Zum Top Menü Zum Hauptmenü Zum Hauptinhalt

Veille réglementaire

Conforme à la législation.
À tout instant et preuves à l’appui.

Nous maintenons une vue d’ensemble pour vous ! Afin d’y parvenir, nous établissons un inventaire de l’ensemble des prescriptions légales et dispositions complémentaires dans le domaine de la sécurité et de la protection de l’environnement, en sélectionnant celles concernant votre entreprise et vous. Cette liste contient entre autres les autorisations d’exploitation, les règlements grand-ducaux et les normes à appliquer.

L’ensemble des documents sont listés avec les indications suivantes, dans un tableau :

  • Texte de référence
  • Niveau de réglementation (national, européen)
  • Domaine (sécurité, protection de l’environnement, autres)

Nous surveillons en outre les prescriptions légales et dispositions complémentaires pertinentes et suivons leur évolution selon des intervalles prédéfinis. Les amendements sont repris dans un tableau. Nous créons également un aperçu de l’ensemble des amendements qui concernent vos activités. Parallèlement aux documents pertinents, le tableau contient les indications suivantes :

  • Texte de référence
  • Niveau de réglementation (national, européen)
  • Amendements

Soutien lors de la certification

Votre partenaire
Jusqu’à la certification et bien au-delà.

Nous sommes votre partenaire de confiance pour de nombreuses certifications et normes que votre entreprise souhaite décrocher dans les domaines les plus divers. Nous partageons notre vaste savoir-faire avec vous sur le chemin de la certification et nous vous accompagnons lors de l’exécution permanente des prescriptions.

Vinçotte Luxembourg vous soutient lors des procédures de certification dans les domaines suivants :

  • Qualité
    ISO 9001, ISO 9001+ (directive ascenseurs/élévateurs, trains, véhicules automobiles)
  • Sécurité
    ISO 45001, VCA
  • Environnement
    ISO 14001, EMAS, ISO 50001
  • Construction durable
    DGNB International
  • Autres certifications
    « gréng Energie » (ILR) ; Automobile (ISO/TS 16949), denrées alimentaires (BRC, ISO 22000, IFS, HACCP)

Audit et diagnostic

Votre partenaire pour
Audit et diagnostic.

Dans le cadre d’un audit et d’une analyse détaillée des processus au sein de votre entreprise, nous vérifions selon les prescriptions officielles et les vôtres le respect des dispositions légales. Nous soumettons en outre vos systèmes de gestion à une expertise précise. Cela nous permet d’établir l’état actuel et de dégager d’éventuels potentiels d’optimisation.

Analyse

Du côté de la sécurité.
Avec Vinçotte.

Vinçotte vérifie en profondeur vos systèmes de sécurité et établit une analyse détaillée de la situation en matière de sécurité dans votre entreprise. Nous expertisons entre autres le contrôle d’accès, la mise en œuvre et la présentation des instructions de sécurité ou des plans d’évacuation.

Prévention

Vision Zéro.
Une approche préventive des accidents au travail.

Parallèlement à l’initiative Vision Zero – www.visionzero.lu, nous vous soutenons quant à l’ensemble des aspects afin de réduire autant que possible la fréquence et la gravité des accidents de travail et de trajet ainsi que les maladies professionnelles. Dans le sillage des décisions et de la charte nationale de la Vision Zero, nous accompagnons les entreprises sur le chemin vers la promotion et la coordination de la sécurité ainsi que de la santé au travail mais également afin de leur conférer un nouvel élan. L’accent principal est à ce titre placé sur la responsabilité propre, la prévention et la formation dans l’ensemble des services de l’entreprise.

NIS2, CER, ISO/IEC 27001

NIS2, CER, ISO/IEC 27001 – Qu’ai-je besoin de savoir ? Qu’ai-je besoin de faire ?

Dans les domaines de la sécurité de l’information, de la cybersécurité et de la gestion de la continuité d’activité, ces acronymes sont désormais utilisés sur tous les canaux, tout comme l’étaient le RGPD et la protection de l’information il y a quelques années. Que devez-vous savoir à ce sujet et, en particulier, que devez-vous faire ?

Nul besoin de paniquer. En bref, il s’agit de bonnes pratiques et de méthodologies pour une approche holistique basée sur les risques liés à la gestion de la continuité d’activité, à la sécurité de l’information, et à la cybersécurité d’une organisation.

Dans un monde de plus en plus numérisé, l’objectif est, d’une part, de protéger chacun d’entre nous et, d’autre part, d’assurer la résilience des entreprises dans une société sûre. Il n’est plus possible d’assurer les fonctions critiques d’un secteur sans investir dans la fonctionnalité et la sécurité de l’infrastructure numérique.

Un grand nombre d’éléments nécessaires à la gestion systématique de la sécurité de l’information ou de la cybersécurité sont peut-être déjà en place dans votre organisation. Il est très probable que ces pratiques ou processus aient déjà été mis en œuvre, par exemple dans le cadre de l’élaboration du règlement général sur la protection des données (RGPD), à partir duquel ils peuvent être affinés.

L’objectif principal devrait être de passer d’une réflexion sur la sécurité technique à l’essentiel : gérer l’activité avec une sécurité de l’information planifiée et basée sur les risques. La sécurité de l’information, comme tous les autres aspects de la sécurité, a besoin de formation, de conseils et de la création, de l’application et de la mise en œuvre de bonnes pratiques.

La directive NIS2 est une étape importante vers une meilleure sécurité de l’information et des réseaux dans l’Union européenne. Elle reflète les exigences de l’ère numérique et la nécessité de protéger la société et l’économie contre les menaces liées à la sécurité en ligne et à la sécurité de l’information.

Mais que signifient réellement ces acronymes ?

NIS2 (Network and Information Security 2), est une directive de l’Union européenne qui vise à garantir un niveau élevé de sécurité de l’information dans l’environnement numérique. Elle se concentre sur la sécurité en ligne et la sécurité de l’information et concerne diverses organisations ainsi que les principaux fournisseurs de services numériques. La directive fixe des exigences en matière de mesures de sécurité et exige que les violations graves de la sécurité soient signalées aux autorités nationales. Elle vise à améliorer la sécurité de l’information à l’échelle de l’UE et la préparation aux cybermenaces potentielles. L’application nationale de la directive NIS2 entrera en vigueur en octobre 2024.

CER (Critical Entity Resilience), la directive sur la résilience des entités critiques, est également une directive de l’Union européenne qui vise à améliorer la résilience des services critiques de la société. L’essentiel est de comprendre la portée des menaces et des perturbations de chaque organisation et de renforcer le travail proactif afin de réduire la durée et d’atténuer l’impact des perturbations potentielles – en d’autres termes, de mettre en œuvre une gestion de la continuité d’activité. Les opérateurs critiques doivent procéder à des évaluations des risques et prendre des mesures techniques et organisationnelles pour améliorer leur résilience et signaler les perturbations. Comme pour NIS2, l’application de la directive CER entrera en vigueur en octobre 2024.

ISO/IEC 27001 est la norme pour la gestion et la gouvernance de la sécurité de l’information. La première version a été publiée en 2005 et la dernière en 2022. Cette norme décrit une approche de gestion basée sur le risque et donc proactive pour répondre aux menaces qui pèsent sur la confidentialité, l’intégrité ou la disponibilité des actifs informationnels et pour satisfaire aux exigences de sécurité. En tant que norme internationale, ISO/IEC 27001 est reconnue dans le monde entier et des certificats peuvent être délivrés pour attester de la conformité à ses exigences.

Comment les trois sont-ils liés ?

Comme décrit ci-dessus, NIS2 exige, entre autres, une gestion de la sécurité de l’information basée sur les risques, une réponse rapide aux incidents de sécurité graves et une notification aux autorités. Ce sont les mêmes éléments que le système de gestion de la sécurité de l’information ISO/IEC 27001 inclut directement.

CER, qui exige une gestion de la continuité de la part des opérateurs critiques, bénéficie d’un soutien direct de la part de l’ISO/IEC 27001. En effet, les exigences de NIS2 en matière de gestion des incidents liés à l’information et à la cybersécurité et le modèle de gestion ISO/IEC 27001 pour la gestion et le maintien de la sécurité de l’information sont intimement liées.

Tous ces éléments sont liés à une gestion des risques intégrée aux processus, à la prise de décision et à la gestion.

Qui est concerné par la directive CER sur la résilience ?

La directive CER couvre 11 secteurs, pour lesquels chaque État membre de l’UE doit identifier les opérateurs critiques d’ici le 17 juillet 2026.

 

Qui est concerné par la directive NIS2 sur la sécurité de l’information ?

Les exigences de la directive NIS2 s’appliquent aux opérateurs critiques pour la sécurité et la continuité de la société, répartis en 15 secteurs différents.

La directive diffère d’un secteur à l’autre, par exemple en termes de rapports et de sanctions, mais les obligations sont les mêmes pour tous. En outre, des critères ont été définis pour les entreprises en termes de nombre d’employés, de chiffre d’affaires et de total du bilan.

NIS2 concerne un large éventail d’organisations essentielles au fonctionnement et à la sécurité de l’infrastructure numérique de l’Union européenne, telles que :

  1. Fournisseurs de services en ligne : comprend les fournisseurs de services qui offrent des services numériques tels que les boutiques en ligne, les plateformes de médias sociaux, les services cloud, etc.
  2. Les entreprises du secteur de l’énergie : les producteurs d’électricité, les sociétés de distribution et les autres opérateurs du secteur de l’énergie dont les activités sont essentielles au fonctionnement de la société.
  3. Institutions financières : banques, compagnies d’assurance et autres organisations fournissant des services financiers dont la sécurité est essentielle à la sécurité financière de leurs clients.
  4. Services numériques critiques : par exemple, les organisations fournissant des services de santé, de transport, d’eau ou d’autres services essentiels dont la capacité opérationnelle et la sécurité de l’information sont cruciales.

Comment se mettre en conformité avec la directive NIS2 ?

La meilleure façon de commencer est de se familiariser avec la norme ISO/IEC 27001 sur les systèmes de gestion de la sécurité de l’information. Elle intègre une grande partie des exigences de la directive NIS2 et fournit une approche systématique et holistique de la gestion et de la gouvernance de la sécurité de l’information. Son importance sera encore renforcée par la directive contraignante NIS2.

Nous sommes là pour vous aider ! Vinçotte vous propose une gamme de services pour la gestion et le développement de la sécurité de l’information :

  1. des formations générales et sur mesure pour l’ensemble du personnel et la direction d’une organisation  ;
  2. des services de consultance et de conseil, de l’élaboration de modèles de gouvernance à la planification et à l’exécution d’audits internes, en passant par la mise en œuvre de politiques de sécurité de l’information  ;
  3. un outil concret pour la gestion de la conformité et le soutien à la certification, Kiwa Comply™.

Contactez-nous pour organiser une réunion gratuite d’évaluation des besoins de 30 minutes, au cours de laquelle nous pourrons planifier une approche adaptée à votre organisation.