NIS2 Lead Implementer

Jour 1 :

RGS, LPM, NIS 1 RGPD, DORA, CRA, Cyberscore : contexte et champs d’application de NIS 2

• Notions juridiques de base et vocabulaire
  • Différence entre Directive et Règlement européen
  • Notion de transpositions et exemple pratique avec NIS 1
• Contexte des réglementations en matière de cybersécurité
  • Évolutions au niveau européen
  • Spécificités issues des lois françaises
  • Données personnelles, données hautement personnelles, notions de données sensibles, données soumises aux secrets : définir pour mieux protéger
• Transposition de NIS 2 en droit français
• A qui s’applique NIS 2 ?
  • Champ d’application direct
  • Champ d’application indirect via l’effet de ruissellement
  • Registre de traitements
• Résumé des principales exigences
  • Notion de formation des dirigeants et des personnels
  • Supervision par l’ANSSI et sanctions
  • Comparatif entre les différentes réglementations et référentiels cybersécurité

Jour 2 :

Implémenter NIS 2

• Les processus à mettre en œuvre ou devant évoluer
  • Gouvernance Cybersécurité : rôles et responsabilités, comitologie, implication des décideurs
  • Gestion des relations avec les autorités
  • Gestion des risques et des actifs
  • Gestion de la surveillance, des incidents et des crises
  • Gestion des vulnérabilités et de la conformité techniques
  • Gestion de la chaine d’approvisionnement et des tiers : organisation des responsabilités
  • Gestion de la production et de l’exploitation du système d’information
  • Gestion des développements
  • Gestion de l’audit et des contrôles
  • Gestion de la cryptographie
  • Gestion des ressources humaines
  • Gestion de la sensibilisation et la formation
  • Gestion des identités et des accès
  • Gestion de la résilience et de la continuité d’activité
• La documentation à formaliser ou mettre à jour
  • Politiques de sécurité
  • Exigences vis-à-vis des tiers et Plan d’Assurance Sécurité
  • Programme de contrôles et d’audit
  • Procédures de sécurité
  • Référentiel juridique (détaillée jour 5)

Jour 3 :

Les principales mesures techniques visées par NIS 2

• Scénarios d’attaques classiques
• Cartographie des systèmes d’information
• Contrôles d’accès (identification, authentification, droit d’accès, etc.)
• Architecture sécurisée
• Sécurité de l’administration
• Gestion des accès distants
• Journalisation et détection des incidents
• Maintien en condition de sécurité
• Sécurité physique et environnementale
• S’évaluer : les différents types d’audits techniques

Jour 4 :

Implémenter NIS 2 : La démarche projet autour d’une étude de cas

• Analyse d’écart : identifier dans l’existant les éléments de conformité, identifier les manques et pouvoir construire et valoriser le plan d’actions
• Présentation des étapes du plan d’actions type
  • Quick-Win vis-à-vis de l’existant
  • Evolution de l’organisation autour de la Cybersécurité
  • Révision de l’appréciation des risques : les scénarios minimums attendus
  • Gérer les évolutions des solutions techniques
  • Mise en œuvre des nouvelles activités
  • Piloter les changements avec les tiers
  • Auditer et contrôler

Jour 5 

Implémenter NIS 2 : l’angle juridique

• Les conséquences sur l’opposabilité des règles en interne : gestion, optimisation ou mise à jour des chartes d‘utilisation des outils numériques
  • Cas des salariés
  • Cas des accès privilégiés
  • Respecter la vie privée tout en assurant la cybersécurité : les mécanismes et procédures à mettre en œuvre
  • BYOD et COPE, cloud, réseaux sociaux, décès, IA : intégrer les contraintes
  • Exemples de formulations (et donc de chartes) inapplicables
  • Exigences et cadre des contrôles réalisables
• Les conséquences contractuelles : rapports avec les clients, partenaires et prestataires
  • Choix des prestataires et encadrements contractuels
  • Exigences des régulateurs et de la réglementation dans le rapport avec les prestataires
  • Rendre possible la conformité contractuelle
  • Le cas des clients et des partenaires

Bilan & Fin de session

Echange et transmission d’information complémentaire.

Remise d’un support de cours format dématérialisé au stagiaire en début de session.

Profil Intervenant :

1 Spécialiste en Cybersécurité : Expert technique en sécurité informatique

2 Avocat spécialisé dans les aspects juridiques et réglementaires liés à la sécurité informatique et à la Directive NIS 2.

Autres formation disponible : 

Formation DPO Data Protection Officer

Nouvelles règles relatives à la protection des données- RGPD

Article

• https://formation-cn.fr/actualites/maitrisez-la-directive-nis-2-une-formation-complete-pour-la-securite-informatique-et-la-conformite-reglementaire/