le (gros) paquet de la législation UE publié le 27 décembre 2022
Vous trouverez dans ce post la version intégrale en BD de la synthèse de la Directive NIS dite « v2 » que j’ai eu le plaisir de présenter le 11 avril 2023 au salon IT PARIS 2023.
Le titre exact de ce chef d’oeuvre de la littérature cyber sécurité ? Directive UE n°2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)
Evidemment, 15 minutes, c’est un peu court pour ce texte de l’UE qui doit faire l’objet d’une loi nationale avant le 18 octobre 2024…
Sécurité physique ? Sécurité numérique ? Les deux, mon Général !
... et la Directive "résilience des entités critiques", c'est QUE la sécurité PHYSIQUE !!!
Une transposition OBLIGATOIRE au plus tard le 18 octobre 2024
faisons simple : si vous êtes "entité critique", vous appliquez aussi obligatoirement NISv2 !
la liste OBLIGATOIRE des secteurs critiques / essentiels / importants
Pour vous sentir concerné(e) pour de vrai, regarder le niveau de sanction pécuniaire... Lisez bien...
Directive NISv2 les nouvelles catégories "d'entités" (pour ne pas confondre avec les "opérateurs" de la Directive NIS#2016)
NISv2 s'applique aux entités ESSENTIELLES / importantes privées ou publiques...
Ne cherchez pas, ce sont les états qui désignent les entités ESSENTIELLES (avec toute une série de critères obligatoires dont je vous passe le détail compliqué)
RAPPEL la désignation des entités concernées sous le régime de la Directive NIS#2016
... et le traditionnel rappel désagréable pour celles et ceux qui vont y passer...
NISv2 : l'obligation de cyber sécurité à l'état de l'art !
NISv2 : l'obligation de cyber sécurité expliquée par des ingénieurs avec des mots techniques
... avant que vous ne me posiez la question de l'application des normes ISO, voici ce qui est écrit dans NISv2 (ça devrait répondre à la question que vous n'avez pas eu le temps de me poser...)
RAPPEL : une définition de "l'état de l'art" ? Et l'obligation pour les pro d'être "à l'état de l'art" ?
Dans NISv2, y'a toute une liste des plans et des procédures OBLIGATOIRES... SYNTHESE en 1 slide.
RAPPEL (pour pouvoir anticiper) : les 5 obligations technico-juridiques dans NIS version 2016
RAPPEL (encore) : les 23 points de sécurité OBLIGATOIRE pour les opérateurs selon NIS v2016...
Vous devriez relire ce que vous pensez être une désormais classique obligation de notifier les incidents de sécurité...
Quelques points ORGA + JURIDIQUES à retenir à propos de NISv2
Mettre vos contrats de service / SaaS / PaaS / SaaS à jour ? Ce n'est pas moi qui vous le suggère, c'est l'UE qui va vous l'imposer !!!
Mais qui sont donc ces professionnel(le)s qui doivent mettre leur contrat à jour en application de NISv2 ? (vous allez voir, la liste est courte mais très, très large !!!)
Quand vous commencez à lire ce genre de chose dans une Directive cyber sécurité de l'UE, vous devriez réfléchir à l'avenir...
NISv2 SYNTHESE de ce qu'il faut faire et au plus tard pour quand...
Merci de votre attention et pardon pour certains raccourcis (mais bon, 90 pages expliquées en 15 mn, comment faire autrement ?)
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Fléau des dieux (Le) » série EX-CEP-TION-NELLE en 6 tomes par Valérie Mangin et Aleksa Gajic (dessinateur et coloriste de génie) © éditions Soleil 2000-2006