Expert en gouvernance et conformité NIS2 (Freelance)
Omschrijving
Let op: de tekst van deze vacature wordt niet automatisch vertaald en kan in een andere taal zijn opgesteld.
đ TĂąches et responsabilitĂ©s
Cette mission a pour objectif de relancer et de structurer un programme de conformitĂ© NIS2 au sein dâune organisation considĂ©rĂ©e comme service essentiel. Elle vise Ă remettre en place un cadre opĂ©rationnel, Ă rĂ©tablir un pilotage clair du programme et Ă assurer un transfert de compĂ©tences vers le Programme Manager interne.
Lâintervention se fera principalement en qualitĂ© dâexpert NIS2, en support du Programme Manager interne. Durant la phase de dĂ©marrage uniquement, une posture plus structurante pourra ĂȘtre adoptĂ©e afin de mettre en place la gouvernance, les rituels de pilotage, la priorisation, la feuille de route et le reporting, sans se substituer durablement Ă la fonction interne.
La dĂ©marche repose sur une logique risk-based et sur la dĂ©finition dâun socle de Minimum Viable Compliance, afin de concentrer les efforts sur les risques rĂ©els pesant sur les activitĂ©s essentielles.
Objectifs
- Relancer rapidement la dynamique de conformité NIS2.
- Structurer une gouvernance et un pilotage lisibles du programme.
- Prioriser les actions en fonction des risques cyber et des activités essentielles.
- Définir un socle minimal, réaliste et démontrable de conformité.
- Renforcer lâautonomie du Programme Manager interne grĂące Ă un accompagnement expert et Ă un transfert de compĂ©tences.
PérimÚtre de la mission
- Prendre connaissance de maniĂšre structurĂ©e du programme NIS2 existant Ă partir des rapports, auto-Ă©valuations, analyses dâĂ©carts, documents produits et plans dâaction disponibles.
- Clarifier le pĂ©rimĂštre dâintervention au dĂ©marrage avec le sponsor, le CISO et les parties prenantes de gouvernance concernĂ©es, en tenant compte des travaux dĂ©jĂ prĂ©vus ou rĂ©alisĂ©s.
- Revoir la cartographie des activités métiers, des services critiques et des dépendances internes et externes, y compris les fournisseurs, ainsi que leur alignement avec les risques cyber.
- Objectiver les points dâattention du programme, identifier les Ă©lĂ©ments Ă clarifier ou Ă consolider et mettre en Ă©vidence les leviers facilitant sa poursuite, sa priorisation et son pilotage.
- Identifier des quick wins pour relancer rapidement la dynamique de conformité.
- Définir une approche méthodologique risk-based pour prioriser les actions selon les risques réels pesant sur les activités essentielles.
- DĂ©finir une approche de type Minimum Viable Compliance, avec un pĂ©rimĂštre clarifiĂ©, une gouvernance dĂ©finie, une cartographie des activitĂ©s critiques, un plan dâaction priorisĂ© et les premiers Ă©lĂ©ments de preuve associĂ©s.
- Accompagner, soutenir et former le Programme Manager interne afin de faciliter la reprise en main durable du programme NIS2.
- Construire une feuille de route phasĂ©e, graduĂ©e et itĂ©rative couvrant les actions immĂ©diates, les remĂ©diations prioritaires, lâindustrialisation du pilotage et lâamĂ©lioration continue.
Livrables attendus
- Cadrage et consolidation du programme NIS2
- Note de cadrage de la mission et confirmation du périmÚtre avec les parties prenantes.
- Définition de la charte du programme et de son planning.
- SynthĂšse structurĂ©e des Ă©lĂ©ments existants : rapports, auto-Ă©valuations, analyses dâĂ©carts, documents de gouvernance, plans dâaction et Ă©lĂ©ments de preuve disponibles.
- Matrice des points dâattention, zones Ă clarifier, dĂ©pendances et dĂ©cisions Ă arbitrer.
- Cartographie, criticité et priorisation par les risques
- Revue de la pertinence de la cartographie métier existante et de son alignement avec les services critiques.
- Identification des dépendances internes et externes significatives, notamment les fournisseurs et les services support.
- Mise en lien entre activités critiques, risques cyber, exigences NIS2 et priorités de remédiation.
- Approche méthodologique risk-based et Minimum Viable Compliance
- Approche de priorisation fondée sur les risques réels pesant sur les activités essentielles.
- Définition du socle de Minimum Viable Compliance afin de rendre la conformité progressive, réaliste et démontrable.
- Identification des premiers éléments de preuve à constituer ou à consolider.
- Plan dâamĂ©lioration et feuille de route
- Plan dâamĂ©lioration priorisĂ© distinguant quick wins, actions immĂ©diates, remĂ©diations prioritaires et chantiers dâindustrialisation.
- Feuille de route phasée, graduée et itérative pour le pilotage du programme NIS2.
- Recommandations de gouvernance, rapports de suivi, indicateurs et mécanismes de reporting.
- Accompagnement du Programme Manager interne
- Sessions de support, de coaching et de transfert de compétences.
- PrĂ©paration et animation dâateliers ciblĂ©s avec les parties prenantes pertinentes.
- Support à la structuration des décisions, arbitrages et suivis nécessaires à la relance du programme.
- Reporting et restitution
- Rapports pĂ©riodiques dâavancement couvrant lâĂ©tat des actions, les risques, les dĂ©cisions attendues et les points bloquants.
- Support de restitution à la direction, incluant la situation du programme, les priorités et la trajectoire proposée.
- Capitalisation des supports méthodologiques utiles à la poursuite du programme aprÚs la mission.
ModalitĂ©s dâintervention
Lâintervention combine des analyses documentaires, des entretiens, des ateliers ciblĂ©s et des points de validation avec les parties prenantes, en prĂ©sentiel et/ou Ă distance.
Démarrage souhaité : dÚs que possible.
đVotre profil
Vous disposez dâune expĂ©rience avĂ©rĂ©e dans lâaccompagnement dâentitĂ©s importantes ou essentielles au regard de NIS2 et du Framework CYFUN, idĂ©alement dans le secteur public.
- Expérience confirmée en gouvernance cybersécurité, conformité NIS2, gestion des risques et structuration de programmes de conformité.
- Expérience pertinente en tant que Senior IT Security Program Manager ou dans une fonction équivalente.
- Bonne connaissance des environnements de services digitaux et publics.
- Capacité à accompagner un Programme Manager interne, à former les parties prenantes et à produire des livrables exécutifs exploitables par la direction.
- MaĂźtrise experte en Cyber Security, Risk Management et ISO 27001:2005.
- Certifications de référence attendues : CISSP, CISM et ISO 27001 Senior Lead Implementer, ou équivalents démontrables.
- Langues : nĂ©erlandais ou français, ainsi que lâanglais.