Demandez une démo
2024 Gx P Compliance Hero Image

Directive sur la sécurité des réseaux et de l'information 2 (NIS2) Conformité de la gestion des risques pour les tiers

Simplifier la conformité NIS2

La directive sur la sécurité des réseaux et de l'information 2 (NIS2) est une directive de l'Union européenne sur la cybersécurité promulguée en décembre 2022. La NIS2 exige que les services critiques, essentiels et importants pour l'économie et la société sécurisent leurs opérations et leurs chaînes d'approvisionnement contre les attaques cyber.

La directive NIS2 comprend des recommandations et des exigences spécifiques pour que les organisations gèrent efficacement les risques liés aux tiers. Faisant partie de la plateforme de gestion des risques d'entreprise Mitratech, la solution Prevalent TPRM automatise l'évaluation, la surveillance et la gestion des risques de tiers de concert avec votre programme plus large de cybersécurité et de gestion des risques d'entreprise pour aider à traiter les risques d'infrastructure critique notés dans la directive NIS2.

Conditions applicables

  • Élaborer un cadre global pour la gestion des risques liés aux tiers.

  • Inclure des exigences claires et applicables en matière de cybersécurité dans les contrats conclus avec des tiers.

  • Évaluer régulièrement l'efficacité des mesures de gestion des risques des tiers et les adapter si nécessaire pour faire face à l'évolution des menaces.

  • Procéder à des analyses approfondies de la diligence raisonnable et des risques afin d'identifier les vulnérabilités potentielles introduites par des tiers.

  • Élaborer des procédures claires pour gérer les incidents impliquant des tiers.

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.

Lire la suite
Ressources présentées manuel de conformité normes industrielles

Comment Mitratech aide à répondre aux exigences de la NIS2 en matière de gestion des risques liés aux tiers

Directive NIS2 Capacité TPRM de Mitratech

Établir des politiques globales qui traitent des aspects liés à la sécurité dans les relations avec les fournisseurs directs et les prestataires de services. Il s'agit notamment d'évaluer le niveau de sécurité des tiers et de s'assurer qu'ils respectent les normes de cybersécurité appropriées.

Les experts TPRM de Mitratech collaborent avec votre équipe pour définir et mettre en œuvre des cadres, des stratégies, des processus et des solutions TPRM dans le contexte de votre approche globale de la gestion des risques, en sélectionnant des questionnaires et des cadres d'évaluation des risques et en optimisant votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon des activités.

Dans le cadre de ce processus, l'équipe Mitratech vous aidera à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI).
  • Inventaires de tiers.
  • Une évaluation des risques et des seuils basés sur la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de contrôle basées sur la criticité des tiers.
  • Cartographie de la quatrième partie pour comprendre les risques dans l'écosystème étendu des fournisseurs.
  • Sources de données de contrôle continu (cyber, business, réputation, finances).
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI).
  • Politiques, normes, systèmes et processus régissant la protection des données.
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service.
  • Exigences en matière de réponse aux incidents.
  • Rapports sur les risques et les parties prenantes internes.
  • Stratégies d'atténuation des risques et de remédiation.

Procéder à un contrôle préalable approfondi et à des analyses de risques pour identifier les vulnérabilités potentielles introduites par des tiers. Il s'agit d'évaluer la criticité des services tiers et leur impact potentiel sur les opérations de l'organisation. Évaluer la position des tiers en matière de cybersécurité, leur conformité aux normes du secteur et leurs capacités de réaction en cas d'incident. Classer les fournisseurs en fonction de leur criticité pour les opérations et de l'impact potentiel sur les risques.

La solution Prevalent permet de quantifier les risques inhérents afin de classer efficacement les fournisseurs en fonction de leur criticité, d'établir des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations continues.

Les critères utilisés pour calculer le risque inhérent à la hiérarchisation des fournisseurs peuvent être les suivants :

  • L'importance de la performance et des opérations de l'entreprise.
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent.
  • Interaction avec des données protégées, des données clients ou des systèmes en contact avec la clientèle.

Une fois l'étagement et la catégorisation terminés, la solution Prevalent vous permet d'utiliser une évaluation des risques NIS2 standardisée ou tout autre modèle d'évaluation parmi plus de 800, afin de déterminer l'adhésion aux principes clés de la gestion des risques pour les tiers. Avec la solution Prevalent , vous pouvez incorporer les résultats de l'évaluation de la diligence raisonnable dans notre plateforme centrale de gestion des risques des tiers, et utiliser les automatisations de flux de travail, la gestion des tâches et les capacités d'examen automatisé des preuves pour évaluer les scores de risque.

Disposer de procédures claires pour gérer les incidents impliquant des tiers. Il s'agit notamment de détecter les incidents, d'y répondre et de les signaler en temps utile aux autorités compétentes, en veillant à ce que les incidents impliquant des tiers soient gérés avec la même rigueur que les incidents internes.

Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent s'assure que votre programme de réponse aux incidents de tiers permet à votre équipe d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact.

Les capacités clés comprennent :

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables.
  • Suivi en temps réel de l'état d'avancement du questionnaire.
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs sur les fournisseurs.
  • Des vues consolidées des évaluations des risques, des décomptes, des scores et des réponses marquées pour chaque fournisseur.
  • Des règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes.
  • Orientations des recommandations intégrées de remédiation pour réduire les risques.
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

La solution Prevalent comprend également des bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises à travers le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications de violation de données des fournisseurs en temps réel.
Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les activités du tiers et la date à laquelle les mesures correctives ont été prises, le tout en s'appuyant sur des experts.

Évaluer régulièrement l'efficacité de leurs mesures de gestion des risques pour les tiers et les adapter, le cas échéant, pour faire face à l'évolution des menaces.

Suivez et analysez en permanence les menaces externes qui pèsent sur les tiers grâce à la solution Prevalent TPRM. Avec Prevalent, vous pouvez surveiller Internet et le dark web pour cyber détecter les menaces et les vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance comprennent :

  • Les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces et les sites de collage d'informations d'identification fuitées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
  • Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde.

Toutes les données de surveillance sont mises en corrélation avec les résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.

Une fois que toutes les données d'évaluation et de suivi sont corrélées dans le registre central des risques, il convient d'appliquer une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ces risques. Ensuite, désignez des responsables et assurez le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

Inclure des exigences claires et applicables en matière de cybersécurité dans les contrats conclus avec des tiers.

La solution Prevalent permet aux organisations de centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

Les capacités clés comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats.
  • Discussion centralisée des contrats et suivi des commentaires.
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui permet de modifier les contrats et les documents hors ligne.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Évaluer en permanence l'efficacité de votre programme de gestion des relations avec les tiers en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) des fournisseurs tiers tout au long du cycle de vie de la relation.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.
Ressources disponibles
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo