ISMS Copilot
La directive NIS2 avec l'IA

Comment réaliser une évaluation des risques NIS2 à l'aide de l'IA

Aperçu

Vous apprendrez comment utiliser l'IA pour mener une évaluation des risques NIS2 complète et conforme à l'article 21. Ce guide couvre l'approche « tous risques » requise par la directive, l'identification des risques cyber et non-cyber, l'application du principe de proportionnalité, l'élaboration d'une méthodologie de risque adaptée à votre type d'entité, la création de registres de risques détaillés, l'analyse de votre paysage de menaces et la mise en correspondance du traitement des risques avec les dix domaines de mesures de l'article 21.

À qui s'adresse ce guide

Ce guide s'adresse aux :

  • Responsables des risques et RSSI chargés des processus d'évaluation des risques NIS2.

  • Responsables de la conformité élaborant ou mettant à jour les cadres de gestion des risques pour NIS2.

  • Consultants en sécurité réalisant des évaluations des risques NIS2 pour des clients dans des secteurs critiques.

  • Responsables informatiques qui doivent traduire les exigences de l'article 21 en plans d'action concrets pour le traitement des risques.

  • Membres des organes de direction qui doivent approuver les mesures de gestion des risques et comprendre leur responsabilité personnelle en vertu de l'article 20.

Avant de commencer

Vous aurez besoin de :

  • Un compte ISMS Copilot (essai gratuit disponible).

  • Votre détermination du champ d'application NIS2 (classification d'entité essentielle ou importante) -- voir Comment débuter l'implémentation de NIS2 avec l'IA si vous ne l'avez pas encore fait.

  • Un inventaire de vos systèmes d'information, réseaux et services critiques.

  • Votre documentation actuelle d'évaluation des risques (le cas échéant).

  • L'approbation de l'organe de direction pour le processus d'évaluation des risques (Article 20).

L'article 21, paragraphe 1, de la directive NIS2 exige une approche de « tous risques » fondée sur le risque. Cela signifie que votre évaluation des risques doit prendre en compte non seulement les cybermenaces, mais aussi les risques physiques, environnementaux, humains et liés à la chaîne d'approvisionnement qui pourraient affecter la sécurité de vos réseaux et systèmes d'information.

Comprendre les exigences de l'évaluation des risques NIS2

Ce que l'article 21 exige

L'article 21, paragraphe 1, de la directive NIS2 dispose que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information que ces entités utilisent pour leurs activités ou pour la fourniture de leurs services. Ces mesures sont fondées sur une approche « tous risques » et visent à protéger les réseaux et les systèmes d'information, ainsi que leur environnement physique, contre les incidents.

L'approche « tous risques » signifie que votre évaluation doit porter sur :

  • Cybermenaces : Ransomware, phishing, menaces persistantes avancées (APT), DDoS, compromission de la chaîne d'approvisionnement, menaces internes.

  • Menaces physiques : Accès physique non autorisé, vol d'équipement, sabotage, vandalisme.

  • Menaces environnementales : Catastrophes naturelles, inondations, incendies, pannes de courant, événements météorologiques extrêmes.

  • Facteurs humains : Erreur humaine, ingénierie sociale, formation insuffisante, dépendance à l'égard de personnes clés.

  • Risques liés à la chaîne d'approvisionnement : Compromission d'un fournisseur, dépendance vis-à-vis d'un vendeur unique, vulnérabilités de tiers.

  • Défaillances techniques : Panne matérielle, défauts logiciels, saturation des capacités, erreurs de configuration.

Point d'attention pour l'audit : Les autorités de contrôle vérifieront si votre évaluation des risques adopte réellement une approche « tous risques » ou si elle se concentre uniquement sur les cybermenaces. Les évaluations ignorant les risques physiques, environnementaux ou humains seront signalées comme non conformes à l'article 21(1).

Le principe de proportionnalité

L'article 21(1) stipule explicitement que les mesures doivent être proportionnées à :

  • L'exposition de l'entité aux risques.

  • La taille de l'entité.

  • La probabilité de survenance des incidents et leur gravité.

  • L'impact sociétal et économique des incidents.

Cela signifie qu'un petit fournisseur de services gérés classé comme entité essentielle aura des attentes de contrôle différentes de celles d'un grand fournisseur d'énergie, même si les deux doivent couvrir les dix domaines de mesures. Votre évaluation des risques doit documenter la manière dont la proportionnalité a été appliquée.

Comment l'IA transforme l'évaluation des risques NIS2

L'évaluation traditionnelle des risques pour NIS2 nécessite une expertise approfondie dans de multiples domaines de menaces, une connaissance sectorielle et la capacité de relier des centaines de risques à des mesures de contrôle. ISMS Copilot accélère ce processus en :

  • Intelligence sur les menaces sectorielles : Génération de paysages de menaces adaptés à votre secteur spécifique sur la base des rapports ENISA et des schémas d’attaque réels.

  • Identification exhaustive des risques : Garantie d'une couverture « tous risques » en générant systématiquement des scénarios de risque dans toutes les catégories de menaces.

  • Notation cohérente : Application uniforme des critères de probabilité et d'impact sur des centaines de scénarios de risque.

  • Correspondance des contrôles : Mise en correspondance automatique des risques identifiés avec les domaines de mesures appropriés de l'article 21 et les contrôles spécifiques.

  • Génération de registres de risques : Production de registres de risques structurés et prêts pour l'audit en quelques minutes au lieu de plusieurs semaines.

Étape 1 : Définir votre méthodologie d'évaluation des risques

Pourquoi la méthodologie est prioritaire

Avant d'identifier tout risque, vous devez établir et documenter votre méthodologie d'évaluation. Les autorités de contrôle vérifieront qu'une méthodologie existe, qu'elle a été approuvée par l'organe de direction et qu'elle a été appliquée de manière cohérente à tous les risques évalués.

Construire la méthodologie avec l'IA

  1. Générer le cadre méthodologique :

    "Créez une méthodologie complète d'évaluation des risques NIS2 pour une organisation du secteur [secteur] classée comme entité [essentielle/importante] comptant [nombre d'employés] salariés. La méthodologie doit : adopter une approche « tous risques » conformément à l'article 21(1), inclure les étapes d'identification, d'analyse, d'évaluation et de traitement des risques, définir des échelles de probabilité et d'impact (5 niveaux), inclure le calcul du risque et les critères d'acceptation du risque, traiter le principe de proportionnalité et être adaptée à une approbation par notre organe de direction."

  2. Définir les critères d'impact adaptés à NIS2 :

    "Créez des critères d'évaluation d'impact spécifiques à NIS2 couvrant cinq dimensions : (1) perturbation opérationnelle des services essentiels/importants, (2) perte financière incluant les sanctions réglementaires potentielles jusqu'à [10M/7M] EUR ou [2%/1,4%] du CA, (3) impact sur d'autres entités et secteurs (effets en cascade), (4) nombre d'utilisateurs/destinataires affectés, et (5) impact réputationnel et sociétal. Fournissez une échelle de 5 niveaux avec des exemples concrets pour chaque dimension pertinente pour une organisation du secteur [secteur]."

  3. Définir les critères de probabilité :

    "Créez des critères d'évaluation de la probabilité des risques pour notre évaluation NIS2. Incluez une échelle de 5 niveaux (Rare/Improbable/Possible/Probable/Quasi certain) avec : des définitions basées sur la fréquence, des définitions basées sur les capacités des menaces et des exemples sectoriels spécifiques. Référez-vous aux données actuelles du paysage des menaces de l'ENISA pour notre secteur [secteur]."

  4. Établir les seuils d'acceptation des risques :

    "Définissez les critères d'acceptation des risques pour la conformité NIS2. L'appétence au risque de notre organisation est [conservatrice/modérée/agressive]. Créez : une matrice de risques (5x5) avec des niveaux de risque codés par couleur, des seuils d'acceptation par niveau de risque (accepter/atténuer/transférer/éviter), des règles d'escalade pour les risques dépassant la tolérance, et les niveaux d'autorité d'approbation (propriétaire du risque/RSSI/organe de direction) pour chaque décision de traitement."

Documenter l'approbation : Une fois qu'ISMS Copilot a généré votre méthodologie, présentez-la à votre organe de direction pour approbation formelle. Enregistrez l'approbation dans le procès-verbal du conseil. Il s'agit d'une exigence spécifique de l'article 20 - l'organe de direction doit approuver les mesures de gestion des risques de cybersécurité.

Étape 2 : Identifier et répertorier vos actifs

Ce qu'il faut inclure dans votre inventaire d'actifs

L'évaluation des risques NIS2 nécessite une compréhension approfondie des réseaux et systèmes d'information que votre organisation utilise pour ses opérations et la prestation de ses services. Votre inventaire d'actifs doit couvrir :

Catégorie d'actif

Exemples

Pertinence NIS2

Actifs informationnels

Données clients, données opérationnelles, données de configuration, identifiants

Confidentialité, intégrité, disponibilité des services

Matériel (Hardware)

Serveurs, équipements réseau, systèmes OT/ICS, terminaux, appareils IoT

Protection de l'environnement physique, contrôle d'accès

Logiciel

Systèmes d'exploitation, applications, micrologiciels, systèmes SCADA/DCS

Traitement des vulnérabilités, sécurité de l'acquisition

Infrastructure réseau

Routeurs, commutateurs, pare-feu, VPN, réseaux sans fil

Sécurité du réseau, segmentation, surveillance

Services Cloud

Fournisseurs IaaS, PaaS, SaaS, CDN, DNS

Sécurité de la chaîne d'approvisionnement, risques liés aux tiers

Personnes

Personnel clé, administrateurs, prestataires tiers

Sécurité des RH, contrôle d'accès, formation

Installations

Centres de données, bureaux, sites industriels, salles de contrôle

Environnement physique, continuité des activités

Services

Services essentiels/importants fournis, services de support

Disponibilité des services, évaluation de l'impact des incidents

Générer votre inventaire d'actifs avec l'IA

  1. Créer le modèle d'inventaire :

    "Générez un modèle complet d'inventaire d'actifs pour l'évaluation des risques NIS2 dans une organisation du secteur [secteur]. Incluez des colonnes pour : l'ID de l'actif, le nom de l'actif, la catégorie, la description, le propriétaire, la criticité métier (1-5), les dépendances (amont/aval), l'emplacement, la pertinence par rapport aux domaines de mesure NIS2 et les mesures de protection actuelles. Pré-remplissez avec des actifs typiques pour une entité du secteur [secteur]."

  2. Identifier les dépendances des services critiques :

    "Pour notre organisation du secteur [secteur] qui fournit [décrire les services essentiels/importants], cartographiez les dépendances critiques entre nos services et les actifs sous-jacents. Créez un arbre de dépendance montrant : quels actifs supportent quels services, les points de défaillance uniques et les chemins d'impact en cascade si des actifs spécifiques sont compromis. C'est crucial pour l'évaluation de l'impact des incidents NIS2."

  3. Classer les actifs par criticité :

    "Appliquez des classifications de criticité métier à notre inventaire d'actifs pour l'évaluation des risques NIS2. Les critères de classification doivent tenir compte de : l'impact sur la prestation de services essentiels/importants si l'actif est compromis, les exigences de temps de récupération, la sensibilité réglementaire et l'interconnexion avec d'autres actifs critiques. Attribuez des niveaux de criticité (Critique/Élevé/Moyen/Faible) avec une justification pour chacun."

Considérations OT/ICS : Si votre organisation opère dans des secteurs comme l'énergie, l'eau, les transports ou l'industrie, votre inventaire d'actifs doit inclure les technologies opérationnelles (OT) et les systèmes de contrôle industriel (ICS). Ces derniers présentent souvent des profils de risque différents, des cycles de correctifs plus longs et des vulnérabilités uniques par rapport aux actifs informatiques. ISMS Copilot peut vous aider à identifier les risques OT spécifiques au secteur.

Étape 3 : Analyser votre paysage de menaces

Élaborer un profil de menace sectoriel

NIS2 exige une approche « tous risques », mais les menaces spécifiques auxquelles votre organisation est confrontée dépendent fortement de votre secteur, de votre situation géographique et de votre environnement technologique. L'ENISA publie des rapports annuels sur le paysage des menaces qui fournissent des renseignements sectoriels.

  1. Générer votre paysage de menaces :

    "Créez une analyse complète du paysage des menaces pour notre organisation du secteur [secteur] en vue de l'évaluation des risques NIS2. Incluez : (1) Cybermenaces : principaux vecteurs d'attaque ciblant notre secteur (avec des exemples récents), acteurs de menaces les plus pertinents (étatiques, cybercriminels, hacktivistes, internes) et menaces émergentes. (2) Menaces physiques : accès non autorisé, vol d'équipement, sabotage. (3) Menaces environnementales : catastrophes naturelles pertinentes pour notre [emplacement], risques liés au réseau électrique, risques climatiques. (4) Menaces humaines : schémas d'ingénierie sociale dans notre secteur, indicateurs de menace interne, dépendance à l'égard de personnes clés. (5) Menaces liées à la chaîne d'approvisionnement : schémas d'attaque courants dans notre secteur, risques de dépendance. Référez-vous aux données de l'ENISA si possible."

  2. Évaluer les capacités des acteurs de menace :

    "Pour chaque catégorie d'acteur de menace pertinente pour notre entité du secteur [secteur], évaluez : la motivation (financière, espionnage, perturbation, idéologique), le niveau de capacité (d'opportuniste à avancé), les méthodes d'attaque typiques, les modes de ciblage pour notre secteur et les incidents historiques affectant des organisations similaires. Présentez cela sous forme de matrice de profil d'acteur de menace."

  3. Identifier des scénarios d'attaque spécifiques au secteur :

    "Générez 20 scénarios d'attaque réalistes spécifiques à une organisation du secteur [secteur] pour l'évaluation des risques NIS2. Chaque scénario doit inclure : l'acteur de menace, le vecteur d'attaque, les actifs ciblés, l'impact potentiel sur les services essentiels/importants, l'évaluation de la probabilité et les effets en cascade sur d'autres entités ou secteurs. Incluez des scénarios cyber et non cyber pour satisfaire à l'exigence « tous risques »."

Ne pas ignorer les risques non cyber : Une erreur courante consiste à traiter l'évaluation des risques NIS2 comme un pur exercice de cybersécurité. L'article 21(1) exige explicitement la protection des systèmes d'information et de « l'environnement physique de ces systèmes » contre les incidents. Les auditeurs chercheront des preuves que vous avez évalué les risques physiques, environnementaux et humains aux côtés des cybermenaces.

Étape 4 : Réaliser l'évaluation des risques

Identification des risques

Une fois l'inventaire des actifs et le paysage des menaces établis, identifiez systématiquement les risques en examinant comment chaque menace pourrait exploiter des vulnérabilités dans chaque actif critique, et quel serait l'impact sur vos services essentiels ou importants.

  1. Générer le registre des risques initial :

    "À l'aide de l'inventaire des actifs et du paysage des menaces que nous avons développés, générez un registre des risques complet pour notre évaluation NIS2. Pour chaque entrée, incluez : ID du risque, Titre, Description (menace + vulnérabilité + impact), Actif(s) affecté(s), Catégorie de menace (cyber/physique/environnementale/humaine/chaîne d'approvisionnement), Domaine(s) de mesure Article 21 affecté(s), Contrôles existants, Probabilité résiduelle (1-5), Impact résiduel (1-5), Score de risque, Niveau de risque, Propriétaire du risque et Traitement recommandé. Générez au moins 40 risques couvrant toutes les catégories pour une organisation [secteur]."

  2. Assurer une couverture « tous risques » :

    "Examinez notre registre des risques pour vérifier l'exhaustivité de l'approche « tous risques ». Vérifiez que nous avons une couverture adéquate pour : les cybermenaces (min. 15 risques), les menaces physiques (min. 5), les menaces environnementales (min. 5), les facteurs humains (min. 5), les risques de chaîne d'approvisionnement (min. 5) et les défaillances techniques (min. 5). Identifiez les lacunes et générez des entrées supplémentaires pour les combler."

  3. Évaluer les impacts en cascade et transsectoriels :

    "Pour les 10 risques les plus élevés de notre registre, analysez les impacts potentiels en cascade : (1) comment ce risque pourrait affecter d'autres entités dépendant de nos services, (2) comment la perturbation de nos services pourrait se propager dans notre secteur, (3) si l'impact pourrait affecter d'autres secteurs NIS2. Cette analyse est cruciale pour déterminer la portée de l'incident selon NIS2."

Évaluation et notation des risques

  1. Appliquer une notation cohérente :

    "Revoyez et validez les scores dans notre registre de risques. Pour chaque risque, vérifiez que : l'évaluation de la probabilité reflète l'intelligence actuelle pour notre secteur, l'évaluation de l'impact prend en compte les cinq dimensions de NIS2 (perturbation, perte financière, cascade, utilisateurs, société), et le calcul suit notre méthodologie approuvée. Signalez les incohérences et suggérez des ajustements."

  2. Créer une cartographie des risques (Heat Map) :

    "Générez une visualisation de cartographie des risques pour notre registre NIS2 montrant : la répartition des risques par probabilité et impact, le regroupement des risques par catégorie de menace, et l'identification des clusters prioritaires nécessitant un traitement. Formatez-le sous forme de tableau HTML avec des cellules colorées."

Télécharger des données de risques existantes : Si votre organisation dispose déjà d'évaluations (ISO 27001, DORA, ou internes), téléchargez-les dans ISMS Copilot et demandez-lui d'identifier quels risques sont pertinents pour NIS2, lesquels doivent être mis à jour pour l'approche « tous risques », et quels risques supplémentaires doivent être ajoutés pour satisfaire l'article 21.

Étape 5 : Développer des plans de traitement des risques alignés sur l'article 21

Faire correspondre les risques aux domaines de mesures de l'article 21

Chaque risque de votre registre doit être lié à un ou plusieurs des dix domaines de mesures de l'article 21(2), et vos plans de traitement doivent spécifier les contrôles qui traitent chaque risque. Cela crée une piste d'audit de l'identification à la mise en œuvre.

  1. Mapper les risques aux contrôles :

    "Pour chaque risque de notre registre, associez le traitement recommandé aux domaines de mesures spécifiques de l'article 21(2) de NIS2 : (a) analyse des risques et politiques de sécurité, (b) gestion des incidents, (c) continuité des activités et gestion des crises, (d) sécurité de la chaîne d'approvisionnement, (e) sécurité des réseaux et systèmes d'information incluant les vulnérabilités, (f) évaluation de l'efficacité, (g) cyber-hygiène et formation, (h) cryptographie, (i) sécurité des RH, contrôle d'accès et gestion des actifs, (j) authentification multifactorielle et communications sécurisées. Pour chaque mapping, précisez le contrôle concret à mettre en œuvre et la réduction de risque attendue."

  2. Créer des plans de traitement des risques :

    "Pour les 20 risques les plus élevés dépassant notre seuil d'acceptation, générez des plans de traitement détaillés. Chaque plan doit inclure : ID du risque, décision de traitement (atténuer/transférer/éviter), contrôles spécifiques à mettre en œuvre, responsable, calendrier, risque résiduel attendu, ressources nécessaires et critères de succès. Assurez-vous que les traitements sont proportionnés à la taille de notre organisation et à notre exposition au risque conformément à l'article 21(1)."

  3. Documenter les décisions d'acceptation du risque :

    "Pour les risques restant dans notre seuil d'acceptation, générez des déclarations d'acceptation formelles. Chaque déclaration doit inclure : ID du risque, description, score actuel, justification de l'acceptation (incluant la proportionnalité), conditions de réévaluation, autorité d'acceptation (propriétaire ou direction) et date de révision. Ces documents doivent être approuvés selon notre méthodologie."

Appliquer le principe de proportionnalité aux traitements

NIS2 n'exige pas des contrôles identiques pour toutes les organisations. Vos traitements doivent être proportionnés à votre exposition spécifique au risque.

"Examinez nos plans de traitement pour vérifier leur conformité à la proportionnalité. Notre organisation compte [nombre d'employés], a un CA annuel de [CA] EUR et opère dans le secteur [secteur] en tant qu'entité [essentielle/importante]. Pour chaque traitement proposé, évaluez si : (1) il est proportionné à notre taille et nos ressources, (2) il est proportionné à la probabilité et à la gravité du risque, (3) il est aligné sur l'état de l'art du secteur, et (4) il est rentable par rapport à la réduction du risque. Signalez les traitements disproportionnés ou insuffisants et proposez des alternatives."

État de l'art : L'article 21(1) exige que les entités tiennent compte de « l'état de l'art » et, le cas échéant, des normes européennes et internationales pertinentes. Cela signifie que vos contrôles doivent refléter les meilleures pratiques actuelles — pas des approches obsolètes. Les connaissances d'ISMS Copilot incluent les normes et pratiques actuelles.

Étape 6 : Documenter et présenter l'évaluation des risques

Créer le rapport formel d'évaluation des risques

  1. Générer le rapport :

    "Créez un rapport formel d'évaluation des risques NIS2 pour notre organisation. Structurez-le ainsi : (1) Résumé exécutif avec conclusions clés, (2) Champ d'application et méthodologie, (3) Résumé de l'inventaire des actifs, (4) Analyse du paysage des menaces, (5) Registre des risques détaillé, (6) Cartographie des risques (Heat Map), (7) Plans de traitement, (8) Déclarations d'acceptation, (9) Mapping vers l'article 21(2), (10) Évaluation de la proportionnalité, (11) Recommandations et prochaines étapes, (12) Annexes. Ce rapport sera présenté à l'organe de direction pour approbation."

  2. Créer le résumé pour la direction :

    "Créez un résumé exécutif de 3 pages des résultats de notre évaluation NIS2 pour l'organe de direction. Concentrez-vous sur : les 10 risques principaux et leur impact métier, les zones d'exposition majeure, les investissements nécessaires, le calendrier de mise en œuvre et les obligations spécifiques d'approbation et de surveillance de la direction. Incluez une recommandation claire pour une résolution approuvant le plan de traitement."

L'approbation de l'organe de direction est obligatoire : En vertu de l'article 20, la direction doit approuver les mesures de gestion des risques cybersecurity. Cela inclut la méthodologie, le registre et les plans de traitement. Documentez l'approbation dans les procès-verbaux et conservez-les comme preuve d'audit.

Étape 7 : Établir une surveillance continue des risques

Gestion continue des risques

La conformité NIS2 n'est pas un exercice ponctuel. Votre évaluation doit être revue et mise à jour régulièrement ainsi qu'en cas de changements significatifs.

  1. Définir le cycle de révision :

    "Créez un calendrier de révision et de mise à jour pour la conformité NIS2 continue. Définissez : (1) La fréquence de révision régulière (trimestrielle recommandée pour les entités essentielles, semestrielle pour les importantes), (2) Les événements déclencheurs nécessitant une réévaluation immédiate (nouvelles menaces, incidents, changements d'organisation ou de chaîne d'approvisionnement, mises à jour réglementaires), (3) Les rôles responsables, (4) Le processus de mise à jour du registre et des plans, (5) La cadence de reporting à la direction."

  2. Élaborer des procédures de surveillance des menaces :

    "Créez une procédure de surveillance de l'intelligence sur les menaces pour notre organisation du secteur [secteur]. Incluez : les sources à surveiller (ENISA, avis du CSIRT national, ISAC sectoriels, bulletins de sécurité fournisseurs), la fréquence, les critères d'escalade pour réévaluation des risques et l'intégration avec nos capacités de détection d'incidents."

Pièges courants de l'évaluation des risques et comment les éviter

Piège

Pourquoi c'est important pour NIS2

Comment l'éviter

Focus uniquement sur le cyber

Viole l'exigence « tous risques » de l'article 21(1).

Évaluez systématiquement les risques physiques, environnementaux et humains avec les cybermenaces.

Pas de méthodologie documentée

Les autorités de contrôle exigent la preuve d'une approche cohérente et reproductible.

Documentez et obtenez l'approbation de la direction avant de commencer l'évaluation.

Ignorer les impacts en cascade

La gravité des incidents NIS2 prend en compte l'impact sur d'autres entités et secteurs.

Analysez l'impact transsectoriel pour les risques à score élevé.

Contrôles disproportionnés

L'article 21(1) exige la proportionnalité — un sur-contrôle ou sous-contrôle est non conforme.

Documentez la justification de la proportionnalité pour chaque décision de traitement.

Registre des risques statique

Le paysage des risques évolue constamment ; un registre obsolète démontre une mauvaise gouvernance.

Établissez des révisions trimestrielles et des processus basés sur des événements déclencheurs.

Absence d'approbation de la direction

L'article 20 exige l'approbation des mesures par l'organe de direction.

Présentez l'évaluation et les plans au conseil ; actez l'approbation dans les PV.

Pas de couverture de la chaîne d'approvisionnement

L'article 21(2)(d) exige spécifiquement l'évaluation des risques de la chaîne d'approvisionnement.

Intégrez systématiquement les risques liés aux fournisseurs et aux tiers dans le registre.

Prochaines étapes

Votre évaluation des risques étant terminée, vous disposez désormais des fondations pour mettre en œuvre les contrôles NIS2 dans tous les domaines des mesures de l'article 21.

Continuez avec les guides suivants de cette série :

  • Création de politiques : Voir Comment créer des politiques de cybersécurité NIS2 avec l'IA pour traduire vos plans en politiques prêtes pour l'audit.

  • Notification d'incidents : Voir Comment implémenter le reporting d'incidents NIS2 avec l'IA pour bâtir les capacités de détection identifiées.

  • Sécurité de la chaîne d'approvisionnement : Voir Comment gérer la sécurité de la chaîne d'approvisionnement NIS2 avec l'IA pour des conseils détaillés sur ces risques.

Si vous n'avez pas encore terminé la configuration initiale, commencez par Comment débuter l'implémentation de NIS2 avec l'IA.

Pour des instructions prêtes à l'emploi, explorez la Bibliothèque de prompts pour la directive NIS2. Pour une vue d'ensemble, consultez le Guide de conformité NIS2 pour les entreprises concernées.

Obtenir de l'aide

Pour un soutien supplémentaire dans votre évaluation des risques NIS2 :

  • Demandez à ISMS Copilot : Utilisez votre espace de travail NIS2 pour vos questions et mises à jour continues.

  • Téléchargez vos données existantes : Obtenez une analyse par l'IA de vos registres actuels ou inventaires de contrôles.

  • Conseils par secteur : Demandez des paysages de menaces et des scénarios calibrés pour votre environnement spécifique.

  • Alignement des cadres : Obtenez des conseils pour aligner l'évaluation NIS2 sur l'ISO 27005, l'ISO 31000 ou d'autres normes déjà utilisées.

Prêt à mener votre évaluation NIS2 ? Ouvrez votre espace NIS2 sur chat.ismscopilot.com et commencez par votre méthodologie. L'IA vous guidera à chaque étape, de l'identification au plan de traitement, avec des résultats adaptés à votre secteur et classification.

Cela vous a-t-il été utile ?