Applicabilité
Nous déterminons si votre entreprise est soumise à NIS2 ou à DORA. La directive a considérablement élargi le périmètre.
Nous coordonnons le volet réglementaire et procédural de NIS2 et DORA ; la partie technique est assurée par le SOC propre de Summum Sistemas.
NIS2 étend le périmètre de l'ancienne directive NIS aux entreprises de taille moyenne et aux secteurs jusqu'alors exemptés : services postaux, gestion des déchets, fabrication de produits critiques, fournisseurs de services numériques. DORA fait de même pour le secteur financier.
Ce que les deux directives exigent va bien au-delà de l'installation d'un antivirus : une politique de gestion des incidents, une notification réglementaire dans les délais, des contrats avec les fournisseurs TIC critiques incluant des clauses spécifiques, un plan de continuité opérationnelle et de la formation.
Nous prenons en charge le volet juridique et procédural ; le SOC interne de Summum Sistemas couvre la partie technique (EDR, SIEM, réponse aux incidents). Une seule mise en œuvre, deux disciplines coordonnées.
Nous déterminons si votre entreprise est soumise à NIS2 ou à DORA. La directive a considérablement élargi le périmètre.
Exigences croisées avec ce que vous avez déjà. La plupart des organisations satisfont 30–40 % des exigences sans le savoir.
Gestion des incidents, contrats avec les fournisseurs TIC, plan de continuité, formation.
Procédures : 24 h première alerte, 72 h rapport initial, 1 mois rapport final.
Le détail opérationnel : ce que nous livrons dans le cadre de la mission et ce que nous maintenons actif par la suite.
Diagnostic d'applicabilité
Tableaux NIS2/DORA par secteur et taille, avec justification documentée.
Plan de gestion des incidents
Détection, classification, confinement, reprise. Cohérent avec votre ISO 27001.
Procédures de notification
Modèles pour les délais réglementaires et la communication aux clients.
Contrats avec les fournisseurs TIC
Clauses spécifiques exigées par la réglementation dans les contrats en cours et les nouveaux contrats.
Plan de continuité opérationnelle
Coordonné avec ISO 22301. Exercice annuel.
Formation de l'équipe dirigeante
Responsabilité expresse du conseil d'administration prévue par NIS2.
NIS2 couvre les services essentiels. DORA couvre le secteur financier. Même structure.
NIS2 et DORA comportent une couche procédurale (ici) et une couche technique (SOC interne).
Entreprises de taille intermédiaire (>50 salariés ou >10 M€) dans les secteurs élargis. Diagnostic initial sous 48 heures.
DORA s'applique aux entités financières et à leurs prestataires TIC critiques.
~60 %. Si vous disposez déjà de l'ISO 27001, NIS2 représente 40 % supplémentaires, et non 100 %.