Saviez-vous que la directive NIS2 nomme explicitement, dans son article 21(2)(j), les « systèmes sécurisés de communication d'urgence au sein de l'entité » ?
La plupart des RSSI français découvrent ce point au moment de l'audit.
La plupart se rendent compte trop tard qu'ils n'ont pas de réponse.
Depuis le 17 octobre 2024 — date butoir européenne de transposition — les entités essentielles et importantes au sens de NIS2 doivent appliquer un socle de mesures de gestion des risques de cybersécurité. Parmi celles-ci, l'article 21(2) liste 10 points obligatoires.
Le point (j) est resté sous le radar du marché, et il est pourtant central :
« … et de systèmes sécurisés de communication d'urgence au sein de l'entité » — Directive (UE) 2022/2555, art. 21(2)(j)
Concrètement, cela veut dire qu'un dispositif de mobilisation de crise qui repose sur un seul canal — téléphone fixe, SMS, e-mail ou messagerie unifiée IT — ne tient plus la route quand l'auditeur applique l'article 21(2) à la lettre.
👉 Que se passe-t-il quand le standard téléphonique sature dans les premières minutes d'une crise ?
👉 Quand le SMS groupé n'atteint pas 100 % de vos équipes d'astreinte ?
👉 Quand la messagerie unifiée tombe en même temps que le SI lors d'un ransomware ?
👉 Quand l'opérateur mobile local est en panne plusieurs heures ?
Le sujet n'est plus « faut-il diversifier nos canaux d'alerte ? ».
Le sujet est : « comment on documente à l'auditeur qu'on a sécurisé la chaîne de mobilisation de crise ? ».
C'est pour cela qu'eMessage publie le 30 juin une note de synthèse : « NIS2 et chaîne d'alerte critique — checklist 12 points pour sécuriser la mobilisation de crise », relue avec un avocat spécialisé en cybersécurité.
