10. Exigences synthétiques – NIS2 (version enrichie)
| Domaine | Exigence | Obligatoire | Pour qui ? | Délai / Fréquence |
|---|---|---|---|---|
| Gouvernance | Responsabilisation des dirigeants | ✅ | Toutes entités | Permanente |
| Gouvernance | Politique de cybersécurité formalisée | ✅ | Toutes entités | À maintenir |
| Gouvernance | Pilotage documenté par une personne désignée | ✅ | Toutes entités | Dès la mise en conformité |
| Risques | Cartographie des actifs TIC | ✅ | Toutes entités | Initial + mises à jour régulières |
| Risques | Évaluation des risques cybersécurité | ✅ | Toutes entités | Périodique |
| Risques | Traitement et réduction des risques identifiés | ✅ | Toutes entités | En continu |
| Techniques | Authentification forte (MFA) | ✅ | Toutes entités | Permanente |
| Techniques | Supervision (SIEM, SOC, alertes) | ✅ | Toutes entités | Permanente |
| Techniques | Journalisation et analyse des logs | ✅ | Toutes entités | Continue |
| Techniques | Mise à jour / patch management | ✅ | Toutes entités | Régulier |
| Techniques | Tests techniques (PRA / PCA, réponse à incident) | ✅ | Essentielles / importantes | Annuel |
| Fournisseurs | Registre des prestataires critiques | ✅ | Toutes entités | À jour permanent |
| Fournisseurs | Évaluation sécurité des sous-traitants | ✅ | Toutes entités | Avant contractualisation |
| Fournisseurs | Clauses de cybersécurité dans les contrats | ✅ | Toutes entités | À chaque contrat |
| Incidents | Procédure interne de gestion de crise cyber | ✅ | Toutes entités | À jour |
| Incidents | Notification d’incident 24h / 72h / 1 mois | ✅ | Toutes entités | En cas d’incident |
| Formation | Sensibilisation SSI du personnel | ✅ | Toutes entités | Récurrente |
| Formation | Formation spécifique des dirigeants | ✅ | Toutes entités | Initiale + MAJ |
| Documentation | Preuves disponibles pour audit | ✅ | Toutes entités | À toute demande |
| Documentation | Procédures écrites formalisées | ✅ | Toutes entités | Permanente |
| Réglementation | Sanctions jusqu’à 10 M€ ou 2 % CA | ❗ | En cas de manquement | Selon gravité constatée |
Success
Ce tableau permet un audit rapide et précis de la conformité NIS2, utile pour RSSI, DPO, juristes, ou cabinets externes.