Structurer le cadre de référence NIS2 et le programme de conformité

Revoir les principes, objectifs et nouveautés apportés par NIS2 par rapport à NIS1
Analyser les secteurs, entités essentielles et entités importantes, et les critères d’appartenance
Comprendre les responsabilités de la direction, du RSSI et des fonctions clés dans la mise en conformité
Définir le périmètre d’application de NIS2 au sein de l’organisation (services, filiales, prestataires critiques)
Structurer un programme de conformité NIS2 : gouvernance, étapes, livrables, parties prenantes
Atelier fil rouge : formaliser une charte de gouvernance de projet NIS2 (périmètre, acteurs, responsabilités)

Mettre en œuvre une gestion des actifs et des risques alignée NIS2

Construire et maintenir un inventaire des actifs critiques : systèmes, données, services, dépendances externes
Identifier les services essentiels et les scénarios d’impact significatif sur la continuité de service
Mettre en place une démarche de gestion des risques conforme aux attentes NIS2 (méthodologie, critères, acceptation du risque)
Intégrer les risques liés à la supply chain et aux prestataires critiques (contrats, monitoring, exigences cyber)
Relier les résultats de l’analyse de risques aux priorités d’actions de sécurité et de conformité
Atelier fil rouge : réaliser une analyse de risques simplifiée NIS2 sur un service essentiel et en déduire des priorités de traitement

Définir et déployer les mesures techniques et organisationnelles de sécurité

Explorer les familles de mesures attendues : organisation, politique, technique, humaine, physique
Mettre en place ou renforcer les politiques de sécurité, de gestion des accès, de gestion des changements et des vulnérabilités
Définir une architecture de sécurité adaptée : segmentation, pare-feux, VPN, supervision, durcissement des systèmes
Intégrer la gestion des sauvegardes, de la reprise d’activité et de la résilience dans le dispositif NIS2
Documenter les mesures de sécurité et préparer les éléments de preuve pour d’éventuels contrôles
Atelier fil rouge : cartographier les mesures de sécurité existantes et identifier les écarts par rapport aux exigences NIS2

Organiser la gestion des incidents, des crises et la continuité d’activité

Mettre en place un processus de gestion des incidents conforme aux attentes NIS2 (détection, qualification, réponse, traces)
Comprendre les obligations de notification d’incidents de sécurité (délais, contenu, phases de reporting)
Articuler gestion d’incidents, gestion de crise et continuité d’activité (PCA/PRA) pour les services essentiels
Prévoir les exercices et tests de gestion de crise cyber pour améliorer la résilience
Consolider la documentation : procédures, registres d’incidents, retours d’expérience (RETEX)
Atelier fil rouge : concevoir un scénario d’incident significatif, simuler le processus de notification et proposer un plan de gestion

Piloter la conformité NIS2, la documentation et la relation avec les autorités

Élaborer et maintenir la documentation de conformité : politiques, analyses de risque, plans d’actions, rapports
Définir des indicateurs de suivi et des tableaux de bord pour piloter le programme NIS2
Organiser la relation avec les autorités compétentes, les CSIRT et les organismes de supervision
Préparer l’organisation à d’éventuels contrôles ou audits réglementaires (demandes de preuves, plans de remédiation)
Structurer une démarche d’amélioration continue de la conformité NIS2
Atelier fil rouge : construire un modèle de tableau de bord de conformité NIS2 et un canevas de rapport à la direction

Développer la culture cyber et communiquer sur la stratégie NIS2

Identifier les publics internes et externes concernés par NIS2 (direction, métiers, IT, prestataires, partenaires)
Définir un plan de communication interne autour des enjeux et obligations NIS2
Intégrer la sensibilisation et la formation des équipes dans le programme de conformité
Adapter le discours aux différents niveaux : opérationnel, managérial, stratégique
Valoriser la conformité NIS2 comme levier de confiance et d’avantage compétitif
Atelier fil rouge : élaborer un mini-plan de communication NIS2 et un support de présentation à destination de la direction

Préparer l’examen "Directive NIS2 Lead Implementer" et le plan d’actions post-formation

Revoir les points clés du référentiel NIS2 en vue de l’examen (structures, exigences, terminologie)
S’entraîner sur des questions types et des études de cas représentatives des situations rencontrées
Clarifier l’organisation pratique de l’examen en ligne (modalités, calendrier, conditions de réussite)
Identifier les domaines à approfondir individuellement après la formation
Définir un plan d’actions personnel pour exercer pleinement son rôle de Lead Implementer NIS2 dans l’organisation
Atelier fil rouge final : formaliser un plan de montée en compétence et un plan d’actions NIS2 pour les 6 à 12 prochains mois