Comment la gestion des correctifs est-elle devenue essentielle à la conformité, et pas seulement à l’informatique ?
Autrefois réservée aux équipes informatiques discrètes, la gestion des correctifs est désormais un enjeu visible au niveau du conseil d'administration. Avec NIS 2, ISO 27001:2022, et les normes d'approvisionnement modernes, les correctifs sont passés d'une simple maintenance à un indicateur de confiance pour les clients, les régulateurs et la direction. Les dirigeants reconnaissent de plus en plus que les lacunes en matière de preuves dans le processus de correctifs signalent un risque opérationnel, une exposition financière et une menace pour la crédibilité de l'entreprise. Le contexte actuel de conformité exige des journaux rigoureux et exportables pour chaque correctif, exception et événement fournisseur (Guidance ENISA NIS2 ; Rapports de sécurité Gartner).
Un correctif non éprouvé est désormais aussi risqué qu’un correctif non appliqué : la conformité, l’approvisionnement et la sécurité dépendent tous des preuves.
La réglementation impose des exigences plus strictes : il ne suffit plus d’appliquer des correctifs, il faut présenter son processus, ses approbations et sa justification en temps réel. Les conseils d’administration souhaitent des tableaux de bord cartographiant des indicateurs clés de performance (KPI) tels que le délai d’application des correctifs, les exceptions en suspens et l’état de la chaîne d’approvisionnement. Les auditeurs demandent désormais : « Pouvez-vous indiquer, en un clic, qui a approuvé une mise à jour retardée, quel fournisseur est en retard et comment le risque a été atténué ? » Les responsables de la sécurité doivent être prêts à répondre, non seulement en interne, mais aussi aux partenaires, aux clients et aux autorités de réglementation.
Gestion moderne des correctifs : tableau des changements d'attentes
Description par défaut
Demander demoPourquoi les mises à jour de routine ne sont plus satisfaisantes ? Et ce qu'exige une gestion des correctifs prêts à l'audit.
Les attaquants imposent le rythme. Les vulnérabilités apparaissent quotidiennement, et le cycle mensuel de correctifs est bien trop lent, compte tenu des obligations légales et du contexte des menaces. Un SMSI incapable de documenter les réponses implique une prise de risque, et la gestion des exceptions n'est plus une affaire informatique privée : chaque faille doit être examinée, évaluée en termes de risques et documentée pour les régulateurs, les clients et les conseils d'administration (TechRadar AI Threats 2025 ; ENISA Audit). Leçons apprises).
Une lacune dans le processus de correction devient le problème de demain si vous ne pouvez pas fournir de preuves, de justifications et de solutions à la demande.
La conformité moderne exige :
- Praticiens: pour enregistrer le travail, justifier les retards ou les exceptions et documenter examens des risques-tout en temps réel.
- Dirigeants supérieurs : pour surveiller les indicateurs clés de performance : âge des CVE non corrigés, délai de fermeture des exceptions et problèmes ouverts des fournisseurs.
- Équipes juridiques/confidentialité : coordonner les preuves pour l'AIPD, notification d'incident, et les SAR, référençant chaque exception et chaque retard.
Les agences nationales et les partenaires contractuels attendent cette approche globale : fini les dossiers fragmentés, fini le « classement à la fin du trimestre ». Si votre documentation n'est pas actualisée et traçable, une faille de sécurité chez un fournisseur ou une mise à jour lente peut multiplier les risques réglementaires et financiers pour votre organisation.
Maîtrisez NIS 2 sans le chaos des feuilles de calcul
Centralisez les risques, les incidents, les fournisseurs et les preuves dans une seule plateforme propre.
Votre processus de correctifs est-il réellement basé sur les risques ? Et comment le prouver ?
Aucune entreprise ne peut tout corriger d'un coup. L'objectif est de documenter la justification, le tri et les résultats, en particulier pour les actifs critiques, les vulnérabilités connues et exploitées et les dépendances de la chaîne d'approvisionnement (ISO 27001:2022, annexes A.8.8 et A.5.21 ; étude de la chaîne d'approvisionnement de l'ENISA).
Les statistiques sur les violations montrent que les échecs les plus importants en matière de contrats et d'audits commencent par un seul correctif non comptabilisé, généralement dans la chaîne des fournisseurs.
La nouvelle norme est pondérée en fonction des risques et centrée sur les preuves :
- Priorité: Concentrez-vous sur les actifs critiques pour l’entreprise et les intégrations des principaux fournisseurs.
- Preuve: Maintenir des journaux continus et exportables avec des liens vers registre des risques et SoA.
- Des exceptions: Transférez chaque exception pour validation ; mappez-la à un actif spécifique, à un risque commercial et à un réviseur.
Tableau d'exemples de traçabilité
| **Déclenchement** | **Mise à jour des risques** | **Lien Contrôle/SoA** | **Preuve** |
|---|---|---|---|
| Nouveau CVE critique | Augmenter le risque | Annexe A.8.8 (gestion des vulnérabilités) | Preuves du tableau de bord, entrée du suivi des risques |
| Retard du fournisseur | Mettre à jour le risque contractuel | Annexe A.5.21, fournisseur | Document SLA, note d'exception, lien croisé de contrat |
| Exception nécessaire | Note de risque enregistrée | Journal des modifications, SLA fournisseur | Approbation d'exception + réviseur dans le journal |
| Patch appliqué | Actif/KPI mis à jour | Gestion des actifs, suivi d'audit | Achèvement signé, preuve, lien d'audit |
Chaque entreprise est désormais jugée non seulement sur la rapidité des correctifs techniques, mais aussi sur la rigueur et l'exhaustivité de ses piste de preuves.
L'approche ISMS.online : conformité transparente, preuves automatisées et preuve des fournisseurs
ISMS.en ligne a été conçu pour les réalités post-NIS 2. Alors que la gestion des correctifs était auparavant une tâche administrative secondaire, nos utilisateurs l'intègrent désormais comme un flux de travail continu et journalisé, automatisant ainsi l'intégration des contrôles internes et des fournisseurs. Cette approche est conçue pour :
- Kickstarters en matière de conformité : « Fini la confusion des correctifs ; chaque action est associée à des contrôles, des politiques et des journaux de preuves. »
- RSSI/Responsables de la sécurité : « Les tableaux de bord suivent chaque événement, exception et risque, vous fournissant ainsi des indicateurs pour le tableau. »
- Praticiens: « Les validations par lots et les approbations basées sur des modèles remplacent les tâches administratives chronophages. »
- Confidentialité/Mentions légales : « Chaque correctif, événement et incident est directement lié au SAR, au DPIA et rapport d'incidentprotocoles de sécurité. »
Faites en sorte que votre documentation SMSI soit toujours en avance sur votre prochain audit ou demande de chaîne d'approvisionnement.
Notre cartographie est conforme aux normes ISO 27001, NIS 2, DORA et GDPR depuis l'activité de correctif au niveau des actifs jusqu'à la registre des risques et tableaux de bord des contrats. Les lacunes des correctifs des fournisseurs déclenchent la journalisation des exceptions et des actions d'approvisionnement. Les dossiers de preuves sont prêts avant les audits, et non après, ce qui réduit les risques liés au cycle de vente et renforce la confiance des clients (Fonctionnalités ISMS.online).
Soyez prêt pour NIS 2 dès le premier jour
Lancez-vous avec un espace de travail et des modèles éprouvés : personnalisez, attribuez et c'est parti.
Automatisation des journaux de correctifs à l'épreuve des audits : comment ISMS.online réduit la charge de travail et renforce la confiance
La documentation manuelle ne suit tout simplement pas le rythme. ISMS.online transforme le processus de la « course au papier lors de l'audit » en une preuve concrète et orchestrée :
- Tableaux de bord: afficher l'état et les exceptions en temps réel.
- Flux de travail basé sur les rôles : enregistre chaque justification, chaque réviseur et chaque approbation, c'est-à-dire chaque action présentée à la bonne partie prenante (« qui, quand, quoi, pourquoi »).
- Données du fournisseur : Journaux de correctifs tiers et SLA enregistrés et disponibles pour l'exportation, facilitant les cycles d'approvisionnement et les contrôles de conformité des contrats.
- Annulations d'incidents : Les remplacements manuels ou les problèmes urgents doivent être documentés et examinés en fonction des risques avant la clôture ; les journaux sont automatiquement liés aux actions correctives et aux contrôles (logiciel de gestion des correctifs TechTarget).
Il ne suffit pas de se préparer à un audit avant celui-ci. C'est une étape quotidienne, à chaque étape du processus.
Les équipes qui automatisent constatent non seulement une diminution des constatations d'audit, mais aussi une gestion plus rigoureuse des fournisseurs et une réduction mesurable du risque opérationnel. L'automatisation ne se résume pas à une simple efficacité technique : c'est un atout majeur pour l'entreprise, qui rassure à la fois les auditeurs, les acheteurs et les régulateurs.
Préparer la documentation des correctifs pour l'audit, puis la conserver
Le constat d'audit le plus fréquent ? Non pas un correctif manquant, mais un manque de clarté quant à la nature des exceptions et des retards. Pour une conformité moderne, seules journaux immuables et contextuels mappé au risque et le SoA suffira (examen des clauses ISO 27001).
Tableau de traçabilité de la conformité des correctifs
| **Événement** | **Preuve requise** | **Journal ISMS.online** |
|---|---|---|
| Patch différé | Note de risque, approbation, exception | Enregistrement d'exception, signataire, date |
| Rollback | Incident cause première, journal des modifications | Incident lié, mémo sur les causes profondes |
| Succès du correctif | Résultats des tests, approbations, correcteur | Saisie d'actifs, validation, tableau de bord |
Être prêt pour l'audit signifie ne jamais avoir à chercher des preuves : votre système doit vous permettre de toujours être prêt.
Pour les dirigeants, cela signifie que les journaux sont aussi utiles aux achats et à l'audit qu'à la sécurité. Pour les praticiens, cela signifie sommeil et confiance lors de chaque réunion du conseil d'administration ou appel client.
Tous vos NIS 2, tout en un seul endroit
Des articles 20 à 23 aux plans d’audit, exécutez et prouvez la conformité, de bout en bout.
Amélioration continue : boucler la gestion des correctifs
Une bonne gestion des correctifs est circulaire et non linéaire. Vos exceptions et incidents doivent être les fondements de votre résilience future. De plus en plus, les référentiels (NIS 2, ISO 27001, DORA) exigent des preuves d'amélioration continue : les retours d'expérience doivent conduire à des changements mesurables (cas de réduction des pannes de l'ENISA).
- Chaque incident ou restauration déclenche une analyse des causes profondes, qui recalibre ensuite les politiques de correctifs et les paramètres d'automatisation.
- L'examen de gestion trimestriel ou annuel utilise les tableaux de bord ISMS.online pour mettre en évidence les exceptions en suspens, les fournisseurs en goulot d'étranglement et les prochaines cibles pour les mises à niveau des processus ou des outils.
- Cela ferme la boucle : *documentation → révision → ajustement → résilience améliorée*.
Votre journal d'audit est plus qu'un trophée de conformité : c'est un tableau de capteurs indiquant ce qu'il faut améliorer avant le prochain trimestre ou le prochain attaquant.
Faites de la conformité des correctifs votre accélérateur de confiance, et non pas seulement un simple contrôle d'audit.
La gestion des correctifs, autrefois invisible, est désormais essentielle à la crédibilité et à la conformité de votre entreprise. Avec ISMS.online, chaque correctif, exception, événement fournisseur et risque métier est non seulement enregistré, mais aussi instantanément mis en évidence, connecté et exportable pour audit, approvisionnement ou contrôle réglementaire. Résultat : vous passez moins de temps à gérer les incidents et plus de temps à démontrer votre résilience et à exploiter les opportunités.
Dans un monde où la récupération n'est jamais garantie, les journaux de correctifs en temps réel et riches en preuves vous rendent non seulement conforme, mais également compétitif.
Transformez la gestion des correctifs en un avantage commercial. Déployez les workflows et les preuves exigés par les acheteurs, les auditeurs et le conseil d'administration. Optimisez vos pratiques : laissez les preuves travailler pour vous.
Foire aux questions
Qu'est-ce qui fait de la gestion des correctifs NIS 2 Section 6.6 un tournant pour les équipes de conformité et de sécurité ?
La section 6.6 de la norme NIS 2 transforme la gestion des correctifs, qui n'était auparavant qu'une routine informatique interne, en un contrôle continu et auditable, censé résister à l'examen des autorités de réglementation et des clients. Chaque action de correctif de sécurité (approbation, report, exception ou mise à jour fournisseur) doit désormais faire l'objet d'une évaluation des risques, d'une approbation des rôles et être immédiatement exportable. L'effort maximal ou les journaux informatiques ne suffisent plus : les organisations doivent démontrer une rigueur de processus détaillée, ligne par ligne. Les autorités et les clients exigent que tous les correctifs, y compris ceux provenant de tiers, soient traçables et directement liés aux décisions de gestion des risques et aux équipes responsables.
La preuve, et non plus seulement l’intention, est désormais la monnaie de la confiance numérique.
Distinctions clés :
- Chaque report ou exception de correctif doit être approuvé par un propriétaire de risque, enregistré et prêt à montrer votre justification à un auditeur, et non enterré dans un e-mail ou un système de tickets.
- Les journaux doivent être immuables, basés sur les rôles et centraux, et non dispersés ou regroupés rétroactivement.
- Les correctifs des fournisseurs sont entièrement concernés : vous êtes responsable de la capture et de la production de leurs preuves de mise à jour dans le cadre de vos artefacts de conformité.
La capacité d'une équipe à produire une chaîne ininterrompue de décisions en matière de correctifs, internes ou externes, est désormais un pilier incontournable de la conformité. Cette évolution vous permet de démontrer votre maturité opérationnelle, d'obtenir rapidement des approbations d'audit et de conserver la confiance de vos clients, même face à une surveillance accrue.
Comment la norme ISO 27001:2022 s'adapte-t-elle directement à la gestion des correctifs NIS 2, et à quoi les auditeurs s'attendent-ils ?
La norme ISO 27001:2022 et la section 6.6 de NIS 2 s'alignent sur la gestion des correctifs comme un processus continu, axé sur les risques, qui couvre les environnements internes et l'ensemble de votre chaîne d'approvisionnement. La norme ISO 27001 A.8.8 impose un suivi et une évaluation des risques de chaque vulnérabilité technique ; c'est sur cette base que NIS 2 insiste sur l'exportation et l'approbation des rôles. des pistes de vérificationLa surveillance de la chaîne d'approvisionnement dans A.5.21 renforce le fait que les cycles de correctifs des fournisseurs doivent être enregistrés et cartographiés parallèlement aux vôtres.
Les auditeurs rechercheront une « chaîne de traçabilité » vivante pour les correctifs :
- Qui a examiné le risque, quand et avec quel résultat ?
- Où se trouve l'enregistrement complet des résultats des tests, des tentatives infructueuses et de la restauration ?
- Comment les correctifs des fournisseurs et les preuves SLA sont-ils intégrés dans votre dossier de conformité ?
- Le conseil d’administration ou la direction considère-t-il les correctifs comme un risque stratégique et non pas seulement comme un problème informatique ?
Tableau d'alignement des correctifs ISO 27001 ↔ NIS 2
| Contrôle | Preuve opérationnelle requise | Référence ISO/NIS 2 |
|---|---|---|
| Évaluation des risques liés aux correctifs | Journal des risques avec approbation du propriétaire du rôle | ISO 27001 A.8.8 / NIS 2 6.6 |
| Résultats des tests et de la restauration | Changement signé/journaux de test par cycle de patch | ISO 27001 A.8.31 |
| Gestion des correctifs de la chaîne d'approvisionnement | Preuve de SLA du fournisseur, téléchargement des mises à jour du fournisseur | ISO 27001 A.5.21 |
| Surveillance du conseil d'administration et de la direction | Exportation de la revue de direction trimestrielle | ISO 27001 9.3 / NIS 2 6.6 |
Un SMSI qui relie les actifs, les rôles, les mises à jour des fournisseurs et les examens du conseil d'administration est essentiel pour respecter les deux normes et résister à tout scénario d'audit.
Quelles garanties opérationnelles garantissent que la conformité des correctifs résistera aux audits des régulateurs et des clients ?
Une gestion robuste des correctifs repose sur des flux de travail continus et standardisés, jamais de listes de contrôle ad hoc ni d'approbations disparates. Votre système doit enregistrer automatiquement chaque correctif, analyse des risques, exception et mise à jour fournisseur, en associant chaque décision à une personne désignée et à un actif métier. Les exceptions ou les retards nécessitent une acceptation formelle des risques, et pas seulement une urgence informatique. La performance des correctifs des fournisseurs devient une donnée vivante, et non une considération secondaire lors des audits. Les revues trimestrielles par la direction ou le conseil d'administration doivent être documentées pour prouver que les risques liés aux correctifs sont évalués au plus haut niveau.
Le patch qui vous fait tomber n’est pas toujours celui que vous avez manqué, mais celui que vous ne pouvez pas défendre avec des preuves.
Étapes pour une gestion des correctifs à l'épreuve des audits :
- Associez chaque correctif ou exception à un cas de risque, obtenez l’approbation du propriétaire avant toute action ou tout report et enregistrez les détails de justification dans votre SMSI.
- Intégrez les preuves de correctifs des fournisseurs directement dans votre flux de travail, de sorte que la couverture par des tiers ne soit jamais mise en doute.
- Standardisez les indicateurs clés de performance (KPI) tels que le temps moyen de mise à jour des correctifs et la fréquence des audits, en faisant remonter les tendances à la direction.
- Documentez chaque revue trimestrielle avec les résultats et les actions d'amélioration, en fermant la boucle entre l'action informatique et la gouvernance.
Cette structure transforme la conformité des correctifs d’une source de stress en un avantage concurrentiel lors des audits, des appels d’offres et auprès des régulateurs.
Comment ISMS.online automatise-t-il et prouve-t-il le processus de gestion des correctifs NIS 2 de bout en bout ?
ISMS.online simplifie la gestion des correctifs en automatisant chaque événement, interne ou lié aux fournisseurs, dans un registre de conformité exportable et lié aux rôles. Chaque correctif, acceptation de risque ou exception est automatiquement enregistré et associé aux actifs métier et aux responsables de contrôle concernés. La plateforme capture les téléchargements de correctifs des fournisseurs ou les accords de niveau de service certifiés et les intègre au même registre de conformité.
Les rappels et les processus d'escalade minimisent les retards ; les correctifs en retard ou les exceptions déclenchent la gestion des incidents, garantissant ainsi que rien ne se perde dans les boîtes de réception ou les suivis manuels. Chaque revue – par l'équipe technique, le fournisseur ou le conseil d'administration – est exportable, répondant ainsi instantanément aux exigences des auditeurs ou des régulateurs.
Avantages du flux de travail :
- Tableaux de bord centralisés : Affichage en temps réel de l'état des correctifs, des risques ouverts et des preuves des fournisseurs, prêtes pour un audit ou une démonstration au conseil d'administration à tout moment.
- Approbations et rappels automatisés : Les actions de correctifs, les exceptions et les révisions sont pilotées par le flux de travail et ne sont jamais manquées.
- API du fournisseur/pipeline de téléchargement : Les données de correctifs tiers sont ingérées sous forme d’artefacts de conformité natifs.
- Escalade de l'incident : Tout correctif en retard, échoué ou exceptionnel déclenche un flux de travail d'incident : les enregistrements et la cause première sont liés pour un examen rapide par le conseil d'administration ou le régulateur.
La préparation à l'audit n'est pas une tâche difficile : votre historique est toujours à portée de clic.
Quels risques réels (conformité, commerciaux et opérationnels) découlent des retards ou de l’absence de preuves de correctifs ?
Les enregistrements de correctifs incomplets ou manquants restent la cause la plus fréquente d'échecs d'audit et, de plus en plus, d'amendes sectorielles ou de pertes d'opportunités commerciales. L'ENISA a signalé que jusqu'à 80 % des incidents NIS signalés proviennent de vulnérabilités des fournisseurs ou de tiersCela signifie que votre exposition est souvent autant dictée par les failles de la chaîne d'approvisionnement que par la diligence interne. Les équipes achats et les régulateurs demandent désormais systématiquement des dossiers complets de preuves des correctifs avant d'approuver des contrats ou de clôturer des audits de conformité.
Les entreprises incapables de fournir rapidement des preuves détaillées des correctifs et des fournisseurs s'exposent à un contrôle immédiat, à des retards dans leurs cycles de vente et, dans les cas les plus graves, à l'exclusion de certains secteurs ou à la divulgation d'incidents à leurs clients. La réponse mondiale à la vulnérabilité de Log4j a démontré que les organisations disposant d'une veille en temps réel sur les correctifs de leurs fournisseurs parvenaient bien mieux à gérer les rapports réglementaires et à renforcer la confiance des clients que celles dont les enregistrements de correctifs étaient dispersés ou non prêts.
| Événement de menace | Impact commercial et réglementaire |
|---|---|
| Audit des correctifs manquants | Échec de l'audit, retard de vente, amendes |
| Exception injustifiée | Non-conformité, exclusion sectorielle |
| Lacunes en matière de preuves des fournisseurs | Enquête sur une violation, divulgation forcée |
| Enregistrement SLA incomplet | Appels d'offres perdus, érosion de la confiance dans la marque |
Comment la gestion des correctifs et la réponse aux incidents forment-elles un cycle d’amélioration continue, sans charge administrative supplémentaire ?
Chaque incident de correctif – manqué, retardé ou exceptionnel – doit être une opportunité d'apprentissage et d'amélioration systémique. Avec ISMS.online, les correctifs échoués ou retardés sont automatiquement liés aux workflows d'analyse des incidents et des causes profondes. Les enseignements tirés permettent d'améliorer concrètement les processus : les évaluations des risques sont mises à jour, les accords de niveau de service des fournisseurs sont ajustés et les contrôles des politiques évoluent. Tous les examens et les enseignements tirés sont stockés sous forme de preuves exportables et horodatées, démontrant ainsi directement votre cycle d'amélioration aux auditeurs et aux principaux intervenants.
Traitez les correctifs manqués comme des commentaires : votre piste de preuves est l'épine dorsale d'une conformité résiliente.
Boucle de rétroaction en action :
- Chaque correctif échoué génère un rapport d'incident lié et déclenche une revue de direction.
- Les problèmes de performance des fournisseurs mettent à jour les niveaux de risque et informent le prochain approvisionnement ou l'intégration.
- Les revues trimestrielles consolident et présentent les leçons, fermant la boucle de conformité dans un système unique, sans administrateur supplémentaire requis.
Quelles mesures pratiques permettent à votre équipe de passer d’une gestion fragmentée des correctifs à un leadership prêt pour l’audit ?
- Passez au suivi des correctifs basé sur les rôles et piloté par les flux de travail au sein de votre système ISMS, en supprimant les feuilles de calcul manuelles et les approbations par e-mail ad hoc.
- Attribuez chaque approbation, exception et enregistrement de fournisseur à une partie responsable, créant ainsi un journal d'audit vivant.
- Former le personnel et les fournisseurs au nouveau processus d’approbation ; faire en sorte que les exceptions soient systématiques et non rares.
- Planifiez des examens trimestriels du tableau de bord avec les propriétaires des risques ou les conseils d'administration à l'aide de fonctionnalités d'exportation pour tester l'état de préparation.
- Créez une culture d’« exportation continue » : chaque nouveau correctif, exception ou mise à jour du fournisseur devient instantanément prêt pour l’audit, minimisant ainsi les difficultés et maximisant la confiance.
Prêt à faire de la conformité des correctifs votre avantage concurrentiel ?
Exportez un pack de correctifs « prêt pour l'audit » depuis ISMS.online ou bénéficiez d'une révision guidée du flux de travail.
ISO 27001:2022–Alignement du contrôle des correctifs NIS 2 (mini-tableau)
| Attentes en matière d'audit | Opérationnalisation dans ISMS.online | Référence ISO/NIS 2 |
|---|---|---|
| Dossiers basés sur les risques | Avis signés par patch/événement | ISO 27001 A.8.8 / NIS 2 6.6 |
| Suivi des tests de bout en bout | Audit de restauration/test/modification en direct | ISO 27001 A.8.31 |
| Preuves de correctifs de la chaîne d'approvisionnement | Téléchargements SLA des fournisseurs, mappés aux actifs | ISO 27001 A.5.21 |
| Surveillance continue | Journal trimestriel d'examen de la direction et du conseil d'administration | ISO 27001 9.3 / NIS 2 6.6 |
Tableau de traçabilité des échantillons
| Événement déclencheur | Mise à jour des décisions relatives aux risques | Contrôle lié/SoA | Preuves capturées |
|---|---|---|---|
| Patch manqué | Vulnérabilité accrue | A.8.8/NIS 2 6.6 | Journal des risques signé, exportation d'audit |
| Retard du correctif du fournisseur | Exception de tiers | A.5.21 / SoA | Téléchargement du fournisseur, révision du SLA |
| Délai d'exception | Acceptation formelle | A.8.8/A.8.31/NIS 2 6.6 | Journal des exceptions, enregistrement d'approbation |
| Revue trimestrielle | Amélioration du contrôle | 9.3, surveillance du conseil d'administration | Examiner le journal des actions, le tableau de bord |
