SaaSFort
nis2 article-21 auto-audit conformité modèle excel bsig

Comment remplir l'auto-audit NIS2 Article 21 (modèle Excel gratuit)

Guide champ par champ pour un auto-audit NIS2 Article 21 défendable. 10 mesures obligatoires, exemples remplis, plus un modèle Excel gratuit.

ST
SaaSFort Team
· 11 min de lectura

Un responsable conformité dans une fintech de 140 personnes ouvre un Excel vierge et tape « NIS2 Article 21 contrôles » dans la première cellule. Deux heures plus tard, la feuille a six lignes, trois couleurs et un intervenant discrètement perdu. Le plus difficile n’est pas de construire les colonnes. Le plus difficile est de savoir ce qui compte comme preuve pour chacune des dix mesures de l’Article 21(2), et à quel point la colonne « Statut » doit être stricte.

Cet article parcourt chaque mesure Article 21(2) avec la réponse remplie que les auditeurs attendent. Le modèle Excel gratuit vous donne la structure. Ce guide vous donne le contenu.

Les dix mesures de l’Article 21(2) (et pourquoi chacune coince les équipes)

L’Article 21(2) de NIS2 (UE 2022/2555) liste dix catégories de mesures de gestion des risques de cybersécurité que les entités essentielles et importantes doivent mettre en oeuvre. Les catégories sont listées au niveau de la directive, ce qui signifie qu’elles sont délibérément larges. Les États membres les traduisent via le droit national (en Allemagne, §30 BSIG) ; le BSI publie ensuite des orientations interprétatives. Les dix catégories sont opérationnellement indissociables, ce qui explique pourquoi un audit par contrôle plutôt que par document tend à achopper sur l’un de deux écueils : soit chaque ligne affiche « Oui » sans preuve derrière, soit chaque ligne affiche « Partiel » et personne ne sait quoi remédier en premier.

Le modèle impose une discipline : chaque ligne doit avoir un statut (Oui / Partiel / Non), une priorité (P0 / P1 / P2 / P3), la preuve requise, un propriétaire et une échéance. Le score de maturité COUNTIF en bas se met à jour au fur et à mesure. Vous terminez avec un pourcentage défendable en réunion de direction et un plan de remédiation classé par priorité, pas par celui qui a crié le plus fort.

21(2)(a) : Analyse des risques et politiques de sécurité des systèmes d’information

Ce que les auditeurs attendent : Une politique de sécurité de l’information documentée, approuvée par la direction, revue au moins annuellement. Un registre des risques qui associe les actifs aux menaces et aux contrôles de 21(2)(b) à (j).

Échec fréquent : Un document de politique rédigé il y a trois ans par quelqu’un qui est parti depuis, jamais revu, jamais lié au registre des risques réel. Statut : Non. Priorité : P0.

Preuve à renseigner : nom de fichier + version + date de dernière revue de la politique ; lien vers le registre des risques + date de dernière revue ; nom du propriétaire ISMS.

21(2)(b) : Gestion des incidents

Ce que les auditeurs attendent : Un runbook IR documenté, une procédure de notification 24h alignée sur l’Article 23, la preuve d’au moins un tabletop ou post-mortem dans les 12 derniers mois.

Échec fréquent : Le runbook existe dans une page Notion ; la procédure de notification c’est « pinguer le CTO sur Slack ». Statut : Partiel. Priorité : P0.

Preuve à renseigner : URL du runbook IR ; date du dernier tabletop ; modèle de notification 24h (le kit de préparation aux incidents vous donne les trois).

21(2)(c) : Continuité d’activité, gestion des sauvegardes, gestion de crise

Ce que les auditeurs attendent : BCP / DRP avec des objectifs RTO et RPO déclarés, testés dans les 12 derniers mois. Vérification de l’intégrité des sauvegardes (pas seulement l’existence des sauvegardes).

Échec fréquent : Les sauvegardes s’exécutent chaque nuit. La restauration n’a jamais été testée. Statut : Partiel. Priorité : P1.

Preuve à renseigner : document BCP/DRP + version ; date + résultat du dernier test DR ; fréquence de vérification de l’intégrité des sauvegardes.

21(2)(d) : Sécurité de la chaîne d’approvisionnement

Ce que les auditeurs attendent : Un inventaire des fournisseurs critiques, des clauses de sécurité contractuelles avec chacun, un processus d’évaluation des risques fournisseurs, la preuve que l’évaluation s’exécute à l’onboarding et au renouvellement.

Échec fréquent : « Nous utilisons AWS » traité comme l’intégralité de la chaîne d’approvisionnement. Statut : Non. Priorité : P0.

Preuve à renseigner : lien vers l’inventaire fournisseurs ; DPA ou avenant sécurité en exemple ; propriétaire du processus d’évaluation des risques fournisseurs.

21(2)(e) : Sécurité lors de l’acquisition, du développement et de la maintenance des systèmes

Ce que les auditeurs attendent : Politique de gestion des vulnérabilités, SLA de patch définis par sévérité, software bill of materials (SBOM) pour les dépendances de production, politique de divulgation coordonnée des vulnérabilités.

Échec fréquent : Le patch est réactif, « on patche quand quelque chose casse ». Pas de SLA, pas de SBOM, pas de politique de divulgation. Statut : Non. Priorité : P0.

Preuve à renseigner : politique de patch + matrice des SLA ; outil / processus SBOM ; URL de la politique de divulgation.

21(2)(f) : Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques

Ce que les auditeurs attendent : Des scans de vulnérabilités externes exécutés régulièrement, un dashboard KPI avec le MTTD (mean time to detect) et le MTTR (mean time to respond), la preuve que les résultats entraînent des actions.

Échec fréquent : Un pentest vieux de 18 mois est le seul artefact. Statut : Partiel. Priorité : P1.

Preuve à renseigner : scanner externe / cadence de scan ; base de référence MTTD/MTTR + valeur courante ; journal de remédiation lié aux résultats des scans. Un scan SaaSFort gratuit alimente cette ligne en moins d’une heure.

21(2)(g) : Pratiques d’hygiène cyber de base et formation à la cybersécurité

Ce que les auditeurs attendent : Attestations de formation à la sensibilisation à la sécurité annuelle pour tous les salariés. Critiquement : §38 BSIG impose une formation à la cybersécurité des organes de direction en Allemagne, que la plupart des équipes oublient.

Échec fréquent : La formation existe pour les ingénieurs, pas pour la finance, les ventes ou la direction. Statut : Partiel. Priorité : P0 si la direction n’a pas été formée.

Preuve à renseigner : plateforme de formation ; taux de complétion ; date de la formation de la direction.

21(2)(h) : Politiques et procédures relatives à la cryptographie

Ce que les auditeurs attendent : TLS 1.2+ obligatoire partout, chiffrement au repos pour les données sensibles, gestion documentée des clés, pas de ciphers obsolètes en production.

Échec fréquent : TLS 1.0 / 1.1 encore activé sur un sous-domaine oublié. Statut : Partiel. Priorité : P0 (c’est un résultat automatique et gratuit pour tout scanner externe).

Preuve à renseigner : audit de configuration TLS ; périmètre du chiffrement au repos ; procédure de gestion des clés.

21(2)(i) : Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs

Ce que les auditeurs attendent : Contrôle d’accès basé sur les rôles (RBAC), revues d’accès trimestrielles, gestion des accès privilégiés (PAM) pour les admins, processus joiner-mover-leaver documenté et exécuté.

Échec fréquent : Les revues d’accès ont lieu « annuellement », ce qui signifie jamais ou sur un tableur ad hoc. Statut : Partiel. Priorité : P1.

Preuve à renseigner : matrice RBAC ; date de la dernière revue d’accès ; outil PAM ; checklist d’offboarding.

21(2)(j) : Authentification multifacteur, communications voix/vidéo/texte sécurisées, communications d’urgence sécurisées

Ce que les auditeurs attendent : MFA obligatoire sur tous les accès corporate, FIDO2 / tokens hardware pour les comptes privilégiés, canaux de communication chiffrés pour la réponse aux incidents.

Échec fréquent : Le MFA est imposé aux ingénieurs via SSO, mais l’équipe marketing se connecte encore à HubSpot avec email + mot de passe. Statut : Partiel. Priorité : P0.

Preuve à renseigner : périmètre d’application du MFA ; déploiement FIDO2 pour les utilisateurs privilégiés ; canal de communication d’urgence.

Comment exécuter l’audit (méthode 90 minutes)

Le modèle tient dans une session de travail de 90 minutes si vous avez les bonnes personnes dans la salle.

Minutes 0 à 15. Rôles. Un propriétaire par ligne. Le CTO ne possède pas les dix. Répartissez la charge : le responsable ISMS possède 21(2)(a), les opérations sécurité possèdent (b) et (f), l’équipe plateforme possède (c) et (h), les achats possèdent (d), le leadership ingénierie possède (e) et (i), les RH / people ops possèdent (g), et l’IT possède (j). Sans propriétaires nommés, le statut reste « inconnu » et l’audit ne progresse pas.

Minutes 15 à 60. Statut. Renseignez le statut (Oui / Partiel / Non) pour chaque ligne avec une règle stricte : « Oui » requiert un artefact nommé et une date de moins de 12 mois. Tout ce qui est plus ancien ou verbal est « Partiel ». Tout ce qui n’a pas d’artefact est « Non ». Cette règle est sévère au premier passage et précise par conception.

Minutes 60 à 75. Priorité. Le modèle utilise par défaut P0 / P1 / P2 / P3. La règle non intuitive : la priorité suit le risque résiduel, pas le statut. Un « Non » sur 21(2)(j) MFA est P0 parce que le risque résiduel est catastrophique ; un « Non » sur 21(2)(g) formation direction est aussi P0 parce que l’exposition à responsabilité personnelle est directe. Un « Partiel » sur 21(2)(c) test DR est P1 parce que le risque résiduel dépend de ce qui a été testé.

Minutes 75 à 90. Propriétaires et échéances. Renseignez les colonnes « Propriétaire » et « Échéance » pour chaque ligne qui n’est pas « Oui ». Une ligne sans propriétaire est une ligne qui ne changera pas. Une échéance repoussée au-delà d’octobre 2026 est une échéance que vous ne défendrez pas devant le BSI.

Le pourcentage de maturité COUNTIF au bas du modèle vous donne un chiffre unique à présenter en réunion de direction. En dessous de 60 % avec trois mois avant l’échéance, c’est une conversation de direction. En dessous de 40 %, c’est une conversation de direction qui devrait avoir lieu cette semaine.

Ce que le modèle ne peut pas faire

Trois limites honnêtes.

Il ne peut pas générer des preuves. Un modèle rempli est un auto-audit, pas une attestation tierce. La colonne « preuve requise » liste ce dont vous avez besoin ; le modèle ne la produit pas.

Il ne peut pas valider les contrôles techniques derrière les lignes. Une ligne qui affiche « TLS 1.2+ appliqué » est vraie si et seulement si TLS 1.2+ est réellement appliqué, pas si la politique le dit. La validation externe est la moitié manquante. Un scan SaaSFort gratuit alimente les preuves techniques pour les lignes (e), (f), (h) et des parties de (j) automatiquement.

Il ne peut pas faire disparaître le problème de responsabilité personnelle du §38 BSIG. Les membres de direction des entités essentielles en Allemagne font face à une responsabilité personnelle directe pour les défaillances organisationnelles. Le modèle documente si votre direction a été formée. Corriger « Non » dans cette ligne est une invitation calendrier, pas une mise à jour de tableur.

Utilisez le modèle, puis validez

Le modèle d’auto-audit Article 21 est gratuit, avec une barrière email, et conçu pour les équipes conformité sans budget consultant de 50 000 EUR. Son complément est le kit de préparation aux incidents, qui opérationnalise le processus de notification 24h de l’Article 23, le pendant opérationnel du cadre de contrôles de l’Article 21.

Les modèles documentent. Les scans vérifient. Utilisez les deux avant octobre 2026 et vous entrez dans la prochaine conversation BSI avec un pourcentage de maturité rempli, un plan de remédiation classé par priorité, et un scan externe validant la posture technique derrière vos lignes « Oui ».

FAQ

Le modèle d’auto-audit Article 21 est-il légalement suffisant pour la conformité NIS2 ?

Aucun modèle n’est légalement suffisant seul. Le modèle est la documentation structurée que les régulateurs s’attendent à voir, mais la conformité Article 21 exige en définitive que les contrôles sous-jacents existent réellement et soient testés. Utilisez le modèle pour cartographier votre posture ; utilisez la validation externe (scans, pentests, audits) pour la vérifier.

Quelle est la différence entre l’Article 21 et l’Article 23 ?

L’Article 21 impose les contrôles : ce que vous devez mettre en oeuvre pour gérer le risque de cybersécurité. L’Article 23 impose le processus : comment et quand vous devez notifier les autorités en cas d’incident significatif. Ils sont opérationnellement indissociables : des contrôles Article 21 faibles produisent davantage d’incidents Article 23.

Combien de temps prend un audit rempli ?

Un premier passage avec les bonnes personnes dans la salle prend 90 minutes. Renseigner les preuves et remédier aux lignes « Non » prend des semaines à des mois selon la posture de départ. La plupart des équipes finissent l’audit structurel en une session et traitent la remédiation comme un projet de six mois.

Ai-je besoin d’un audit distinct pour §30 BSIG vs Article 21 ?

§30 BSIG est la transposition allemande de l’Article 21. Les contrôles requis sont les mêmes ; l’autorité de surveillance et la jurisprudence diffèrent. Le modèle couvre directement l’Article 21(2), ce qui est en correspondance un-pour-un avec §30 BSIG pour les entités essentielles allemandes.

Le modèle peut-il être utilisé par les entités importantes, pas seulement les entités essentielles ?

Oui. L’Article 21 s’applique aux entités essentielles et importantes, avec une proportionnalité basée sur la taille et le risque. Les entités importantes peuvent utiliser le modèle tel quel et ajuster les priorités selon leur profil de risque.

L’échéance d’application d’octobre 2026 est dans six mois. Six mois suffisent pour remplir ce modèle, prioriser les écarts et valider la posture technique si le travail démarre maintenant. Ce n’est pas suffisant pour les équipes qui attendront septembre.

Téléchargez le modèle d’auto-audit NIS2 Article 21 gratuit : Excel, barrière email uniquement. Validez les lignes de posture technique avec un scan SaaSFort gratuit : 66 contrôles externes contre votre domaine en production, note A-F, mapping NIS2. Pour le cadre de conformité complet, téléchargez notre SaaS Security Playbook 2026 gratuit. Complément : kit de notification d’incident NIS2 24h + tabletop. Quand l’auditeur d’un client veut tout voir en direct, lisez comment prouver votre posture lors d’un audit fournisseur NIS2.

Compartir este artículo
LinkedIn Post

De la lectura a la acción

Escanee su dominio gratis. Primeros resultados en menos de 10 segundos — sin registro.

Escaneo gratuito

Seguir leyendo

nis2article-21

How to Fill the NIS2 Article 21 Self-Audit (Free Excel)

Field-by-field guide to a defensible NIS2 Article 21 self-audit. 10 mandatory measures, populated examples, plus a free Excel template.

Leer artículo
nis2article-21

NIS2 Article 21 : contrôles techniques pour le B2B SaaS, guide de mise en oeuvre

L'Article 21 impose dix mesures de cybersécurité. Comment les équipes B2B SaaS les implémentent concrètement : TLS, MFA, logs, gestion des vulnérabilités, réponse aux incidents.

Leer artículo
nis2article-21

How a B2B SaaS Passed Its First Enterprise Security Audit in a Day

A six-person SaaS got a NIS2 security questionnaire from its biggest prospect. No security team, no budget. Here is how they answered it in one day for 39 EUR.

Leer artículo
Volver a todos los artículos