Votre organisation est-elle concernée par la norme NIS 2 ? Et pourquoi est-ce important aujourd’hui ?
Pour de nombreuses organisations, l'horizon des risques réglementaires vient de changer et, sans le dire à voix haute, la directive NIS 2 a peut-être soumis vos activités quotidiennes à certaines des exigences européennes les plus strictes en matière de cybersécurité. Cette loi n'est pas une simple mise à jour : elle redéfinit les responsabilités juridiques, opérationnelles et de direction en matière de sécurité de l'information. L'ancien confort d'être « hors du champ d'application » est désormais un handicap.
Vous ne repérez votre manque de conformité que lorsque l’urgence ne vous laisse pas le temps de le corriger.
La première question, la plus stratégique, est d'une simplicité trompeuse : êtes-vous concerné ? Il ne s'agit pas d'une réponse univoque. La NIS 2 élargit les définitions, intégrant les chaînes d'approvisionnement numériques, les services critiques, les plateformes SaaS et un large éventail de secteurs autrefois ignorés par le premier régime NIS. Si votre organisation est un fournisseur direct, un intermédiaire numérique, voire un fournisseur en amont de clients réglementés, son profil de risque a changé.
Commencez par un exercice de cartographie exhaustif. Consultez les listes sectorielles officielles NIS 2 (annexes I et II) et surveillez les alertes des régulateurs nationaux ; ne présumez pas que les anciennes exceptions s'appliquent toujours. Les mises à jour récentes privilégient désormais l'inclusion à l'exclusion, et il vous incombe de justifier si vous estimez être hors champ d'application. Ne pas documenter cette justification peut entraîner l'échec de transactions, une perte de confiance ou des exercices d'alerte urgents (et coûteux) lorsque l'attention réglementaire se porte sur vous.
Les conseils d'administration sont désormais en première ligne : en vertu de la norme NIS 2, les administrateurs sont personnellement responsables de la conformité, et pas seulement de manière organisationnelle. Les attentes sont passées d'une supervision technique à un leadership au niveau du conseil d'administration et à une gouvernance vérifiable. Si auparavant les décideurs étaient protégés par la discrétion informatique ou opérationnelle, cette protection a disparu. Chaque SMSI doit désormais comporter un historique de l'implication du conseil d'administration et des lignes d'attestation claires.
Si vous avez eu recours à des exemptions légales, il est temps de faire un bilan. Examinez tous les contrats, en particulier ceux impliquant des clients réglementés, car les transferts contractuels peuvent créer une « conformité par association ». Point de vue d'un auditeur : si l'on vous demande des preuves, partez du principe que vous êtes traité comme relevant du champ d'application.
Quels secteurs, entités et zones géographiques définissent votre empreinte NIS 2 ?
Cartographier l'empreinte NIS 2 de votre organisation est la base de la conformité. Pourtant, de nombreuses équipes se trompent en classant mal les limites sectorielles ou les responsabilités géographiques. C'est là que se joue la différence entre une certification simplifiée et une année de révision.
Si vous classez mal votre secteur aujourd’hui, vous passerez des mois à désapprendre les contrôles défectueux demain.
Commencez par faire correspondre vos services principaux aux listes sectorielles officielles du NIS 2 :
- Ancrer tous les principaux secteurs d'activité directement à l'Annexe I (énergie, banque, santé, infrastructures numériques) ou à l'Annexe II (déchets, alimentation, industrie manufacturière). Les entreprises de la chaîne d'approvisionnement, les places de marché numériques et les plateformes d'infrastructure sont souvent concernées, même si elles ne sont pas explicitement mentionnées.
- Identifier les chevauchements : La plupart des entreprises sont à cheval entre les domaines numérique et physique. Si vous opérez dans plusieurs secteurs (par exemple, l'hébergement cloud et la fabrication), effectuez une double cartographie de conformité et, si nécessaire, séparez les audits sectoriels afin de documenter les contrôles spécifiques à chaque domaine.
- Tracez votre géographie opérationnelle : chaque juridiction a sa propre approche de la mise en œuvre de NIS 2. Si vous proposez des services au-delà des frontières de l'UE ou gérez des filiales à l'étranger, vous devez harmoniser la documentation, les enregistrements d'entités et les protocoles de conformité pour chaque entité juridique locale. Commencez par un registre détaillé : qu'est-ce qui est contrôlé depuis le siège et qu'est-ce qui est délégué ?
- Revoir les structures de groupe : société mère, filiale ou succursale ? La conformité ne s'arrête jamais aux frontières d'un organigramme ; elle doit impérativement s'étendre à chaque opération, au-delà des frontières et jusqu'à la chaîne d'approvisionnement.
- Assurer une surveillance continue : Les régulateurs nationaux peuvent (et le font) élargir la liste des secteurs ou entités au fil du temps. La gouvernance doit inclure un rôle de surveillance continue au sein des services de conformité, informatique ou juridique.
La stratégie : Établir et mettre à jour régulièrement un tableau de justification du périmètre, répertoriant les décisions de cartographie sectorielle, les lois applicables et les documents/preuves justifiant chaque choix. Intégrez ce tableau à vos dossiers SMSI ; aucun auditeur, membre du conseil d'administration ou organisme de réglementation n'acceptera un argument de défense fondé sur le doute.
Maîtrisez NIS 2 sans le chaos des feuilles de calcul
Centralisez les risques, les incidents, les fournisseurs et les preuves dans une seule plateforme propre.
Votre taille ou votre rôle déclenche-t-il une conformité directe à la norme NIS 2 ?
La taille n'est plus un laissez-passer. Alors que les seuils par défaut sont de 50 employés ou plus ou de 10 millions d'euros de chiffre d'affaires, la norme NIS 2 donne aux régulateurs la possibilité de qualifier même les plus petites entreprises d'« importance systémique ». Les relations contractuelles peuvent également engendrer une obligation de conformité inattendue, particulièrement fréquente pour les fournisseurs SaaS et les fournisseurs critiques.
Supposer que vous êtes exempté est le moyen le plus rapide d’être pris au dépourvu.
Déployer une revue trimestrielle rigoureuse :
- Nombre d'employés : Définissez clairement la responsabilité de surveiller les effectifs par rapport au seuil de 50 ETP. Si vous avez du personnel saisonnier ou si vous dépassez ce seuil, même temporairement, documentez l'événement et votre intervention.
- Chiffre d'affaires : fluctue autour de 10 millions d'euros ? Suivez les revenus mensuellement et documentez l'approche : une surveillance proactive est plus efficace que des analyses rétrospectives.
- Dérogations sectorielles : Certains secteurs (notamment le cloud, la banque, les télécommunications et la santé) imposent des obligations dès le premier employé ou le chiffre d'affaires nul. Connaissez les règles sectorielles de chaque branche, et pas seulement de votre siège social.
- Cascade de fournisseurs : les contrats avec des entités réglementées (dans le champ d'application) peuvent entraîner des obligations de conformité quelle que soit votre taille, en particulier pour les fournisseurs informatiques et les fournisseurs numériques.
- Documentation : Toute exclusion ou réclamation particulière doit être examinée par le conseil d'administration et consignée comme justification formelle. Une exemption ne vaut que par la dernière signature et les justificatifs.
| Gâchette | Mise à jour des risques | Contrôle / Lien SoA | Preuves enregistrées |
|---|---|---|---|
| Franchir le seuil de 50+ ETP | Passer à « important/essentiel » | Affecter le RACI, mettre à jour la supervision du conseil | Journaux des employés, procès-verbaux du conseil d'administration |
| Secteur reclassé | Redéfinir le périmètre opérationnel | Reprogrammer les politiques, ajuster la couverture de contrôle | Avis par e-mail, mise à jour de la cartographie |
| Revenus fluctuants | Re-tester l'inclusion tous les trimestres | Préparation à l'audit, notification à l'autorité | Journaux financiers, notifications |
| Exemption réclamée | Justification examinée par le conseil | Conserver le registre des exemptions et mettre à jour le registre des risques | Déclaration d'exemption signée |
Chaque trimestre, attribuez un responsable de la conformité (souvent au sein du service financier ou de la GRC) et effectuez un examen formel de ces déclencheurs, en mettant à jour votre registre, vos politiques et votre journal de preuves en conséquence.
Avez-vous verrouillé votre portefeuille de preuves pour l’audit et le contrôle du conseil d’administration ?
Pour les parties prenantes internes et externes, la preuve, et non l'affirmation, est la nouvelle langue véhiculaire de la conformité. Des artefacts numériques, horodatés et validés par le conseil d'administration sont la solution idéale pour tout auditeur, organisme de réglementation ou client exigeant des preuves à la demande.
Ce que vous documentez pour le régulateur de demain est amplifié dans la salle de conseil d’administration d’aujourd’hui.
Un système de preuve prêt pour l’audit doit inclure :
- Registre mondial des preuves : Il ne s'agit pas simplement d'un répertoire, mais d'un système de classement dynamique permettant de suivre la justification de chaque inclusion, exemption ou politique appliquée. Il s'agit d'un horodatage des approbations du conseil d'administration et de la direction.
- Authentification du tableau : Aucun document de conformité n'est complet sans la signature visible d'un administrateur ou d'un dirigeant. Les procès-verbaux réguliers du conseil d'administration et les approbations numériques doivent être centralisés et liés à chaque événement majeur de conformité.
- Superposition d'artefacts : Archivez chaque version des documents clés, comptes rendus de réunion, notes de justification et journaux des modifications. Une communication interne indiquant qu'un risque a été constaté, traité et clos est aussi essentielle que la politique mise à jour.
- Calendrier d'auto-audit : Il est essentiel de procéder à des inspections périodiques ou à des contrôles ponctuels indépendants de votre portefeuille de preuves, afin de mettre en évidence les lacunes avant qu'une partie prenante externe ne les détecte. Chaque constat devient un catalyseur d'amélioration itérative.
ISMS.online prend en charge nativement ce niveau de gestion des artefacts. Grâce à son registre de preuves numériques, ses validations associées et ses pistes d'audit, il rend votre conformité aussi transparente pour les conseils d'administration et les auditeurs que pour votre propre équipe.
Chaque écart détecté lors d’un audit simulé est une victoire : il est préférable que votre équipe le détecte plutôt qu’un organisme de réglementation.
Planifiez des contrôles d'impulsions sur vos preuves tous les six mois - considérez cela comme un bilan de santé opérationnel pour votre SMSI.
Soyez prêt pour NIS 2 dès le premier jour
Lancez-vous avec un espace de travail et des modèles éprouvés : personnalisez, attribuez et c'est parti.
Votre enregistrement NIS 2 est-il déposé, traçable et prêt à être mis à jour en temps réel ?
L'enregistrement NIS 2 n'est pas une simple formalité liée à une échéance ; c'est une preuve concrète de maturité en matière de conformité. Une soumission anticipée permet de disposer d'une marge de manœuvre pour les mesures correctives et signale aux auditeurs et aux clients votre culture de préparation.
- Soumission anticipée et vérifiée : Conservez des enregistrements (captures d'écran, courriels) des dépôts numériques ou manuels et des accusés de réception. Conservez-les comme documents juridiques ; les demandes de vérification par les autorités de réglementation se multiplient.
- Propriété visible : Désignez un responsable désigné pour la supervision de l'enregistrement, la soumission des modifications et l'approbation des mises à jour. Associez-le à votre tableau RACI et rendez-le visible pour le personnel et le conseil d'administration.
- Intégration du processus de changement : Lorsque votre entité fusionne, se restructure ou subit un changement commercial important, déposez immédiatement les mises à jour d'enregistrement et conservez les preuves à des fins de justification et de confirmation par le régulateur.
- Connexion du régulateur à deux voies : Maintenez un dialogue cohérent et documenté avec votre autorité nationale ou votre régulateur sectoriel. Enregistrez chaque demande, clarification et mise à jour dans votre SMSI.
- Lien ISMS.online : Utilisez les fonctionnalités de la plateforme pour lier les preuves du registre, les chaînes de modification et d'approbation et mettre à jour les délais, instantanément accessibles et exportables pour l'audit.
Protégez votre piste d'inscription contre les audits : assurez-vous que les preuves, les mises à jour et les communications sont toujours accessibles pour examen.
La proactivité ici ne permet pas seulement d’éviter les amendes ; elle prouve votre culture de conformité.
Qui possède quoi ? Responsabilités du conseil d'administration, de la direction et du personnel en vertu de la NIS 2
La responsabilisation est à la fois l'épine dorsale et le talon d'Achille de la norme NIS 2. Chaque conseil d'administration, direction et membre clé du personnel doit avoir des rôles de conformité explicites et documentés. L'absence de processus de responsabilisation affaiblit votre défense d'audit plus rapidement que l'absence de politique.
La clarté interne sur qui fait quoi est la première chose qu’un régulateur vérifie et la dernière chose que vous souhaitez manquer lors d’un audit.
Liste de contrôle essentielle pour une propriété responsable :
- Approbation du conseil d'administration : Aucune inscription NIS 2, mise à jour de politique ou modification majeure de conformité n'est valide sans l'approbation officielle du conseil d'administration ou de la direction déléguée. Conservez les journaux d'approbation numériques et les comptes rendus de réunion regroupés dans un seul système.
- Cartographie RACI : Maintenez une matrice RACI actualisée : chaque domaine de conformité est associé à un membre du personnel. Mettez-la à jour immédiatement en cas de changement de personnel, de réaffectation de propriété, de réorganisation ou de changement stratégique. Assurez la gestion des versions de ces enregistrements.
- Protocoles de succession : Évitez tout point de défaillance unique. Des protocoles de transfert, de délégation et de sauvegarde doivent être en place et attestés chaque fois que des rôles sont réaffectés.
- Formation en leadership : Établissez un registre de formation et de reconnaissance pour chaque membre du conseil d'administration, responsable de la conformité et responsable opérationnel. Les certificats et reçus doivent être datés et associés au SMSI.
| Rôle/Domaine | Action attendue | Preuve/Artefact | Contrôle ISO/SoA |
|---|---|---|---|
| Conseil d'administration | Approuver/enregistrer la conformité | Procès-verbaux signés, journaux d'approbation | A.5.2 (Rôles) |
| RSSI/Responsable de la conformité | Cartographier/surveiller les opérations NIS2 | Matrice RACI, soumission d'inscription, calendrier d'examen | A.5.4, A.5.36 (Revue de direction) |
| Opérations informatiques/de sécurité | Mettre à jour les contrôles techniques | Journaux d'incidents, enregistrements de modifications, journaux de formation | A.5.7, A.8.7 |
| Tout le personnel | Formation complète à la conformité | Dossiers de formation, accusés de réception | A.6.3 (Sensibilisation) |
ISMS.online prend en charge cette cartographie des artefacts dès le premier jour : chaque personne, chaque action, chaque artefact, toujours à jour.
Documenter les responsabilités dès maintenant garantit rapidité et clarté par la suite, lorsque la pression augmente.
Tous vos NIS 2, tout en un seul endroit
Des articles 20 à 23 aux plans d’audit, exécutez et prouvez la conformité, de bout en bout.
Votre rythme d’évaluation permet-il d’éviter les surprises lors des audits du « dernier kilomètre » ?
La conformité la plus solide peut être compromise par une seule révision manquée ou une mise à jour motivée par un changement. Le rythme opérationnel de NIS 2 rend les révisions annuelles statiques insuffisantes.
Une habitude d’examen régulière constitue votre meilleure défense en cas d’audit et le signe de fiabilité préféré du régulateur.
Mettre en place un calendrier d’évaluation vivant :
- Contrôle annuel complet : Auditez les secteurs, la taille de l'entité, les contrôles et les registres de propriété au moins une fois par an. Consignez chaque vérification, même si rien ne change.
- Notifications basées sur les changements : Élaborez et mettez en œuvre des politiques qui déclenchent un examen immédiat lorsque des conditions critiques (croissance de l’entreprise, fusion, affectations de personnel) modifient votre profil de conformité.
- Journaux en direct : Utilisez des journaux d'audit en temps réel, accessibles à tous les membres du personnel de conformité, de l'informatique et du conseil d'administration. Les journaux d'audit doivent être instantanément exportables pour répondre aux demandes des inspecteurs ou des clients.
- Désigner des contrôleurs juridiques/sectoriels : Affectez des ressources dédiées ou des rôles tournants à la veille juridique et sectorielle. Utilisez les flux des autorités nationales, les groupes sectoriels et les outils de mise à jour d'ISMS.online.
- Analyse comparative par les pairs : Comparez les principales étapes réglementaires et les résultats des audits avec les références du secteur pour anticiper les attentes et repérer les angles morts potentiels.
Le planificateur, la liaison des artefacts numériques et le système de notification d'ISMS.online automatisent le rythme de révision, faisant de « l'absence de révision » une chose du passé.
Les auditeurs font confiance à ce qu’ils peuvent retracer ; vous devriez faire de même.
Tableau de traçabilité NIS 2 d'une page : attentes, actions et preuves prêtes à être auditées
Une cartographie transparente et traçable de chaque déclencheur, attente et résultat n'est pas seulement la meilleure protection contre les audits : c'est aussi la base de l'efficacité et de la confiance en matière de conformité.
| Attente / Déclencheur | Étape opérationnelle | Référence SOA / ISO 27001 | Preuves prêtes à être vérifiées |
|---|---|---|---|
| Secteur cartographié (Annexe I/II) | Affectation du secteur du registre | 4.3/SoA | Liste des secteurs, capture d'écran d'inscription |
| Limite de taille franchie (50+ ETP) | Mettre à jour l'inscription, informer le conseil | 5.2 (Rôles) | Journaux RH, approbation du conseil d'administration |
| Demande d'exemption | Justification du dossier et documents justificatifs | 6.1.3, SoA | Politique d'exemption, approbation du conseil d'administration |
| Approbation du conseil d'administration | Approuver la conformité chaque année | 5.3/9.3 | Procès-verbal signé, confirmation par courriel |
| Inscription soumise | Suivre/vérifier la réception de l'autorisation | 7.5.3, SoA | Confirmation de soumission, journal de réception |
| Mise à jour du RACI (changement de personnel) | RACI modifié/communiqué stagiaire. | A.5.2, 9.3 | Matrice RACI, note/journal du personnel |
| Les preuves sont maintenues | Journaux/examens numériques en cours | 7.5.3, SoA, 9.1 | Journal actif, enregistrement de révision, piste d'audit |
| Contrôles mis en œuvre (Annexe A) | Carte du secteur/taille ; document | Contrôles de l'Annexe A | Enregistrements de mise en œuvre du contrôle |
| Rapport d'incident activé | Politique, processus de reporting | A.5.24, A.8.15 | Procédure, rapport d'incident |
Maintenez ce tableau à jour. Désignez un responsable de la conformité ou de la sécurité et intégrez de nouvelles preuves ou mises à jour à mesure que les opérations évoluent. ISMS.online permet une édition collaborative en temps réel et un téléchargement instantané pour les audits ou les examens réglementaires.
Un tableau de conformité bien tenu est une preuve de contrôle, pas seulement une mémoire.
Passez à l'étape suivante : ISMS.online aujourd'hui
La conformité à la norme NIS 2 ne se résume pas à des feuilles de travail ou à des cases à cocher : elle repose sur la confiance opérationnelle, des preuves à l’épreuve du temps et un leadership capable de prouver, et non de se contenter d’affirmer, la supervision et la fiabilité. Chaque artefact manquant, chaque chemin de propriété non documenté ou chaque retard de révision représente un risque à venir.
La confiance se construit, elle ne se revendique pas : le bon système est votre raccourci.
ISMS.online révolutionne le parcours NIS 2. En fournissant une plateforme unifiée pour les preuves, les approbations, la cartographie en temps réel et le rythme des révisions, elle assure la résilience réglementaire et la préparation aux audits sans fragmentation. Vous bénéficiez d'une supervision centralisée, de modèles validés par des pairs, de tableaux de bord en temps réel et d'une intégration complète au SMSI, le tout soutenu par des conseils actualisés et une assistance rapide.
Consolidez votre conformité dès aujourd'hui et pour les prochaines réglementations sur la confidentialité, la chaîne d'approvisionnement et l'IA. Attribuez des rôles, automatisez les examens, protégez les preuves et montrez aux régulateurs, à vos clients et à votre conseil d'administration que chaque instant sous NIS 2 vous appartient.
Foire aux questions
Qui décide si votre entreprise est « essentielle » ou « importante » au sens de la NIS 2, et quelle est la première étape à suivre ?
Le point de départ pour le périmètre NIS 2 est toujours la cartographie systématique de votre entreprise ; aucun organisme de réglementation ne le fait à votre place. Vous êtes responsable de l'examen de chaque produit, service et entité par rapport aux secteurs énumérés à l'annexe I (« entités essentielles » comme l'énergie, les transports, la santé et les infrastructures numériques) et à l'annexe II (« entités importantes » comme l'industrie manufacturière, l'alimentation, les TIC et la recherche) de la directive NIS 2, complétés par les seuils ou ajouts nationaux de votre pays. Vérifiez soigneusement si vous dépassez 50 employés ou 10 millions d'euros de chiffre d'affaires/bilan ; certains secteurs à haut risque (comme le cloud, le DNS ou l'administration publique) sont inclus, quelle que soit leur taille. Ignorez donc les idées reçues sur les exemptions. Documentez la logique de votre cartographie, en notant les cas limites et les filiales, et soumettez votre statut (avec justification) à votre autorité nationale NIS 2 ou à l'organisme de réglementation compétent ; la décision finale et toute question éventuelle émaneront d'eux. Il est crucial de revoir votre cartographie après toute acquisition, modification structurelle ou mise à jour réglementaire ; un statut inchangé peut entraîner une non-conformité si le périmètre évolue discrètement.
Faites en sorte que chaque décision de cartographie soit transparente, examinée par le conseil d'administration et prête à être examinée : l'enregistrement est une question de confiance, pas de conjecture.
Pour les listes de contrôle et les mises à jour par étapes, consultez le guide NIS 2 de l'ENISA ou votre autorité nationale.
Quels documents justificatifs devez-vous avoir prêts ?
- Services de base mappés à chaque secteur NIS 2 (annexes I/II et listes nationales)
- Diagrammes de structure juridique, y compris les filiales à l'étranger
- Effectifs et preuves financières pour les seuils
- Justification de la cartographie examinée par le conseil (procès-verbaux, présentations)
- Journal des modifications documentant les cycles de révision ou les changements organisationnels
Quelles preuves documentaires, quels enregistrements et quelles approbations sont requis pour la conformité à la norme NIS 2 (et à quoi ressemble une « préparation à l’audit ») ?
La véritable conformité à la norme NIS 2 repose sur un enregistrement évolutif : non seulement une politique, mais aussi des journaux horodatés et vérifiés par le conseil d’administration, qui retracent le périmètre, la structure et toutes les décisions de conformité de votre entreprise. Vous aurez besoin de :
- Journaux de cartographie sectorielle : qui montrent votre logique de classification, les cas limites et les superpositions de secteurs nationaux, avec l'approbation formelle du conseil d'administration
- Paie et états financiers : pour justifier la taille et toute demande d'exemption, révisée lorsque votre entreprise évolue
- Procès-verbaux signés du conseil d'administration/de la direction : pour démontrer l'approbation de toutes les décisions clés relatives à la portée, à l'exemption et à l'enregistrement
- Confirmations d'inscription numériques : des autorités compétentes, y compris toute correspondance, tout retour d'information ou tout document de dépôt
- Une matrice RACI (rôles et responsabilités) : , mis à jour pour chaque changement dans les tâches de conformité, les rôles du personnel ou les accords d'externalisation
- Un registre des modifications géré de manière centralisée : , documentant chaque événement important (fusions, croissance, nouvelle entrée sur le marché, changements de groupe) qui pourrait affecter la portée, avec une piste d'audit claire de qui a pris chaque décision et quand
Être prêt à l'audit signifie produire tout ce qui précède en quelques minutes, et non en quelques jours, pour tout contrôle, justification ou exemption, idéalement à partir d'une plateforme SMSI unique. Si vous ne pouvez pas démontrer pourquoi vous êtes concerné ou non par le périmètre, avec qui et quand, vous n'êtes pas conforme à la norme NIS 2.
Références :,,
Comment la conformité NIS 2 s’applique-t-elle aux groupes, aux chaînes d’approvisionnement et aux entreprises travaillant au-delà des frontières ?
Les obligations NIS 2 s'appliquent à chaque entité juridique concernée, quelle que soit la complexité du groupe ou de la chaîne d'approvisionnement. Si votre entreprise possède des filiales, des succursales ou des activités contractuelles dans plusieurs pays de l'UE, notamment dans différents secteurs NIS 2, effectuez un mappage du périmètre et de l'identifiant réglementaire pour chaque entité, et pas seulement pour la société mère. Certains pays de l'UE exigent une couverture plus stricte ou plus large (« gold-plating »). Par conséquent, appliquez toujours la norme la plus stricte sur vos marchés pour plus de certitude. Chaque entité peut avoir besoin de registres de preuves indépendants, de l'approbation du conseil d'administration et d'un dialogue direct avec l'autorité nationale concernée.
La conformité à l'échelle du groupe ou au niveau central n'est pas une solution miracle : assurez-vous que votre cartographie tienne compte des spécificités locales, de la responsabilité du conseil d'administration et de l'enregistrement de chaque entité (et pas seulement du siège). Pour les fournisseurs clés ou les prestataires numériques, tenez à jour une matrice de leur statut réglementaire. Si votre fournisseur essentiel n'est pas concerné par la norme NIS 2, mais expose votre activité à des perturbations, attendez-vous à ce que les autorités de réglementation examinent votre diligence raisonnable et votre planification de la résilience dans le cadre de votre propre enregistrement.
La conformité s'effondre lorsque les chaînes d'approvisionnement ou les structures de groupe cachent une entité matérielle à la cartographie ou aux preuves. Ne laissez pas la surveillance devenir une exposition.
Références :,
Quelles sont les erreurs les plus fréquentes dans la cartographie et les preuves NIS 2 et quels systèmes les empêchent ?
Les principaux points de défaillance sont :
- S'appuyer sur des cartographies sectorielles obsolètes ou incomplètes, notamment après les mises à jour de la directive ou nationales
- Demander une exemption sans nouvelle taille/journaux financiers ou approbation du nouveau conseil d'administration (après croissance, restructuration ou licenciements)
- Approbations du conseil d'administration manquantes, non signées ou ambiguës pour les décisions de portée/d'exemption
- Conserver les preuves fragmentées dans des feuilles de calcul, des dossiers SharePoint non pris en charge ou des boîtes de réception du personnel au lieu d'un registre central
- Ne pas mettre à jour les registres et la matrice RACI après des fusions, de nouveaux produits ou des changements rapides de personnel
Prévenez-les grâce à une gouvernance cyclique et robuste :
- Planifiez des examens de conformité trimestriels et des mises à jour déclenchées par des événements pour chaque registre principal (secteur, taille, chaîne d'approvisionnement, RACI)
- Utilisez des signatures numériques et une capture de justification pour chaque exception, exemption ou changement de statut : chaque étape doit avoir un nom et un horodatage
- Affecter un responsable de la conformité pour surveiller les changements réglementaires, mettre à jour le journal des preuves, informer le conseil d'administration et déclencher des examens au niveau du groupe ou de l'entité immédiatement après tout changement
- Stockez chaque mappage, exemption et approbation du conseil dans une plate-forme ISMS centrale et contrôlée avec un contrôle de version strict
Négliger les preuves en temps réel ou les pistes de responsabilité transforme un faux pas au sein du conseil d’administration en une responsabilité légale et ouvre la porte à des amendes et à une perte de réputation.
Références :,,
Qui est responsable de la surveillance, du maintien et de la révision de la conformité NIS 2 à mesure que votre entreprise et la loi évoluent ?
La norme NIS 2 fait de la conformité une obligation au niveau du conseil d'administration, et non une réflexion ultérieure de l'informatique :
- Conseil d'administration/Exécutif : assume la responsabilité ultime des décisions relatives à la portée, des dépôts d'enregistrement, de l'approbation des exemptions et doit examiner/approuver les modifications importantes, enregistrées, chaque année et après tout déclencheur commercial.
- Responsable de la conformité/RSSI : effectue la cartographie pratique, tient à jour les journaux du registre, classe les mises à jour requises et surveille les changements juridiques/sectoriels, en rendant compte à la fois des cycles de routine et des cycles événementiels
- Opérations informatiques/de sécurité : gère les contrôles techniques, les réponses aux incidents et les journaux des modifications qui alimentent les preuves et alertent la conformité aux changements affectant le risque/l'exposition
- Juridique/RH : met à jour les politiques du groupe, suit les fusions, les restructurations, les changements de rôle du personnel et garantit que tous les registres sont alignés sur la législation en vigueur et la structure de l'organisation
Chaque partie responsable doit être nommée dans le RACI, avec des déclencheurs de révision basés sur le calendrier et les changements. La politique doit correspondre à une surveillance réelle : si le conseil d'administration est surpris lors de l'enregistrement ou si le RACI est obsolète, vous courez un risque. La bonne habitude à adopter pour être prêt en cas d'audit est simple : assurez-vous que les approbations, les justifications et les preuves sont à jour, accessibles et clairement associées à chaque résultat de conformité.
Références : White & Case,
Que contient un tableau complet de preuves et de traçabilité NIS 2 et comment ISMS.online peut-il transformer cela en une boucle de contrôle vivante ?
Un tableau de preuves conforme à la norme NIS 2 relie chaque déclencheur opérationnel ou réglementaire à des mesures de conformité, des contrôles et des documents précis, garantissant ainsi qu'aucune étape ne soit perdue entre la réunion du conseil d'administration et le dossier d'audit. Voici un modèle opérationnel concis :
| Déclencheur/Événement | Action de conformité / Propriétaire | ISO 27001/SoA Réf. | Preuve (tableau/journal) |
|---|---|---|---|
| Service/secteur cartographié | Entité de registre, mappage de journaux | 4.3 / SoA | Journal de cartographie, confirmation d'autorité |
| Seuil de taille transversal/exempté | Mise à jour du registre, approbation du conseil | 5.2, 6.1.3 | Paie, justification signée |
| Restructuration/acquisition majeure | Mettre à jour la cartographie, re-notifier | 4.3, 9.3 | Procès-verbaux du conseil d'administration, journal des modifications |
| Examen annuel ou déclencheur | Examen du conseil d'administration, mise à jour du RACI | 5.3, 9.3 | RACI, approbation du conseil d'administration |
| Changement de fournisseur | Mise à jour du RACI, examen de la chaîne d'approvisionnement | A.5.2, A.5.19 | RACI/log, dossier de diligence raisonnable |
ISMS.online intègre ces données dans une plateforme en temps réel, pilotée par les workflows : chaque mappage, exemption, signature du personnel/conseil d'administration et version est contrôlée, horodatée et exportable par le conseil d'administration pour toute révision ou demande d'autorisation réglementaire. Contrairement aux documents statiques ou aux feuilles de calcul, les preuves sont ainsi « vivantes » : vous voyez tout évoluer au rythme de votre entreprise et disposez en permanence d'une piste d'audit. Une véritable préparation à l'audit est quotidienne, et non annuelle.
Votre preuve de conformité n’est pas ce que vous dites lors de l’audit, mais ce que vos dossiers peuvent montrer, instantanément, à la demande.
Références : (https://fr.isms.online),,
