Analyse d'écart NIS2 pour un opérateur essentiel

Secteur

Infrastructure · opérateur classé entité essentielle au titre de NIS2 · 200 à 500 salariés · activités critiques 24/7.

Situation initiale

La transposition nationale de NIS2 obligeait l'organisation à atteindre un niveau de maturité concret dans des délais définis, avec des sanctions administratives notables en cas de non-conformité. L'équipe interne connaissait la directive, mais ne disposait pas d'une mesure objective de sa distance réelle vis-à-vis des exigences applicables.

Approche

Nous avons appliqué un cadre d'évaluation dérivé des contrôles NIS2 mappés sur ISO 27001, l'ENS et les guides nationaux du régulateur compétent. Nous avons couvert dix domaines : gouvernance, gestion des risques, continuité, cryptographie, gestion des accès, supply chain, gestion d'incidents, formation, sécurité physique et reporting réglementaire. Chaque domaine a été évalué par entretiens, revue documentaire et vérification technique lorsque cela s'appliquait. Nous avons construit un plan sur six mois avec des lots de travail trimestriels et des responsables définis.

Résultat

L'écart initial était de 35% de conformité. À la fin du plan de six mois, l'organisation atteignait 92% de conformité sur les contrôles applicables, les 8% restants étant inscrits dans un plan documenté à 12 mois en raison de dépendances d'investissement.

Enseignement

NIS2 ne se valide pas avec un projet ponctuel : il se valide avec un programme que l'organisation peut maintenir en production une fois le consultant parti.

Temps et effort

Diagnostic de 4 à 6 semaines · plan sur 6 mois · 120 à 180 heures de conseil réparties.

Mots-clés

NIS2 · Conformité · Gouvernance sécurité · ISO 27001 · Gestion des risques · Opérateur essentiel