La directive NIS2 de l'UE oblige un nombre significativement plus élevé d'entreprises à respecter des normes de cybersécurité qu'auparavant. La mise en œuvre nationale en Allemagne (NIS2-UmsuCG) concerne environ 30 000 entreprises. Les entreprises concernées n'ont généralement pas encore commencé. Voici la feuille de route.
Qui est concerné
NIS2 fait la distinction entre essentiel et important établissements. Essentiels sont les grandes entreprises des secteurs à forte criticité (énergie, transport, banques, santé, infrastructures numériques). Les établissements importants sont des entreprises de taille moyenne de ces secteurs plus d'autres (poste, alimentation, chimie, fournisseurs numériques).
Seuils :
- Entreprise de taille moyenne : 50–249 employés ou Chiffre d'affaires annuel de 10 à 50 millions d'euros
- Grande entreprise : 250+ employés ou Chiffre d'affaires annuel > 50 millions d'euros
Aperçu des obligations
1. Mesures de gestion des risques (Art. 21)
- Concept d'analyse des risques et de sécurité des systèmes d'information
- Gestion des incidents de cybersécurité
- Gestion de la continuité des activités (BCM)
- Sécurité de la chaîne d'approvisionnement
- Sécurité lors de l'acquisition, du développement et de la maintenance des systèmes informatiques
- Concepts pour évaluer l'efficacité des mesures
- Concepts de cryptographie et de chiffrement
- Sécurité du personnel (sensibilisation, contrôle d'accès)
- Authentification multi-facteurs
2. Obligations de déclaration (Art. 23)
- Alerte précoce: 24 heures après avoir eu connaissance d'un incident de cybersécurité significatif
- Rapport: 72 heures après avoir eu connaissance — avec évaluation initiale
- Rapport final: Au plus tard 1 mois après la déclaration
3. Responsabilité de la direction
La direction doit approuver les mesures de cybersécurité et surveiller leur mise en œuvre. Obligation de formation pour la direction. Responsabilité personnelle en cas de violation. Sanctions
La feuille de route de 6 mois
Mois 1 : Évaluation de l'impact
Examen : Secteur + taille → essentiel/important/non concerné
- En cas d'impact : Obligation d'enregistrement auprès du BSI
- Inventaire des mesures de sécurité existantes
- Mois 2–3 : Analyse des écarts et concept
Analyse des écarts par rapport aux exigences NIS2
- Analyse des risques avec modélisation des menaces
- Feuille de route des mesures avec priorisation
- Atelier de gestion
- Mois 4–5 : Mise en œuvre des mesures essentielles
Mise en œuvre de l'AMF pour tous les points d'accès
- Protection des points de terminaison EDR/XDR
- Stratégie de sauvegarde + exercice de récupération après sinistre
- Documenter le plan de réponse aux incidents
- Formation à la sensibilisation pour tous les employés
- Mois 6 : Documentation et audit
Documentation ISMS
- Audit interne des mesures
- Collecte de preuves pour l'audit BSI
- Mécanismes de sensibilisation en cours activés
- Pour chaque client concerné par le NIS2, nous créons un
Ce que nous faisons chez TABAK
package NIS2 complet package NIS2 complet: Évaluation d'impact, analyse des écarts, feuille de route, mise en œuvre des mesures techniques, documentation ISMS. Nous coordonnons avec le partenaire de centre de données DAVINCIRechenzentrum pour la mise en œuvre technique. Durée typique du projet : 4 à 6 mois. Coûts typiques : 25 000 à 80 000 € selon la taille.
Vérifiez l'applicabilité de NIS2.
Nous clarifions lors d'une première consultation gratuite si vous êtes soumis à NIS2 et quelle serait la complexité de la mise en œuvre dans votre cas.
Demander un contrôle NIS2 →