SaaSFort
NIS2 audit checklist conformité PME Article 21 preuves

Réussir un audit NIS2 en 30 jours : checklist étape par étape

Checklist NIS2 semaine par semaine sur 30 jours pour les entreprises sans équipe sécurité. Ce que les auditeurs vérifient exactement et comment produire les preuves.

S
SaaSFort
· 6 Min. Lesezeit

La plupart des entreprises ne ratent pas un audit NIS2 parce que leur sécurité est mauvaise. Elles le ratent parce que leurs preuves sont désorganisées. L’auditeur demande la preuve d’une surveillance continue et reçoit un tableur vieux de six mois. Cette checklist corrige cela en 30 jours — même sans équipe sécurité.

Faites ces trois choses en premier :

  1. Effectuez un scan de sécurité gratuit — votre note A–F et vos principales lacunes NIS2 en moins de 60 secondes, sans compte.
  2. Téléchargez le SaaS Security Playbook 2026 — le framework de preuves complet derrière cette checklist (PDF gratuit).
  3. Consultez les tarifs — preuves NIS2 continues et horodatées à partir de €9/mois ; essai Growth 14 jours, sans carte.

La date limite d’enregistrement BSI allemand a expiré le 6 mars 2026 — ~18 500 des 29 000 entreprises dans le périmètre l’ont ratée — et les autorités de supervision sont en application active. Les réévaluations fournisseurs se déroulent tout au long du T2–T3. Trente jours est réaliste si vous respectez la séquence ci-dessous.

Ce qu’un auditeur NIS2 vérifie vraiment

Les auditeurs ne notent pas votre pare-feu. Ils vérifient que les dix mesures de l’Article 21(2) existent comme système documenté et surveillé. Cinq catégories de preuves ont le plus de poids :

  1. Politique sécurité approuvée par la direction — signée et datée, pas un brouillon
  2. Plan de réponse aux incidents — avec un exercice tabletop effectué et consigné
  3. Preuves de surveillance continue — scans horodatés, pas ponctuels
  4. Évaluation de la chaîne d’approvisionnement — inventaire des sous-traitants avec notes sécurité
  5. Registres de formation — incluant la formation obligatoire des dirigeants

Les preuves automatisées et horodatées l’emportent toujours sur la documentation manuelle. Ce seul fait façonne tout le plan sur 30 jours.

La checklist d’audit NIS2 sur 30 jours

Semaine 1 — Référence et périmètre (Jours 1–7)

L’objectif de cette semaine est de savoir exactement où vous en êtes.

  • Jour 1 : Effectuez un scan de sécurité externe. Documentez la note et tous les résultats. C’est votre preuve de référence et elle se mappe directement à l’Article 21(2)(e/f/h).
  • Jour 2 : Confirmez le périmètre NIS2 (50+ employés / €10M+ de CA / secteur réglementé). Enregistrez-vous auprès de l’autorité nationale si ce n’est pas fait — l’enregistrement tardif est accepté et vaut mieux que les pénalités de non-enregistrement.
  • Jours 3–5 : Construisez l’inventaire des sous-traitants (Article 21(2)(d)) — chaque outil SaaS, fournisseur cloud et processeur de paiement avec le niveau d’accès aux données noté.
  • Jours 6–7 : Analyse des écarts contre le fichier Excel d’auto-audit Article 21 NIS2. Marquez chacune des 10 mesures : en place / partielle / manquante.

Semaine 2 — Gouvernance et politique (Jours 8–14)

Les auditeurs commencent par la gouvernance. Une gouvernance faible fait échouer l’audit avant même le début de la revue technique.

  • Jours 8–10 : Rédigez la politique de sécurité de l’information (Article 21(2)(a)). 8 pages, honnête, couvrant la méthodologie de gestion des risques, les rôles et le calendrier de révision.
  • Jour 11 : Obtenez l’approbation écrite de la direction. Une politique non signée est formellement invalide — c’est la cause d’échec à l’audit la plus courante.
  • Jours 12–14 : Documentez la continuité d’activité (Article 21(2)(c)) — RTO/RPO par système critique, chiffrement des sauvegardes, et effectuez un test de restauration.

Semaine 3 — Réponse aux incidents et chaîne d’approvisionnement (Jours 15–21)

  • Jours 15–17 : Rédigez le plan de réponse aux incidents (Article 21(2)(b)) avec la chaîne de notification 24h / 72h / 1 mois. Utilisez le bundle de préparation aux incidents gratuit comme modèles de départ.
  • Jour 18 : Effectuez un exercice tabletop. Documentez les participants, le scénario, les décisions et le timing. Le compte-rendu est la preuve que les auditeurs veulent.
  • Jours 19–21 : Envoyez des demandes de documentation sécurité aux fournisseurs critiques ; ajoutez des clauses NIS2 aux contrats fournisseurs.

Semaine 4 — Contrôles techniques et chaîne de preuves (Jours 22–30)

  • Jours 22–24 : Appliquez le MFA sur tous les comptes admin et privilégiés (Article 21(2)(j)). Documentez la politique et les exceptions.
  • Jours 25–26 : Effectuez une revue des accès (Article 21(2)(i)) ; documentez le processus d’offboarding.
  • Jours 27–29 : Mettez en place des scans automatisés hebdomadaires. C’est ce qui satisfait l’Article 21(2)(f) — efficacité continue, pas ponctuelle. Configurez des alertes pour l’expiration des certificats et les modifications de headers.
  • Jour 30 : Compilez le package de preuves : politique + approbation, plan IR + compte-rendu tabletop, historique des scans, liste des sous-traitants, registres de formation. Un dossier, indexé par mesure de l’Article 21.

Pourquoi la chaîne de preuves compte le plus

Un scan unique est un point de départ, pas une conformité. NIS2 exige une gestion des risques continue. La différence entre réussir et échouer est habituellement le même écart : l’entreprise a de la sécurité mais ne peut pas la prouver dans le temps. La surveillance continue de la sécurité produit la trace horodatée et mappée à l’Article 21 que les auditeurs acceptent — automatiquement, chaque semaine, sans recrutement sécurité. Pour l’angle de gouvernance spécifique à l’Allemagne, consultez la responsabilité dirigeant §38 BSIG ; pour la cascade chaîne d’approvisionnement, la checklist fournisseur SaaS NIS2.

Questions fréquentes

30 jours suffisent-ils vraiment pour réussir un audit NIS2 ?

Oui, si les preuves techniques sont automatisées plutôt que manuelles. Le goulot d’étranglement n’est jamais les contrôles — c’est l’assemblage des preuves. Un scanning automatisé hebdomadaire compresse la partie la plus lente du calendrier.

Faut-il d’abord obtenir ISO 27001 ?

Non. ISO 27001 aide (70-80 % de l’Annexe A se mappe à l’Article 21) mais n’est pas requis. Des lacunes subsistent autour des délais de notification 24h/72h et de la responsabilité managériale quoi qu’il arrive.

Quelle est la cause d’échec à l’audit la plus courante ?

Une politique sécurité non signée et l’absence de preuves de surveillance continue. Les deux sont corrigeables dans cette fenêtre de 30 jours — Semaines 2 et 4 respectivement.

Un scan gratuit peut-il compter comme preuve d’audit ?

Le scan initial documente votre référence — exactement ce que les auditeurs veulent en première étape. La conformité exige la trace continue. Effectuez un scan gratuit pour la référence, puis planifiez des scans hebdomadaires pour la chaîne.

Que se passe-t-il si vous vous êtes enregistré en retard auprès de l’autorité ?

L’enregistrement tardif est accepté ; les autorités privilégient l’intégration des entités dans le système plutôt que la sanction du retard. Enregistrez-vous immédiatement, documentez la raison, et concentrez votre énergie sur les preuves de l’Article 21 — c’est ce qui est réellement audité.

Réussissez l’audit en prouvant votre posture, pas seulement en l’ayant. Effectuez un scan de sécurité gratuit — 60 vérifications, note A–F, mappée à NIS2 Article 21 en moins de 60 secondes. Pour le framework complet, téléchargez le SaaS Security Playbook 2026 gratuitement. Vous travaillez manuellement les contrôles ? Utilisez le fichier Excel d’auto-audit Article 21 NIS2.

Artikel teilen
LinkedIn Post

Von der Theorie zur Praxis

Scannen Sie Ihre Domain kostenlos. Erste Ergebnisse in unter 10 Sekunden — ohne Registrierung.

Kostenlosen Scan starten

Weiterlesen

NIS2audit

How to Pass a NIS2 Audit in 30 Days: A Step-by-Step Checklist

A 30-day, week-by-week NIS2 audit checklist for companies with no security team. Exactly what auditors check and how to produce the evidence.

Artikel lesen
NIS2conformité

Checklist NIS2 : 10 étapes pour les PME

Checklist NIS2 en 10 étapes pour PME. Enregistrement auprès de l'autorité nationale, mesures de l'article 21, preuves automatisées — sans RSSI.

Artikel lesen
NIS2BSI

Lettre d'audit BSI reçue ? Votre plan d'action pour les 72 premières heures

Le BSI vient d'envoyer un avis d'inspection §29 BSIG. Voici quoi faire dans les 72 premières heures — ce qu'envoyer, ce que refuser, et ce que les auditeurs cherchent vraiment.

Artikel lesen
Zurück zu allen Artikeln