Pilotez votre conformité NIS 2 de bout en bout.
La directive NIS 2 (UE 2022/2555) élargit considérablement le périmètre des organisations soumises à des obligations de cybersécurité, désignées comme entités essentielles ou importantes. CYBERACT vous aide à démontrer la maîtrise des risques exigée à l'article 21 et à respecter les délais de notification d'incidents de l'article 23, depuis une plateforme GRC souveraine hébergée en France.
Chaque exigence NIS 2, sa réponse CYBERACT.
Mesures de gestion des risques (Art. 21)
Les entités essentielles et importantes doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées : analyse des risques, sécurité des systèmes, continuité d'activité, sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités et formation.
Une analyse de risques structurée et reconnue
Le module d'analyse de risques s'appuie sur EBIOS RM et ISO 27005 pour identifier, évaluer et traiter vos risques, consolidés dans un registre central opposable.
Notification des incidents significatifs (Art. 23)
Toute entité notifie au CSIRT ou à l'autorité compétente une alerte précoce dans les 24 heures, une notification d'incident dans les 72 heures, puis un rapport final au plus tard un mois après la notification.
Un workflow de notification calé sur l'article 23
La gestion des incidents intègre les jalons NIS 2 : alerte précoce à 24h, notification à 72h et rapport final à 30 jours, avec suivi des échéances et qualification de la gravité.
Sécurité de la chaîne d'approvisionnement (Art. 21)
Les organisations doivent évaluer et maîtriser les risques liés à leurs fournisseurs et prestataires directs, en tenant compte des vulnérabilités propres à chaque partenaire et de la qualité de ses pratiques.
La maîtrise du risque fournisseur
Le module TPRM cartographie vos prestataires, les évalue et suit leurs plans d'action, en réponse à l'exigence de sécurité de la chaîne d'approvisionnement de l'article 21.
Responsabilité des organes de direction (Art. 20)
Les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en œuvre, peuvent être tenus responsables des manquements et doivent suivre des formations régulières.
Des référentiels pré-chargés et des audits cadrés
Les référentiels pré-chargés et le module d'audit ISO 19011 vous permettent d'évaluer votre conformité, de collecter les preuves et de documenter vos mesures.
Gestion des incidents et continuité (Art. 21)
Les entités disposent de procédures de traitement des incidents, de gestion de crise, de sauvegarde et de reprise pour garantir la continuité des activités essentielles.
Un pilotage lisible pour la direction
Les tableaux de bord consolident risques, incidents et plans d'action pour donner aux dirigeants la visibilité nécessaire à leur responsabilité (article 20).
Sanctions et supervision (Art. 31 à 34)
Les autorités disposent de pouvoirs de supervision et de sanction, incluant des amendes administratives significatives et des mesures correctrices contraignantes.
Une veille sur les menaces intégrée
Le module Threat Intelligence alimente votre gestion des risques et des vulnérabilités avec une connaissance actualisée des menaces.
Mon organisation est-elle concernée par NIS 2 ?
NIS 2 s'applique aux entités essentielles et importantes des secteurs visés, au-delà d'un certain seuil de taille. Le périmètre est nettement plus large que NIS 1. CYBERACT vous aide à structurer votre conformité une fois votre qualification confirmée auprès de l'autorité nationale.
Quels sont les délais de notification d'incident ?
L'article 23 prévoit une alerte précoce sous 24 heures, une notification sous 72 heures, puis un rapport final sous un mois. Le module de gestion des incidents structure ce séquencement et en assure le suivi.
CYBERACT couvre-t-il la chaîne d'approvisionnement ?
Oui. Le module TPRM permet d'identifier vos fournisseurs, de les évaluer et de suivre leurs mesures correctrices, en réponse à l'article 21.
Les données restent-elles en France ?
Oui. CYBERACT est une plateforme GRC souveraine hébergée en France, conçue pour les exigences de souveraineté des organisations soumises à NIS 2.
DORA
Le règlement DORA (UE 2022/2554) impose au secteur financier un cadre harmonisé de résilience opérationnelle numérique. Entités fi...
RGPD
Le RGPD (UE 2016/679) impose à tout organisme traitant des données personnelles des obligations strictes de documentation, de gest...
ISO 27001
ISO 27001:2022 concerne toute organisation qui veut certifier son système de management de la sécurité de l'information (SMSI). L'...
PCI-DSS
PCI-DSS v4.0 s'applique à toute entité qui stocke, traite ou transmet des données de cartes de paiement. L'enjeu est de tenir les ...
SOC 2
SOC 2 concerne les organisations de services qui doivent rassurer leurs clients sur la maîtrise de leurs systèmes. L'enjeu est de ...
Prêt pour NIS 2 ?
On part de votre périmètre réel et on vous montre la couverture en 30 minutes.