent gérer les risques liés aux tiers. Chez PwC, nous menons des évaluations approfondies des risques liés aux tiers (exemple: chaîne d'approvisionnement) et optimisons le pilotage de la gestion cyber de vos partenaires. De la sélection initiale à la surveillance continue, notre engagement est de renforcer la sécurité tout en préservant l'efficacité opérationnelle.

Pourquoi faire appel à PwC ?

PwC France et Maghreb a mis en place une équipe dédiée NIS 2, composée d’experts pluridisciplinaires :

  • Des équipes expérimentées dans la gestion des questions réglementaires (LPM, DORA, SWIFT)

  • Des experts réglementaires et juridiques présents tout au long du projet 

  • En décembre 2023, PwC est le seul cabinet des BIG 4 à être qualifié PASSI, PASSI LPM, et PRIS par l’ANSSI

Le Managed Cyber Risk (MCR) évalue la conformité NIS 2 de votre organisation, en utilisant des évaluations pragmatiques pour mesurer les risques, et propose des remédiations ciblées.

Threat Watch offre une veille stratégique pour anticiper diverses menaces, assurant une longueur d'avance sur les risques cybernétiques et autres.

 

Nos experts NIS 2 sont connectés avec les experts du réseau PwC pour partager leurs expériences et connaissances des exigences et des meilleures pratiques en matière de résilience opérationnelle numérique au niveau européen et international.

Des solutions pour répondre à vos enjeux de cybersécurité

Conseil en Cybersécurité

Suivez-nous !

Contactez-nous

Fabrice Garnier de Labareyre

Fabrice Garnier de Labareyre

Associé Cyber Intelligence, PwC France et Maghreb

David Luponis

David Luponis

Associé, Digital Risks Services, PwC France et Maghreb

Bichr Chenguiti

Bichr Chenguiti

Directeur Cyber Intelligence, PwC France et Maghreb

Masquer