Audit NIS2: Guide de Preparation & Checklist
Un audit NIS2 verifie que vos mesures de securite repondent reellement aux exigences. Que vous fassiez face a un audit tiers obligatoire ou a une auto-evaluation, la preparation est essentielle. Ce guide vous explique a quoi vous attendre, ce que la workbook CCB CyberFundamentals attend de voir, et comment devenir audit-ready.
Qu'est-ce qu'un Audit NIS2?
Un audit NIS2 est une verification externe par un Conformity Assessment Body (CAB) que les mesures de securite de votre organisation repondent aux exigences de la directive NIS2. En Belgique, cela signifie demontrer la conformite avec le cadre CyberFundamentals developpe par le Centre pour la Cybersecurite Belgique (CCB).
- Les auditeurs CAB sont accredites par BELAC (Organisme Belge d'Accreditation)
- L'audit couvre vos politiques, procedures, controles techniques et preuves de mise en oeuvre
- Ce n'est pas un evenement unique — une conformite continue est attendue
- L'audit confirme que vous etes "audit-ready", pas que vous etes 100% sans risque
En savoir plus sur le cadre NIS2: Apercu NIS2.
Quand Avez-Vous Besoin d'un Audit?
Entites Essentielles
Audit tiers obligatoire par un CAB accredite. Vous devez obtenir la certification CyFun Important ou Essential tier. Il n'y a pas de contournement — la verification externe est requise.
Entites Importantes
L'auto-evaluation suffit pour le CyFun Basic tier. Cependant, un audit externe est fortement recommande. Il vous donne de la credibilite aupres des clients, partenaires et regulateurs. De nombreuses organisations choisissent volontairement de se faire auditer.
Pression de la Chaine d'Approvisionnement
Meme si vous n'etes pas legalement tenu de vous faire auditer, vos clients peuvent exiger des preuves. Les grandes entreprises exigent de plus en plus des preuves de conformite NIS2 de leurs fournisseurs. Un certificat d'audit simplifie tout.
Pas sur de votre categorie? Verifiez qui doit se conformer.
Ce que la Workbook CyberFundamentals Attend
La workbook CCB CyberFundamentals contient une colonne de preuves a cote de chaque controle. Vous trouverez ci-dessous a quoi cette colonne se refere pour chaque domaine majeur, ainsi que des schemas que le CCB a signales dans ses directives publiees comme des manquements frequents.
Documentation & Politiques
Politiques de securite ecrites approuvees au niveau de la direction, avec une cadence de revision documentee. La workbook refere a "politique documentee et approuvee" comme preuve — les modeles sans adaptation organisationnelle ne satisfont pas les controles GV-PO.
Evaluation des Risques
Une methodologie structuree d'evaluation des risques avec des resultats documentes. La famille de controles GV-RM refere explicitement a "evaluation des risques documentee" dans sa colonne de preuves, avec chaque risque identifie lie a un ou plusieurs controles d'attenuation.
Reponse aux Incidents
Un plan de reponse aux incidents qui a ete teste. La workbook attend la preuve d'exercices sur table avec des participants nommes, des resultats de simulation et une documentation des lecons apprises selon la famille de controles RS-IR.
Continuite d'Activite
Procedures de sauvegarde, plans de reprise apres sinistre et preuves de tests de restauration reguliers. La preuve du controle RC-BA refere a des sauvegardes "testees", pas seulement "existantes". Les objectifs de temps de recuperation doivent etre definis et realistes.
Securite de la Chaine d'Approvisionnement
Contrats avec clauses de securite, evaluations des fournisseurs et liste des fournisseurs critiques avec leurs notations de risque. La famille de controles GV-SC est obligatoire selon l'Article 21(2)(d) NIS2 et attend une categorisation classifiee des fournisseurs, pas une liste plate.
Registres de Formation du Personnel
Preuve que les employes ont recu une formation de sensibilisation a la securite. La colonne de preuves du controle PR-AT refere a des registres de completion "par employe" — dates, listes de presence et contenu couvert.
Auto-evaluation vs Audit Externe
Les deux ont leur place. Le bon choix depend de votre classification NIS2.
| Auto-evaluation | Audit Externe | |
|---|---|---|
| Qui l'effectue | Votre propre equipe | Auditeur CAB accredite |
| Quand requis | Entites importantes (CyFun Basic) | Entites essentielles (CyFun Important/Essential) |
| Cout | Temps interne uniquement | Honoraires d'auditeur (variable) |
| Credibilite | Limitee — auto-declare | Elevee — verifie independamment |
| Confiance client | Moderee | Forte — certificat comme preuve |
| Preparation necessaire | Moderee | Documentation approfondie requise |
Comment Se Preparer a un Audit NIS2
Etape 1: Analyse des Ecarts Contre CyberFundamentals
Commencez par cartographier votre posture de securite actuelle par rapport aux controles CyberFundamentals. Identifiez ce que vous avez, ce qui manque et ce qui doit etre ameliore. Cela vous donne une image claire du travail a accomplir.
Etape 2: Documentez Tout
Les auditeurs ont besoin de preuves. Redigez vos politiques, procedures et processus. Documentez qui est responsable de quoi. Gardez des journaux des activites de securite. Si ce n'est pas documente, cela n'a pas eu lieu.
Etape 3: Testez Votre Reponse aux Incidents
Organisez un exercice sur table. Simulez un incident de securite et parcourez votre plan de reponse. Documentez les resultats et les ameliorations apportees. La colonne de preuves du controle RS-IR attend un plan teste, pas seulement ecrit.
Etape 4: Examinez les Contrats de la Chaine d'Approvisionnement
Verifiez que vos contrats fournisseurs incluent des exigences de securite. Assurez-vous d'avoir evalue vos fournisseurs critiques. Documentez les resultats et les actions de suivi.
Etape 5: Informez Votre Equipe
Tout le monde doit connaitre les bases: votre politique de securite, comment signaler les incidents et leurs responsabilites individuelles. Les registres de formation prouvent que votre equipe est preparee.
Utilisez notre checklist de conformite NIS2 pour structurer votre analyse des ecarts, et suivez les etapes de mise en oeuvre pour un plan detaille.
Comment les MSPs Aident les Clients a Preparer les Audits
Les Managed Service Providers jouent un role crucial dans la preparation des audits NIS2. La plupart des PME n'ont pas de personnel de securite dedie. Un MSP comble ce manque.
Conformite Geree
Les MSPs gerent le travail continu: surveillance, correctifs, tests de sauvegarde et documentation. Cela maintient les clients audit-ready en permanence, pas seulement avant l'audit.
Collecte de Preuves
Les bons outils journalisent automatiquement les activites de securite — correctifs appliques, sauvegardes verifiees, incidents traites. Ces preuves sont exactement ce dont les auditeurs ont besoin.
Surveillance Continue
La securite n'est pas un projet unique. Les MSPs fournissent une surveillance continue qui demontre une conformite permanente, une exigence cle de NIS2.
Easy Cyber Protection donne aux MSPs les outils pour rendre chaque client audit-ready. Collecte automatisee de preuves, suivi structure de conformite et rapports d'audit clairs.
Calendrier d'Audit NIS2
Dates cles pour les organisations belges:
Voir toutes les dates limites NIS2.
Devenez Audit-Ready Aujourd'hui
Easy Cyber Protection vous guide a travers chaque etape de la preparation d'audit NIS2. De l'analyse des ecarts a la collecte de preuves, nous rendons la conformite geerable.
Questions Frequentes
Qu'est-ce qu'un audit NIS2 et qui l'effectue?
Un audit NIS2 est une evaluation formelle de vos mesures de cybersecurite par rapport au cadre CyberFundamentals. Il est effectue par un Conformity Assessment Body (CAB) accredite par BELAC. L'audit verifie que vos politiques, procedures et controles techniques repondent aux exigences de la directive NIS2.
Comment verifier si mon organisation a besoin d'un audit NIS2?
Les entites essentielles (grandes organisations dans les secteurs critiques) necessitent un audit tiers obligatoire. Les entites importantes peuvent utiliser l'auto-evaluation pour le CyFun Basic tier. Utilisez l'outil en ligne du CCB ou verifiez les criteres de perimetre NIS2 pour determiner votre classification. En cas de doute, consultez le CCB ou un conseiller qualifie.
Quelle est la difference entre une auto-evaluation NIS2 et un audit complet?
Une auto-evaluation est un examen interne ou votre organisation evalue sa propre conformite aux controles CyberFundamentals. Un audit complet implique un auditeur CAB independant et accredite qui verifie votre conformite de maniere externe. Les entites essentielles doivent subir l'audit externe; les entites importantes peuvent s'auto-evaluer.
Combien de temps faut-il pour se preparer a un audit NIS2?
Pour CyFun Basic, 1 a 9 mois selon le point de depart — organisations bien equipees 1-3 mois, avec ecarts 4-6 mois, greenfield 6-9 mois ou plus. Le CCB exige Basic audite avant l'ouverture d'Important, donc un audit Important est un resultat d'Annee 2 et Essential est Annee 3 ou plus tard (chaque niveau necessite son propre cycle d'audit plus 2-3 mois de remediation post-audit avant l'ouverture du niveau suivant). L'essentiel est de commencer tot — une preparation de derniere minute cree des lacunes que les auditeurs trouveront.
Combien coute un audit NIS2?
Les couts varient selon la taille de l'organisation, la complexite et le tier CyFun. Les couts d'auto-evaluation sont principalement du temps interne. Les audits CAB externes varient generalement de quelques milliers a des dizaines de milliers d'euros. Le cout de la non-conformite (amendes jusqu'a 10 millions d'euros ou 2% du chiffre d'affaires mondial) depasse largement les couts d'audit.