Comment Parler de NIS2 avec Votre Partenaire IT
NIS2 est la, et en tant que dirigeant d'entreprise, vous etes ultimement responsable de la conformite - meme si vous externalisez votre IT. Mais comment aborder le sujet avec votre partenaire IT? Que devez-vous demander? Et comment savoir s'il prend cela au serieux? Ce guide vous donne un script pret a l'emploi que vous pouvez litteralement transmettre a votre fournisseur IT.
Pas certain de ce qu'est NIS2 ? Commencez par notre guide sur ce qu'est NIS2 et les exigences specifiques. Votre partenaire IT doit connaitre le CyberFundamentals cadre et les differents niveaux.
Pourquoi Vous Devez Avoir Cette Conversation
De nombreux dirigeants de PME belges supposent que leur partenaire IT a NIS2 en main. C'est une hypothese dangereuse. Voici pourquoi vous devez aborder le sujet de maniere proactive:
La responsabilite legale est la votre
Sous NIS2 (et la loi belge de transposition), la direction est personnellement responsable. Vous ne pouvez pas deleguer cette responsabilite a un fournisseur.
La plupart des partenaires IT sont generalistes
Votre fournisseur IT est peut-etre excellent pour gerer les serveurs et reseaux, mais la conformite NIS2 necessite des connaissances specifiques en evaluations des risques, politiques et collecte de preuves.
L'echeance est reelle
La Belgique a transpose NIS2 en droit national. L'application arrive. Attendre qu'un avis d'audit arrive est trop tard.
Votre partenaire IT ne le sait peut-etre pas
De nombreux petits fournisseurs IT et MSP se mettent encore a jour sur NIS2. Votre question pourrait etre l'impulsion dont ils ont besoin.
Les assurances l'exigent de plus en plus
Les cyber-assureurs en Belgique commencent a poser des questions sur la preparation a NIS2. Une conversation maintenant evite la precipitation plus tard.
Cela protege la relation
Des attentes claires des le depart previennent les accusations mutuelles apres un incident. Les deux parties beneficient de la clarte.
Le Script de Conversation
Voici un message que vous pouvez envoyer a votre partenaire IT aujourd'hui. N'hesitez pas a le copier, ajuster le ton, ou simplement transmettre cette page:
Ce message fonctionne que vous l'envoyiez par e-mail, Teams ou WhatsApp. L'essentiel est d'etre specifique et de demander une reunion dediee - pas une discussion de cinq minutes a la fin d'un appel de support.
5 Questions a Poser a Votre Partenaire IT
Pendant la reunion, concentrez-vous sur ces cinq questions. Les reponses vous diront beaucoup sur la capacite de votre partenaire IT a soutenir votre parcours NIS2:
1. Savez-vous ce que NIS2 et CyberFundamentals signifient pour notre entreprise?
Un bon partenaire IT devrait comprendre les niveaux du cadre (Basic, Important, Essential) et savoir lequel s'applique a vous. S'ils semblent confus, c'est un signal.
Bon signe
Ils expliquent quel niveau vous avez probablement besoin et referent a des controles specifiques.
Mauvais signe
Ils disent "NIS2 ne s'applique pas aux petites entreprises" sans verifier votre secteur et taille.
2. Pouvez-vous faire une analyse des ecarts par rapport aux exigences NIS2?
Avant de pouvoir planifier, vous devez savoir ou vous en etes. Une analyse des ecarts cartographie vos mesures de securite actuelles par rapport a ce que NIS2 exige.
Bon signe
Ils proposent une evaluation structuree avec un rapport et des actions prioritaires.
Mauvais signe
Ils disent "vous avez deja un antivirus et un firewall, donc ca devrait aller."
3. Comment gererions-nous ensemble un incident de securite?
NIS2 exige un signalement d'incident dans les 24 heures (alerte precoce) et 72 heures (notification complete). Votre partenaire IT doit faire partie de ce processus.
Bon signe
Ils ont (ou peuvent creer) un plan de reponse aux incidents avec des roles clairs, des coordonnees et des procedures de signalement.
Mauvais signe
Ils disent "appelez-nous quand quelque chose arrive et on trouvera une solution."
4. Quelles preuves d'audit pouvez-vous nous aider a produire?
La conformite ne consiste pas seulement a avoir des mesures de securite - c'est prouver que vous les avez. Vous avez besoin de documentation, de logs, de politiques et d'enregistrements.
Bon signe
Ils peuvent fournir des rapports de securite, des logs de gestion des correctifs, des revues d'acces et aider a rediger des politiques.
Mauvais signe
Ils ne comprennent pas ce qu'un auditeur demanderait ou disent "nous ne faisons pas de documentation."
5. Quel calendrier est realiste pour devenir pret pour l'audit?
La preparation a NIS2 est un parcours, pas un projet unique. Vous avez besoin d'une feuille de route realiste avec des jalons.
Bon signe
Ils proposent un plan par phases: gains rapides en 1-3 mois, controles fondamentaux en 3-6 mois, preparation complete en 6-12 mois.
Mauvais signe
Ils promettent "nous pouvons le faire en deux semaines" ou refusent de s'engager sur un calendrier.
Signaux d'Alarme: Signes que Votre Partenaire IT N'est Pas Pret
Attention a ces signaux d'alarme pendant la conversation. Ils ne signifient pas necessairement que vous avez besoin d'un nouveau partenaire IT, mais ils signifient que vous avez besoin d'un soutien supplementaire:
"NIS2 ne s'applique pas a vous"
A moins qu'ils n'aient verifie minutieusement votre classification sectorielle et la taille de votre entreprise, ce rejet est premature. De nombreuses entreprises qui pensent etre exemptees tombent en fait sous NIS2 par classification sectorielle ou en tant que partie d'une chaine d'approvisionnement.
"Nous gerons deja votre securite, donc vous etes conforme"
Les mesures de securite et la conformite ne sont pas la meme chose. La conformite exige des politiques documentees, des evaluations des risques, des plans de reponse aux incidents et des preuves d'audit. Avoir un firewall n'est pas la meme chose qu'etre pret pour NIS2.
"On s'en occupera quand les auditeurs viendront"
C'est comme dire que vous allez etudier pour l'examen pendant l'examen. La preparation a NIS2 prend des mois. Les auditeurs s'attendent a voir un historique de conformite, pas une course de derniere minute.
Ils ne peuvent pas expliquer les niveaux CyberFundamentals
En Belgique, NIS2 est mis en oeuvre via le cadre CyberFundamentals du CCB. Si votre partenaire IT ne connait pas la difference entre les niveaux Basic, Important et Essential, il n'est pas pret a vous guider.
Ils n'ont aucun autre client travaillant sur NIS2
Si aucun de leurs clients ne travaille sur NIS2, ils manquent peut-etre d'experience pratique. Demandez des references ou des etudes de cas de projets de conformite similaires.
Ils hesitent a mettre les choses par ecrit
S'ils sont reticents a documenter les responsabilites, les SLA ou les procedures de reponse aux incidents, c'est un signal d'alarme en matiere de gouvernance. NIS2 repose entierement sur une securite documentee et demontrable.
Prochaines Etapes Apres la Reunion
Une fois la conversation terminee, voici ce qu'il faut faire selon le resultat:
Meilleur cas: Votre partenaire IT comprend
Ils comprennent NIS2, peuvent effectuer une analyse des ecarts et proposent une feuille de route.
- Convenez d'un calendrier d'analyse des ecarts (debut dans 4 semaines)
- Definissez les roles et responsabilites par ecrit
- Mettez en place des points de suivi mensuels
- Demandez une proposition ecrite avec couts et jalons
- Envisagez une plateforme de conformite pour suivre les progres ensemble
Terrain intermediaire: Volontaire mais pas encore pret
Ils prennent NIS2 au serieux mais manquent d'experience specifique en conformite.
- Donnez-leur le temps de se former (4-6 semaines est raisonnable)
- Suggerez qu'ils explorent les outils et cadres de conformite
- Envisagez de faire appel a un consultant NIS2 specialise en complement
- Fixez une date de revision pour reevaluer leur preparation
- Utilisez une plateforme comme Easy Cyber Protection pour fournir une structure pour vous deux
Pire cas: Ils rejettent ou esquivent
Ils ne prennent pas NIS2 au serieux ou refusent d'aborder le sujet.
- Documentez la conversation et leur reponse
- Cherchez un deuxieme avis aupres d'un autre fournisseur IT ou consultant
- N'attendez pas - commencez votre preparation NIS2 avec un autre partenaire
- Considerez si cela reflete des problemes de qualite plus larges dans la relation
- Rappelez-vous: votre responsabilite legale ne disparait pas parce que votre partenaire IT n'est pas prepare
Facilitez les Conversations NIS2
Easy Cyber Protection vous donne, a vous et votre partenaire IT, une plateforme partagee pour la preparation a NIS2. Suivez votre analyse des ecarts, gerez les controles, collectez les preuves et preparez les audits - ensemble. Fini le ping-pong de tableurs.
Questions Frequentes
Puis-je simplement transmettre cet article a mon partenaire IT?
Absolument. C'est exactement pour cela que cet article est concu. Le script de conversation, les cinq questions et la section des signaux d'alarme donnent a votre partenaire IT une image claire de ce dont vous avez besoin. Cela supprime la gene de "j'ai trouve quelque chose sur internet" en fournissant un cadre structure et professionnel pour la discussion.
Que faire si mon partenaire IT dit que NIS2 ne s'applique pas a mon entreprise?
Demandez-leur de verifier specifiquement. NIS2 s'applique en fonction du secteur et de la taille de l'entreprise. En Belgique, de nombreuses PME dans la fabrication, la production alimentaire, la sante, les services numeriques et d'autres secteurs sont concernees. Meme si vous n'etes pas directement dans le perimetre, vos plus gros clients peuvent exiger une securite de niveau NIS2 de leurs fournisseurs. Le CCB a publie des orientations pour aider a determiner le perimetre.
Dois-je changer de partenaire IT s'il n'est pas pret pour NIS2?
Pas necessairement. De nombreux partenaires IT sont encore en train de developper leur expertise NIS2. Ce qui compte, c'est leur volonte d'apprendre et de s'adapter. S'ils sont dedaigneux ou refusent de s'engager, c'est plus preoccupant qu'un manque de connaissances actuel. Donnez aux partenaires volontaires un delai raisonnable (2-3 mois) pour se mettre a niveau, et completez avec des outils specialises ou des consultants entre-temps.
Combien devrait couter la conformite NIS2 via mon partenaire IT?
Les couts varient considerablement selon votre maturite de securite actuelle, la taille de l'entreprise et le niveau CyberFundamentals dont vous avez besoin. Pour une PME belge typique (10-50 employes) au niveau Basic ou Important, attendez-vous a ce qu'une analyse des ecarts coute entre 2 000 et 5 000 EUR, et la gestion continue de la conformite entre 500 et 2 000 EUR par mois. Mefez-vous des partenaires qui proposent des prix tres bas (ils ne comprennent peut-etre pas l'etendue) ou tres eleves (ils compliquent peut-etre les choses).