Situer la directive NIS2 dans le paysage réglementaire

Rappeler le contexte de la directive NIS1 et les limites constatées
Présenter la directive NIS2 et ses objectifs : renforcer la résilience des secteurs essentiels et importants
Comprendre les liens avec les autres textes : RGPD, DORA, règlementations sectorielles, droit national
Identifier les autorités compétentes, les CSIRT et les mécanismes de supervision et de sanctions
Atelier fil rouge : cartographier les textes réglementaires applicables à son organisation et situer NIS2 dans cet ensemble

Comprendre le champ d’application et les entités concernées par NIS2

Identifier les secteurs et sous-secteurs visés par NIS2 (entités essentielles et importantes)
Analyser les critères de taille, d’activité et de criticité pour déterminer si l’organisation est concernée
Clarifier la notion de services essentiels et les impacts en cas d’interruption ou d’incident majeur
Repérer les dépendances critiques : prestataires, fournisseurs de services numériques, cloud, sous-traitants
Atelier fil rouge : déterminer, à partir d’exemples, si une entité est ou non dans le périmètre NIS2 et justifier la décision

Décrypter les obligations clés imposées par NIS2

Passer en revue les obligations de gestion des risques et de mise en place de mesures techniques et organisationnelles
Comprendre les exigences en matière de gouvernance : rôle de la direction, responsabilité du management, reporting interne
Analyser les obligations de notification des incidents de sécurité (délais, contenu, interactions avec les CSIRT)
Prendre en compte les exigences liées à la supply chain et aux prestataires essentiels
Atelier fil rouge : relier quelques exigences NIS2 à des mesures concrètes de sécurité déjà en place ou à mettre en œuvre

Évaluer la situation actuelle de son organisation au regard de NIS2

Identifier les dispositifs de cybersécurité déjà existants : politiques, processus, mesures techniques, gouvernance
Repérer les forces et faiblesses de l’organisation face aux exigences NIS2 (analyse à haut niveau)
Construire une grille simplifiée d’auto-évaluation NIS2 basée sur les principaux axes de la directive
Prioriser les premiers constats : risques majeurs, lacunes de conformité, urgences opérationnelles
Atelier fil rouge : réaliser une première auto-évaluation de maturité NIS2 pour son organisation (ou un cas d’école)

Élaborer un plan d’actions de mise en conformité NIS2

Traduire les écarts identifiés en chantiers concrets : gouvernance, organisation, processus, mesures techniques, documentation
Évaluer les ressources nécessaires : budget, compétences, temps, supports externes éventuels
Structurer un plan d’actions phasé : court, moyen et long terme, en fonction des risques et des obligations réglementaires
Prévoir les indicateurs de suivi et les revues régulières du programme de conformité NIS2
Atelier fil rouge : élaborer un plan d’actions NIS2 priorisé à partir de l’auto-évaluation réalisée précédemment

Organiser la coopération avec les autorités et les parties prenantes

Comprendre le rôle des autorités nationales compétentes et des CSIRT
Préparer l’organisation à la notification d’incidents : processus internes, responsabilités, circuits de décision
Structurer les échanges avec les partenaires et prestataires dans le cadre NIS2 (clauses contractuelles, audits, reporting)
Anticiper la communication interne et externe en cas d’incident significatif
Atelier fil rouge : définir le circuit d’alerte et de notification en cas d’incident majeur, incluant autorités et parties prenantes clés

Consolider les acquis et préparer la suite du projet NIS2

Synthétiser les acquis de la formation et les points de vigilance pour l’organisation
Identifier les chantiers complémentaires : analyse de risques approfondie, revue des contrats, mise à jour des politiques
Définir les besoins de formation et de sensibilisation des équipes (IT, métiers, direction)
Formaliser les prochaines étapes : calendrier, gouvernance du projet NIS2, suivi des actions
Atelier fil rouge final : présenter à l’oral une synthèse du diagnostic et du plan d’actions NIS2 à destination d’une direction