NIS2
NIS2 Directive (EU 2022/2555)
La directive européenne relevant le niveau minimal de gestion du risque cyber et de signalement des incidents dans les secteurs critiques. L'article 21 fixe les mesures de sécurité minimales ; l'article 23 fixe les délais de signalement des incidents.
Who it applies to
Les moyennes et grandes organisations opérant dans des secteurs critiques de l'UE — énergie, transport, santé, banque, infrastructures numériques, administration publique, eau, déchets, etc. — classées comme entités « essentielles » ou « importantes ».
Article 21 — Risk-management measures
- Art. 21(2)(a) Risk analysis and information system security policies16 mapped
Establish policies on risk analysis and information system security as a foundation of the security programme.
- Art. 21(2)(b) Incident handling13 mapped
Implement processes to prevent, detect, analyse and respond to security incidents.
- Art. 21(2)(h) Cryptography and encryption15 mapped
Adopt policies and procedures on the use of cryptography and, where appropriate, encryption.
- Art. 21(2)(i) Access control and asset management16 mapped
Apply human-resources security, access control policies and asset management.