Qui gère réellement le NIS 2 en Croatie ? Autorité, contacts et contrôle clairs.
Lorsque votre équipe trace la voie vers la conformité à la norme NIS 2 en Croatie, la clarté sur qui gouverne et orchestre véritablement vos obligations est non négociable. Le centre névralgique est le Bureau de la sécurité des systèmes d'information (ZSIS), l'autorité compétente désignée en Croatie. Le ZSIS ne se contente pas de diffuser des notes de politique ; il se situe à l'intersection du développement, de la mise en œuvre et de la remontée des informations. Pour les entités réglementées, cela signifie que le ZSIS reste votre point d'ancrage pour chaque point de certitude réglementaire, litige ou assurance d'audit.
La clarté réglementaire est un bouclier, tandis que l’incertitude vous expose.
Le ZSIS est au cœur de la cybergouvernance croate et coordonne les interventions des différents ministères sectoriels : énergie, santé, finances, télécommunications, etc. Lorsqu'un incident survient ou qu'une clarification est nécessaire, le responsable de la conformité de votre organisation informe d'abord le ministère sectoriel concerné. Ensuite, le ZSIS intervient pour coordonner, escalader ou intervenir, notamment en cas de violations importantes ou de contestation des interprétations de conformité. Dès qu'une situation devient technique ou systémique, le ZSIS délègue immédiatement le commandement opérationnel à CSIRT.hr.
- Couler: Responsable de la conformité interne → Ministère sectoriel → ZSIS (Autorité compétente)
- En cas d'escalade :
ZSIS résout les requêtes réglementaires ou, en cas d'incident critique, déclenche CSIRT.hr pour une réponse technique et se coordonne avec les autorités de l'UE si nécessaire.
Cette architecture rigoureuse évite les doublons de notifications et les ambiguïtés en matière de responsabilité. En cartographiant proactivement cette chaîne, y compris les contacts directs ZSIS et ministériels au sein de votre plateforme de gestion de la conformité, vous transformez l'ambiguïté réglementaire en confiance opérationnelle.
Tableau de correspondance ISO 27001 : cartographie des autorités compétentes
| Attente | Opérationnalisation | ISO 27001 / Annexe A |
|---|---|---|
| Reconnaître la chaîne d'autorité | Stocker les contacts ZSIS, tableau d'escalade | A.5.2, A.5.5 |
| Suivre les mises à jour réglementaires | Abonnez-vous au Journal officiel et aux avis ZSIS | A.5.31, A.5.36 |
| Centraliser l'orientation | Synchroniser les FAQ dans les dossiers de conformité | 7.5.1, A.5.37 |
S'abonner au Journal officiel et intégrer les alertes ZSIS/HAKOM à votre plateforme SMSI n'est pas une corvée. C'est une assurance active contre les dérives réglementaires et les surprises d'audit.
Comment CSIRT.hr est-il structuré et qu'est-ce qui a changé en matière de réponse aux incidents ?
Dans le nouveau monde de NIS 2, CSIRT.hr n'est plus un processus d'arrière-plan, c'est le nœud critique de votre réponse à l'incident Hébergé au sein de CARNET, le CSIRT.hr commande désormais tous les aspects de la gestion des incidents NIS 2 pour les entités croates « essentielles » et « importantes ».
La rapidité de votre premier appel définit l’issue de chaque cyberincident.
Qu’est-ce qui a exactement changé avec NIS 2 ?
- Notifications 24h/24 et 7j/7 :
Toutes les violations « matérielles » nécessitent une notification initiale au CSIRT.hr dans les 24 heures, avec un rapport complet dû dans les 72 heures.
- Coordination paneuropéenne :
Les incidents à fort impact ou transfrontaliers sont transmis au réseau CSIRT de l'UE, permettant un soutien technique multilatéral et un partage de renseignements.
- Mises à niveau opérationnelles :
Mission élargie, nouvelle automatisation pour la détection des menaces, portails de renseignement plus rapides et tests de résistance itératifs des procédures.
- Détecter un incident ─> Notifier CSIRT.hr dans les 24 heures
- Rapport technique/commercial complet soumis dans les 72h
- Commentaires et clôture de l'audit:CSIRT.hr fournit une boucle de leçons apprises ; les résultats alimentent les futurs cycles d'audit et de conformité
Appel à l'action : pré-mappez vos contacts CSIRT (insérer leur rapport d'incident(intégration d'informations dans le plan de réponse de chaque actif critique à l'aide de security.croatia.hr).
Tableau des étapes de réponse aux incidents
| phase | Délai | Actions requises |
|---|---|---|
| Détection | Immédiat | Transférer vers CSIRT.hr |
| Avis initial | 24 heures | Envoyer un e-mail ou appeler le CSIRT, partager le résumé |
| Rapport complet | 72 heures | Informations techniques, commerciales et de récupération |
| Remédiation | À la fermeture | Rapport les leçons apprises, incident proche |
Effectuer des exercices de simulation d'incidents pour tester ce flux périodiquement n'est pas seulement une bonne hygiène : c'est désormais un indicateur clé de performance mesuré dans les audits continus.
Maîtrisez NIS 2 sans le chaos des feuilles de calcul
Centralisez les risques, les incidents, les fournisseurs et les preuves dans une seule plateforme propre.
Où en est la législation croate ? Transposition de la NIS 2, délais et chevauchements
La Croatie a achevé la refonte complète de son régime de cybersécurité afin de transposer la NIS 2, abrogeant ainsi la loi de 2018 sur la cybersécurité. Depuis septembre 2024, la couverture sectorielle et les amendes sont déjà passibles de poursuites ; le non-respect constitue désormais un risque réel et exécutoire (Journal officiel).
Chaque jour de retard risque de compromettre à la fois les amendes et la continuité des activités.
Principaux changements dans la mise en œuvre juridique :
- Réécriture complète de la loi :
Un groupe plus large d’entités est couvert, les délais sectoriels sont plus stricts et les amendes maximales sont beaucoup plus élevées.
- Fusion de la confidentialité et de la sécurité :
Désormais, les rapports de sécurité NIS 2 sont harmonisés avec la confidentialité (GDPR); ZSIS garantit que les actions réglementaires ne créent pas d’exigences contradictoires.
- Registre obligatoire :
ZSIS maintient un registre « vivant » de toutes les entités réglementées ; votre statut de conformité est mis à jour et formellement notifiable.
Chronologie juridique Snap
Loi de 2018 → NIS 2 (2022) → Transposition de septembre 2024 → Cycle d'audit en direct
Mesure concrète à prendre : Abonnez-vous à digitalizacija.gov.hr Pour les dates de notification directe et les créneaux de préparation. L'absence de surveillance active aujourd'hui équivaut à un risque évitable.
Qui est couvert ? Statut d'entité, règles transfrontalières et classification continue
La couverture des entités sous NIS 2 n'est pas un exercice de « configuration et d'oubli ». Le registre du ZSIS est la source unique de vérité sur statut de l'entité, et l’auto-évaluation est une obligation récurrente.
Lorsque le périmètre est clair, la conformité passe du risque fantôme au projet gérable.
Comment fonctionne le processus de classification :
- Notification formelle :
Le ZSIS confirme le statut « essentiel » ou « important » ; vous êtes officiellement répertorié.
- Exigence d'auto-évaluation :
Utilisez les outils security.croatia.hr pour déposer des rapports d'état et des attestations annuels (ou basés sur des événements).
- Examen du profil de l'entité :
Demandez à ZSIS des mises à jour du registre si votre activité ou votre structure change.
Tableau : Exemples de mise à jour des risques de classification
| Gâchette | Mise à jour des risques/statuts | SoA/Preuve |
|---|---|---|
| Nouveau service critique | Ajouter au registre ZSIS, mettre à jour SoA | A.5.9, avis ZSIS |
| Changement de secteur | Pétition pour révision du statut | Mise à jour du registre |
| Changement d'offre | Mettre à jour le fournisseur registre des risques | A.5.19, dossier fournisseur |
Chaque entité juridique, y compris les groupes et les filiales, est indépendamment responsable de la conformité, éliminant ainsi le risque de procuration grâce à l’appartenance au groupe.
Soyez prêt pour NIS 2 dès le premier jour
Lancez-vous avec un espace de travail et des modèles éprouvés : personnalisez, attribuez et c'est parti.
Rapports d'incidents et boucles de rétroaction : délais, détails et traces d'audit
Réponse aux incidents La procédure prévue par la NIS 2 est soumise à des délais et des détails rigoureux. Seuls les incidents « importants » doivent être signalés, mais toute omission peut entraîner des risques réglementaires et financiers.
Étapes obligatoires :
- Informez CSIRT.hr dans les 24 heures d’incident « significatif » (attaque, défaillance critique).
- Rapport d’impact technique/commercial complet dans les 72 heures.
- Rapport de clôture, comprenant la cause profonde, le remède et les leçons apprises.
La réactivité transforme les incidents de risques de conformité en crédits de résilience.
Détails et exigences en matière de preuves :
- Cryptage : toutes les soumissions doivent être cryptées et leur accès doit être limité.
- Rapports d'impact : systèmes affectés, impact, statut de violation de la vie privée/des données, cause première, et un plan de récupération doit être inclus.
- Audit annuel : des audits réguliers certifient désormais les routines de journalisation des incidents et la discipline de réponse des entités réglementées.
Tableau de traçabilité : exemples de notifications
| Gâchette | Notification | Preuve |
|---|---|---|
| Ransomware détecté | CSIRT dans les 24h, 72h rpt | SoA A.5.25, Registre des incidents |
| Restauration du service | Commentaires à CSIRT.hr | Journal d'examen post-incident |
| Audit | Preuve de cryptage/journalisation | Documents d'audit annuel du SMSI |
En termes simples : le Piste d'audit La gestion est désormais continue et non plus périodique. Les retours d'expérience et les enseignements tirés de chaque incident contribuent à l'amélioration future des audits et des contrôles, bouclant ainsi la boucle de la résilience.
Rapports, audit et supervision : essentiels pour les conseils d'administration et les équipes d'audit
En Croatie, les audits NIS 2 sont désormais basés sur des données, en temps réel et en temps réel. Le ZSIS dispose de pouvoirs étendus pour mener des audits programmés et inopinés, et les attentes sont passées d'une liste de contrôle annuelle à une liste de contrôle plus stricte. surveillance perpétuelle de la conformité.
Non-remédiation dans 30 jours La non-respect d’une constatation peut entraîner directement des amendes, un contrôle d’audit plus approfondi et le risque d’une publicité réglementaire.
Un tableau de bord d'audit en direct démystifie NIS 2 : un système d'enregistrement équivaut à un système de confiance.
Innovations en matière d'audit et rapports au conseil d'administration
- Tableaux de bord numériques :
On attend des conseils d’administration qu’ils surveillent les indicateurs clés de performance et les résultats en temps (presque) réel, bien avant l’examen réglementaire formel.
- Intégration du registre :
ZSIS fusionne les résultats d'audit directement dans son registre des entités-un lien transparent entre l'audit et le régulateur.
- KPIs: Les indicateurs clés requis incluent désormais la vitesse de détection, l’exhaustivité des rapports et l’engagement du personnel.
Vue en direct du tableau : des conclusions actuelles, des éléments de correction en suspens, des taux de reconnaissance de la politique du personnel et du calendrier de conformité légale.
Tous vos NIS 2, tout en un seul endroit
Des articles 20 à 23 aux plans d’audit, exécutez et prouvez la conformité, de bout en bout.
Chaîne d’approvisionnement, cyber-risque lié aux tiers et achats : quelle est la loi aujourd’hui ?
La chaîne d'approvisionnement est passée d'un simple audit a posteriori à un fondement juridique. La loi croate NIS 2 impose désormais aux entités réglementées :
- Cartographier et documenter tous les fournisseurs clés ;
- Appliquer des contrôles cybernétiques basés sur des contrats ;
- Maintenir une chaîne d'approvisionnement annuelle registre des risques;
- Auto-évaluer et produire des preuves concrètes, conformes aux normes d’audit.
Chaque contrat présente un risque de non-respect du contrôle de conformité et vous héritez de la violation.
Les violations initiées par les fournisseurs sont soumises aux mêmes protocoles de notification que les violations internes. Les régulateurs exigent désormais des indicateurs clés de performance (KPI) précis. résilience de la chaîne d'approvisionnement: fréquence des violations, contrats mis à jour, délais de correction et journaux de preuves.
Tableau de traçabilité de la chaîne d'approvisionnement
| Gâchette | Mise à jour des risques/statuts | SoA/Preuve |
|---|---|---|
| Incident du fournisseur | Mettre à jour le registre des risques et l'audit | SoA A.5.19, contrat, journal |
| Révision annuelle | Chaîne d'approvisionnement revalidée | Registre des risques, enregistrement |
Chaque audit s’attend désormais à voir cette chaîne vivante dans votre plateforme de conformité, et non plus modernisée à la demande.
Position de la Croatie : comparaison avec l'UE, meilleures pratiques et perspectives d'avenir
La réponse NIS 2 de la Croatie figure parmi les autorités les plus coordonnées d'Europe, avec un CSIRT national et un manuel réglementaire en constante évolution. Comparée à ses pairs de l'UE, la Croatie excelle dans la rapidité de sa législation et sa capacité à réagir efficacement aux incidents. Cependant, il reste encore beaucoup à faire pour approfondir les orientations sectorielles, l'engagement des conseils d'administration et l'intégration avec des domaines émergents comme la gouvernance de l'IA.
La véritable maturité cybernétique est évaluée par rapport aux normes les plus strictes des pays voisins et de l’UE.
Liste de contrôle de la maturité de la conformité au niveau du conseil d'administration
- La formation annuelle du conseil d’administration est-elle obligatoire et des dossiers sont-ils conservés ?
- Un tableau de bord de conformité numérique est-il en place et examiné au niveau du conseil d’administration ?
- La gouvernance de l’IA et les risques multinationaux sont-ils cartographiés dans le plan de conformité ?
Prochaine étape concrète : téléchargez la feuille de route NIS 2 du gouvernement croate et transmettez-la à votre comité de conformité. Aligner dès maintenant vos ambitions sur les meilleures pratiques en matière de cybersécurité (et d'IA) vous permettra de prendre une longueur d'avance sur la concurrence.
ISMS.online pour NIS 2 : Intégration de la conformité, des preuves et de l'audit croates
La complexité fragmentée de la conformité NIS 2 croate peut être transformée grâce à une plate-forme de conformité conçue selon la législation locale, la cadence réglementaire et les attentes en matière d'incidents. ISMS.en ligne propose l'intégration HeadStart, des packs de politiques automatisés, des rapports d'incidents en temps réel et des tableaux de bord en temps réel adaptés à ZSIS et CSIRT.hr (isms.online).
- Un tableau de bord unifié permet à ZSIS, CSIRT.hr, aux achats, à la chaîne d'approvisionnement et à la supervision du conseil d'administration d'avoir une vue d'ensemble complète, en suivant chaque exigence, échéance et tâche, depuis les accusés de réception du personnel en temps réel jusqu'au statut de l'audit.
- Les tableaux de bord d'engagement des utilisateurs et de tâches à accomplir fournissent des indicateurs clés de performance pour la reconnaissance des politiques du personnel, l'état de conformité et les délais légaux.
Au-delà de la réussite des audits, vous construisez une résilience de sécurité continue, suivie et visible chaque mois.
Le travail lié, les indicateurs clés de performance, les exportations prêtes à l'emploi et les examens automatisés de la chaîne d'approvisionnement consolident toutes les exigences, éliminant ainsi le chaos des audits de dernière minute et garantissant que chaque action est enregistrée.
Fini les mauvaises surprises au sein du conseil d'administration. Tous les radars de conformité sont désormais centralisés, transformant NIS 2, un risque en un atout pour la réputation de votre organisation.
Commencez dès aujourd'hui une évaluation de la préparation de votre conseil d'administration, lancez la planification d'audits ou explorez des tableaux de bord en direct avec ISMS.online. Transformez la conformité en avantage concurrentiel et faites de la résilience NIS 2 votre atout majeur.
Foire aux questions
Qui est l'autorité NIS 2 de Croatie et comment fonctionne réellement l'escalade de conformité ?
L'autorité officielle croate en matière de NIS 2 est le Bureau de la sécurité des systèmes d'information (ZSIS). Il constitue le centre de surveillance de la NIS 2, de coordination sectorielle et d'interprétation juridique pour tous les secteurs réglementés. Pour toute question relative à la conformité (par exemple, si votre organisation est couverte, les attentes en matière d'audit ou la classification sectorielle), le ZSIS est votre premier point de contact via son portail web officiel. Non seulement le ZSIS fournit des réponses définitives, mais il gère également les escalades en cas d'absence de réponse des ministères sectoriels ou de doute sur la classification. L'escalade formelle consiste à soumettre des requêtes documentées via le portail du ZSIS, le bureau rendant des décisions contraignantes et impliquant les ministères sectoriels en cas de besoin de médiation. En cas d'urgence ou de situation non résolue, le ZSIS met à disposition une ligne d'assistance juridique. Ces étapes d'escalade, ainsi que l'enregistrement de tous les contacts, conseils et abonnements aux actualités du ZSIS, sont obligatoires. éléments probants d'audit sous le régime NIS 2 de la Croatie.
ZSIS est l'épine dorsale documentée permettant de combler les lacunes en matière d'escalade, de favoriser la clarté et de garantir qu'aucune question de conformité ne reste sans réponse.
Feuille de route d'escalade
| Scénario d'escalade | Action | Chemin ZSIS | Preuves d'audit requises |
|---|---|---|---|
| Le ministère est lent ou ne répond pas | Demande formelle au ZSIS | Soumettre via le portail ZSIS | Journal d'escalade |
| Litige de classification | Documenter et soumettre des preuves | Décision/médiation du ZSIS | Preuve du greffe, décision |
| Problème juridique/de conformité urgent | Appelez la hotline ZSIS | Transfert direct entre le conseil d'administration et le secteur | Enregistrement de la hotline/des e-mails |
Conservez une preuve de chaque étape : les audits croates exigent une trace claire des contacts avec les autorités et des enregistrements d'escalade.
Comment fonctionne CSIRT.hr et quelles sont les étapes concrètes à suivre pour signaler un incident en Croatie ?
CSIRT.hr, gérée par CARNET, est l'équipe croate de réponse aux incidents de sécurité informatique faisant autorité pour la gestion de tous les cyberincidents importants réglementés par la norme NIS 2. Si votre organisation est confrontée à un cyberévénement ayant un impact significatif sur ses activités ou ses données, vous devez en informer CSIRT.hr dans les 24 heures via son portail de signalement sécurisé. La première déclaration doit résumer l'impact de l'événement, les actifs affectés et les mesures immédiates à prendre. Un point d'avancement obligatoire est ensuite soumis dans les 72 heures, détaillant les travaux de confinement et d'enquête en cours. Un rapport de clôture est ensuite soumis une fois l'impact entièrement résolu, détaillant explicitement les enseignements tirés et les améliorations à apporter en matière de prévention. CSIRT.hr propose notamment un outil d'auto-vérification pré-incident pour aider les équipes à vérifier leur processus de notification, ce qui est fortement recommandé pour éviter toute rupture de communication en cas de crise.
En exerçant votre flux de travail de notification avant un incident, vous maintenez vos capacités juridiques et de continuité des activités prêtes à être examinées dans le monde réel.
Tableau du cycle de vie des notifications d'incident
| Étape de rapport | Délai | Contenu de base | Voie de soumission | Preuve d'audit |
|---|---|---|---|---|
| Compte-rendu initial | 24 heures | Résumé de l'événement, impact, actions | Portail CSIRT.hr | Journal horodaté |
| Mise à jour en cours | 72 heures | Confinement, enquête | Portail CSIRT.hr | Journal de mise à jour |
| Rapport de fermeture | Sur résolution | Résultats, correctifs, apprentissage | Portail CSIRT.hr | Rapport final/journal |
| Boucle de rétroaction | Fermeture | Intégration des données d'entrée du CSIRT | Interne, ZSIS | Mise à jour de la SoA/politique |
Les risques de pénalité et d'audit augmentent fortement en cas de retard ou de documentation incomplète : une boucle de rétroaction étroite et la tenue de registres ne sont pas négociables.
La Croatie a-t-elle achevé la transposition de la norme NIS 2 et quels sont les déclencheurs d’audit ou les délais légaux qui s’appliquent désormais ?
Depuis septembre 2024, la Croatie a pleinement promulgué une nouvelle loi sur la cybersécurité, inspirée de la NIS 2, étendant les exigences contraignantes à toutes les entités « essentielles » et « importantes ». Ces obligations comprennent des contrôles annuels. examens des risques, signalement des incidents en temps réel, garanties documentées par des tiers et préparation tout au long de l'année aux audits fondés sur des preuves. Les ministères sectoriels coordonnent leurs activités avec le ZSIS pour la tenue du registre national des entités et émettent des rappels annuels concernant les délais de conformité. Les délais légaux pour le signalement des incidents (24h, 72h), l'auto-évaluation et le renouvellement des preuves sont fixés dans le calendrier national et audités chaque année. Il est important de noter que la structure juridique de NIS 2 est désormais référencée au RGPD, aux lois sur les infrastructures critiques et aux statuts de gouvernance de l'IA en pleine évolution. Les organisations doivent donc harmoniser les cycles de preuve et de reporting de conformité sous peine de faire l'objet d'un examen approfondi (RGPD/référence juridique sur les infrastructures critiques).
| Déclencheur/événement d'audit | Entité affectée | Citation légale | Date limite/Période |
|---|---|---|---|
| Fenêtre d'audit annuel | Toutes les organisations couvertes | Loi sur la cybersécurité, NIS 2 | Défini par le registre |
| Incident important | Organisations essentielles/importantes | NIS 2, Loi nationale | 24h + 72h |
| Contrat de fournisseur | Organisations tournées vers la chaîne d'approvisionnement | NIS 2 Art. 21/22 | À la signature du contrat |
Abonnez-vous aux flux ZSIS et ministériels pour recevoir des rappels automatiques de conformité : le non-respect d'un délai constitue désormais une non-conformité statutaire.
Comment pouvez-vous prouver ou contester le statut NIS 2 de votre organisation en Croatie ?
Le statut « essentiel » ou « important » (ou exempté) de votre entreprise est régi par son inscription régulière au registre officiel du ZSIS, mis à jour en partenariat avec les ministères sectoriels. Chaque entreprise concernée doit déposer une auto-évaluation annuelle via l'outil en ligne du gouvernement, précisant son secteur d'activité, son service, sa taille, sa chaîne d'approvisionnement et la structure du groupe. Chaque entité ou filiale du groupe est enregistrée séparément. Si une classification semble incorrecte, vous pouvez la contester en soumettant des preuves (documents sectoriels, extrait du registre ou référence) via le processus de litige du ZSIS. La conservation d'une archive numérique de toutes les auto-évaluations, entrées au registre, contrats et journaux de litiges est essentielle. préparation à l'audit.
Une auto-évaluation annuelle n’est pas seulement une politique : c’est une protection juridique pour votre conseil d’administration et votre cycle d’audit.
Liste de contrôle de conformité du statut de l'entité
- Vérification du registre (annuellement et après tout changement de clé)
- Soumission d'auto-évaluation (couvrant la chaîne d'approvisionnement, le secteur, la taille)
- Déposer toutes les preuves pertinentes du contrat et du registre pour les SoA/audits
- Conserver les enregistrements des litiges, de la correspondance ZSIS et des décisions
Un accès rapide et complet à ces preuves peut faire la différence entre un audit fluide et une constatation qui retarde la certification ou vous expose à un risque juridique.
Quelles étapes opérationnelles et quels cycles de rétroaction les organisations doivent-elles enregistrer pour signaler les incidents NIS 2 en Croatie ?
Un incident NIS 2 est un cyberrisque ou événement susceptible d'avoir un impact significatif sur l'activité, les services ou les données. Séquence de traitement des incidents :
- 1. Rapport initial (≤24h) : Décrivez l’événement, les actifs affectés, les actions immédiates.
- 2. Mise à jour de la progression (≤72h) : Donnez l'état du confinement, la phase d'investigation, le risque mis à jour.
- 3. Rapport de clôture : Détail des correctifs/corrections, des résultats et des leçons apprises.
- 4. Intégration des commentaires : Mappez les recommandations CSIRT.hr dans votre SoA/docs-auditeurs, vérifiez maintenant que ces meilleures pratiques et la réponse du conseil sont visibles dans vos journaux de mise à jour ;;.
| Étape de rapport | Délai | Menu | Où déposer | Entrée du journal d'audit |
|---|---|---|---|---|
| Compte-rendu initial | 24 heures | Impact, actifs affectés, action | Portail CSIRT.hr | Rapport horodaté |
| Mise à jour en cours | 72 heures | Confinement, enquête | CSIRT.hr | Journal de mise à jour |
| Rapport de fermeture | À la résolution | Résultats, leçons, atténuation | CSIRT.hr | Rapport final/journal |
| Boucle de rétroaction | Fermeture | Apprentissage documenté sur les politiques/SoA | Interne + ZSIS | Journal des modifications/commentaires |
Les preuves issues de la boucle de rétroaction constituent désormais une exigence fondamentale en matière d'audit : toute documentation manquante équivaut à des constatations et à d'éventuelles sanctions.
Comment se déroulent les cycles de supervision, d’audit et de pénalité du NIS 2 et que doivent savoir les conseils d’administration ?
Le ZSIS coordonne les audits annuels des entités essentielles (avec possibilité d'audits surprises) et les audits déclenchés par des événements pour les entités importantes. Les signalements d'incidents non signalés, les cas de non-conformité ou les lacunes en matière de preuves entraînent des sanctions et des plans de remédiation obligatoires, généralement avec un préavis de 30 jours. Chaque entreprise réglementée doit maintenir un tableau de bord ou une plateforme de documentation en temps réel présentant les indicateurs clés de performance (KPI) de conformité, les intervalles de clôture des incidents, les mises à jour des SoA/politiques et l'engagement du conseil d'administration. Les auditeurs croates demandent systématiquement tous les journaux de signature du conseil d'administration, des examens programmés et une surveillance des incidents dans le cadre de la examen de conformité processus.
Tableau d'audit et de surveillance du conseil d'administration
| Gâchette | Action de mise à jour | Lien Politique/SoA | Preuve requise |
|---|---|---|---|
| Déclaration de défaillance | Conseil notifié, mesures correctives | Audit SoA, KPI | Notification, plan |
| Audit échoué | Cause profonde et correctif enregistrés | SoA, documentation de contrôle | Journal du régulateur/audit |
| Changement de conseil d'administration/de direction | Approbation et révision de la politique | Manuel de gouvernance | Tableau de bord des documents/KPI |
L'engagement régulier du conseil d'administration, le suivi des validations et les révisions SoA ne sont pas facultatifs : la proactivité, et non les correctifs post-incident, est désormais l'attente dans le régime NIS 2 de la Croatie.
Quelles nouvelles obligations en matière de chaîne d’approvisionnement et de risques liés aux tiers s’appliquent aux organisations croates NIS 2 ?
Toutes les organisations réglementées doivent tenir un registre nominatif et à jour des principaux fournisseurs et tiers, répertorier les clauses de sécurité conformes à la norme NIS 2 dans chaque contrat et réaliser des revues de risques tiers programmées. Les failles ou incidents de sécurité de la chaîne d'approvisionnement doivent être signalés à CSIRT.hr dans les mêmes délais que les incidents internes. Lors d'un audit, les organisations doivent présenter un journal complet de la cartographie des risques de la chaîne d'approvisionnement, des preuves contractuelles, des évaluations des tiers et des mesures d'atténuation prises. Votre fonction achats est désormais un centre de gestion des risques de conformité au même titre que l'informatique ou la sécurité.
Les évaluations annuelles des fournisseurs ne sont plus des formalités administratives : elles constituent une monnaie d'échange pour les auditeurs et les partenaires commerciaux.
Tableau de conformité de la chaîne d'approvisionnement
| Devoir | Preuve d'audit/artefact | Politique liée |
|---|---|---|
| Cartographie des risques fournisseurs | Registre des risques nommés, journal | Politiques des fournisseurs/SCM |
| Clauses contractuelles | Dossier de preuve de clause | Dossiers d'audit des contrats |
| Examen par un tiers | Évaluations annuelles documentées | La gestion des risques plan |
| Incident chez le fournisseur | Rapport/registre CSIRT.hr | Journal des incidents/politique |
Où se situe la Croatie dans le déploiement de l'EU NIS 2 et quelles sont les meilleures pratiques distinctives ?
La Croatie est un leader reconnu en matière d'alignement sur la norme NIS 2 : le ZSIS est une autorité unique et centralisée, soutenue par un CSIRT national robuste et un registre transparent des entités. Les défis restants incluent les disparités de ressources au niveau sectoriel et l'intégration prochaine des règles de la chaîne d'approvisionnement numérique/IA. Les meilleures pratiques avancées sur le marché croate incluent désormais des formations régulières du conseil d'administration sur les cyberrisques, des tableaux de bord des indicateurs clés de performance NIS 2 examinés lors des réunions de direction et un échange actif de renseignements avec les pairs de l'UE ; ces indicateurs distinguent les programmes de conformité avant-gardistes. Les organisations qui intègrent ces pratiques non seulement gardent une longueur d'avance sur les audits, mais surpassent également leurs pairs en matière d'approvisionnement transfrontalier et de confiance numérique.
Comment ISMS.online prend-il en charge la conformité NIS 2 croate de bout en bout et assure-t-il votre préparation à l'audit ?
ISMS.online est spécialement conçu pour traduire la loi croate NIS 2 d'un mandat stressant à la confiance au niveau du conseil d'administration. Notre Intégration HeadStart guide les équipes à travers les étapes de conformité : cartographie du registre, politiques localisées et confirmation du statut de l'entité NIS 2 ((https://fr.isms.online/nis-2-directive/)). Tableaux de bord automatisés et le travail lié conserve preuves en temps réel À portée de main pour les auditeurs, les conseils d'administration et les services des achats, éliminant ainsi les vérifications manuelles de dernière minute, fastidieuses. La cartographie de la chaîne d'approvisionnement et des contrats est simplifiée ; les mises à jour des indicateurs clés de performance (KPI) et la journalisation des incidents répondent aux exigences d'audit avec moins de tâches administratives. Avec packs de politiques spécifiques aux rôles, modules de formation et planification d'incidents intégrée, chaque membre du personnel est doté de preuves claires.
Commencez dès maintenant votre parcours de conformité NIS 2 avec ISMS.online, qui intègre les audits, l'assurance du conseil d'administration et la confiance de la chaîne d'approvisionnement dans un cadre unique et résilient pour les organisations croates et européennes.
