Prix
Essai

NIS2 Gouvernance de la cybersécurité

La norme NIS2 exige que l'organe de direction approuve les mesures de gestion des risques de cybersécurité prises pour se conformer aux règles et qu'il en supervise la mise en œuvre. En d'autres termes, il doit s'approprier la conformité de l'organisation à la norme NIS2 et ne peut se contenter de déléguer cette tâche au service informatique.

NIS2 Gouvernance de la cybersécurité

La norme NIS2 exige que l’organe de direction approuve les mesures de gestion des risques de cybersécurité prises pour se conformer aux règles et qu’il en supervise la mise en œuvre. En d’autres termes, il doit s’approprier la conformité de l’organisation à la norme NIS2 et ne peut se contenter de déléguer cette tâche au service informatique.

Comment le NIS2 définit-il la responsabilité de gestion ?

Dans le cadre de la NIS2, l' »organe de direction » est le groupe responsable en dernier ressort de la supervision de la cybersécurité au sein d’une organisation. L’identité de ce groupe dépend du type d’organisation :

Dans les entreprises privées, l’organe de direction est généralement le conseil d’administration, si l’entreprise en possède un, ou la direction générale, si l’entreprise n’a qu’une équipe de direction. Dans les entreprises disposant à la fois d’une équipe de direction et d’un conseil de surveillance, l’équipe de direction est considérée comme l’organe de direction. Pour les entreprises qui n’ont ni conseil d’administration ni direction générale, l’organe de direction est l’organe de gouvernance qui a la même autorité que le conseil d’administration ou l’équipe de direction.

Dans les pouvoirs publics, l’organe de gestion est la direction administrative au plus haut niveau, comme le directeur général, l’équipe de direction ou les chefs de service.

En d’autres termes, la définition s’adapte à la structure de gouvernance de l’organisation, mais dans tous les cas, elle fait référence au groupe au sommet qui détient le pouvoir de décision ultime.

Délégation de tâches

De nombreuses organisations créent des comités ou des groupes de travail spécialisés dans la cybersécurité ou la sécurité de l’information. Ces groupes peuvent préparer et superviser certains aspects de la gestion de la cybersécurité, mais la responsabilité globale incombe toujours à l’organe de direction dans son ensemble. Les tâches peuvent être déléguées, mais pas la responsabilité. La direction doit donc contrôler et s’assurer que les tâches déléguées sont correctement exécutées.

Responsabilité de la direction en matière de cybersécurité

L’organe de direction est responsable du pilotage des risques de cybersécurité au même titre que des risques financiers ou opérationnels. Il doit approuver les mesures techniques, organisationnelles et opérationnelles qui protègent les réseaux et les systèmes d’information de l’organisation. Il s’agit notamment de déterminer ce qui constitue un niveau de sécurité adéquat au regard de l’exposition aux risques de l’organisme et de l’importance des services qu’il fournit.

Les décisions de gestion définissent l’orientation à un niveau stratégique, par exemple les mesures à privilégier, les ressources à allouer et le moment où la protection est suffisante.

Surveillance

L’approbation des mesures de sécurité par la direction n’est qu’un début. La direction doit également assurer un suivi pour garantir que ces mesures sont mises en œuvre et efficaces contre les risques identifiés. Le contrôle de la direction peut prendre plusieurs formes, telles que

  • des rapports de gestion périodiques couvrant les objectifs, les plans d’action et les progrès réalisés,
  • des mises à jour sur les incidents, les vulnérabilités et les délais de réponse,
  • des processus d’audit interne qui relèvent directement de la direction,
  • des audits externes des exigences du NIS2, dont les conclusions sont communiquées à la direction,

L’essentiel est que la direction reçoive des informations claires et régulières et qu’elle les utilise pour décider si des ajustements ou de nouvelles actions sont nécessaires.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.