Ressource NIS2
Documents à demander avant un audit blanc NIS2.
Une mission NIS2 gagne en efficacité quand les preuves attendues sont explicites dès le cadrage. Cette liste aide le consultant à préparer la collecte.
Liste de preuves
Gouvernance
Commencer par les documents de pilotage.
La maturité NIS2 ne se lit pas seulement dans les outils. Les politiques, responsabilités et arbitrages montrent la capacité de l’organisation à piloter la sécurité.
- politique de sécurité ou charte cyber
- cartographie des responsabilités et instances de décision
- registre des risques ou plan de traitement
Opérations
Demander des preuves de fonctionnement réel.
Les procédures doivent être reliées à des traces : incidents, sauvegardes, contrôles d’accès, revues, tests ou exercices.
- processus de gestion des incidents
- éléments de continuité et sauvegarde
- revues d’accès, journalisation ou contrôles clés
Tiers
Ne pas oublier fournisseurs et dépendances critiques.
Les chaînes de dépendance comptent dans les démarches NIS2. Le consultant doit pouvoir identifier les prestataires, clauses et preuves de suivi.
- liste des fournisseurs sensibles
- clauses ou exigences sécurité contractuelles
- preuves de suivi ou revues de prestataires
Questions fréquentes
Les points à clarifier avant de démarrer.
Tous ces documents sont-ils obligatoires ?
Non. La liste sert de base de préparation. Le consultant l’adapte au périmètre, à la taille et au contexte du client.
Que faire si le client n’a pas de preuve ?
Le manque de preuve devient un point de constat ou de confirmation. Il doit être relu par le consultant avant restitution.
Stan conserve-t-il les preuves collectées ?
Stan regroupe les livrables et preuves utiles dans une archive ZIP associée au dossier.