SaaSFort Evaluation technique de securite NIS2 Article 21 : ce qu'il faut verifier
NIS2 Article 21(2) liste 10 categories de mesures techniques. Ce guide explique ce que chacune exige, comment la verifier, et quelles preuves votre auditeur attend. Le scan externe couvre 60 controles en moins de 60 secondes.
Ce qu'exige NIS2 Article 21(2)
L'Article 21(2) liste 10 mesures techniques et organisationnelles minimales. Les plus directement testables par scan externe automatise sont :
| Sous-clause | Testable exterieurement ? |
|---|---|
| Art. 21(2)(b) | Partiel - DMARC, indicateurs de journalisation |
| Art. 21(2)(d) | Partiel - headers tiers, DNS |
| Art. 21(2)(e) | Oui - CVE exposees, librairies obsoletes, sources JS |
| Art. 21(2)(g) | Oui - version TLS, suites de chiffrement, validite certificat |
| Art. 21(2)(h) | Oui - HSTS, CSP, X-Frame-Options, DNSSEC |
| Art. 21(2)(i) | Partiel - panneaux d'administration exposes |
Processus d'evaluation technique en 5 etapes
- 1
Lancer un scan de posture externe
Commencez par ce que les auditeurs et attaquants voient depuis l'exterieur : configuration TLS, headers de securite HTTP (HSTS, CSP, X-Frame-Options), DMARC, DNSSEC et panneaux d'administration exposes. SaaSFort execute 60 controles sur votre domaine en moins de 60 secondes, mappes aux Art. 21(2)(h) et (g). Sans compte.
- 2
Verifier le controle d'acces et l'authentification
Revoyez la couverture MFA pour les comptes privilegies, verifiez que les interfaces d'administration ne sont pas publiquement exposees, confirmez les politiques de timeout de session. Mappe a NIS2 Art. 21(2)(i).
- 3
Verifier le chiffrement en transit et au repos
Confirmez TLS 1.2+ sur tous les endpoints publics (pas TLS 1.0/1.1), verifiez la validite du certificat et la completude de la chaine, verifiez que les donnees au repos sont chiffrees. Couvre NIS2 Art. 21(2)(g).
- 4
Revoir la gestion des vulnerabilites
Confirmez un processus documente pour le suivi et la correction des vulnerabilites. NIS2 Art. 21(2)(e) exige d'adresser les vulnerabilites rapidement. Des scans externes mensuels constituent le minimum pratique.
- 5
Documenter les resultats pour votre auditeur
Produisez un rapport date mappant chaque resultat au controle NIS2 Article 21 qu'il concerne. L'audit pack SaaSFort genere ce PDF : 60 controles, note A-F, mapping NIS2 et ISO 27001 Annex A. Achat unique, sans compte.
Lancez l'etape 1 maintenant, gratuitement en 60 secondes
Le scan de posture externe couvre 60 controles sur NIS2 Art. 21(2)(g), (h) et (i). Sans compte. L'audit pack a 39 EUR ajoute le PDF date que votre auditeur ou acheteur enterprise accepte.
Questions frequentes
Quelles mesures techniques NIS2 Article 21 exige-t-il ?
NIS2 Article 21(2) liste 10 categories. Les plus facilement testables en externe sont : (h) securite reseau et systemes (HSTS, CSP, DMARC, DNSSEC) ; (g) chiffrement (TLS 1.2+, suites de chiffrement, validite certificat) ; (e) gestion des vulnerabilites (CVE exposees, librairies obsoletes) ; (i) controle d'acces. Un scan externe est le point de depart le plus rapide et le premier que verifie un auditeur.
Combien de temps prend une evaluation technique NIS2 ?
La partie posture externe prend moins de 60 secondes avec un scanner automatise. Une evaluation interne complete (revue controle d'acces, audit gestion des correctifs, revue journalisation) prend 1 a 3 jours pour une equipe SaaS de 50 a 200 personnes. Commencez par le scan externe pour identifier les corrections rapides.
Que contient un rapport d'evaluation technique NIS2 ?
Chaque controle verifie, le resultat pass/fail, la sous-clause NIS2 Article 21 a laquelle il mappe, et les etapes de remediation en cas d'echec. L'audit pack SaaSFort couvre le sous-ensemble de posture externe (60 controles) et genere un PDF date pour 39 EUR. Pour la portee des controles internes complets, il faut un auditeur qualifie ou la methode BSI IT-Grundschutz.
A quelle frequence lancer une evaluation technique NIS2 ?
NIS2 ne precise pas de frequence, mais la plupart des interpretations exigent des evaluations annuelles avec une surveillance continue. Les recommandations BSI pour les entites allemandes preconisent des scans de posture externe trimestriels et des revues internes annuelles. Le scan automatise mensuel est le minimum pratique pour un SaaS B2B dans le perimetre.
Guides associes : guide complet NIS2 Article 21 · checklist d'auto-evaluation NIS2 · cas d'usage du scan de securite
Voir aussi : index des notes de securite SaaS