Outil NIS2 : guide d'achat pour les logiciels de conformité
Quels outils NIS2 vous sont réellement nécessaires, ce qu'ils coûtent, à quoi faire attention, et quelles fonctionnalités sont obligatoires au titre de la directive.
Un outil NIS2 est un logiciel qui aide les entreprises à mettre en œuvre la directive NIS2 de l'UE (2022/2555) et sa transposition nationale (en Allemagne : BSIG / NIS2UmsuCG). Il doit prendre en charge les 10 mesures de cybersécurité de l'article 21 NIS2, ainsi que la notification des incidents et l'enregistrement auprès de l'autorité.
- NIS2 exige des preuves d'audit durables. Les documents Word ne suffisent pas.
- Le BSI contrôle les délais de réaction (24h / 72h / 1 mois), difficiles à démontrer manuellement.
- Responsabilité personnelle de la direction au titre du §38 BSIG : vous devez prouver que les mesures ont été mises en œuvre.
- Les 10 mesures de l'article 21 concernent plusieurs services. Des outils coordonnés font gagner du temps.
| Tool | Purpose | NIS2 |
|---|---|---|
| Plateforme GRC | Gouvernance, risque et conformité. Représente toutes les mesures, risques et audits. | Obligatoire pour la documentation |
| Gestion des actifs | Inventaire des actifs informatiques comme base de l'analyse des risques. | Obligatoire (RSK 2.2) |
| SIEM / journalisation | Détection des événements de sécurité, criminalistique. | Fortement recommandé : détecter les incidents à notifier |
| Gestion des correctifs | Suivi des mises à jour des systèmes d'exploitation et des applications. | Obligatoire (article 21(2)(e) NIS2) |
| MFA / IAM | Authentification multifacteur, gestion des identités et des accès. | Obligatoire (article 21(2)(j) NIS2) |
| Sauvegarde / reprise après sinistre | Sauvegarde des données et capacité de restauration. | Obligatoire (article 21(2)(c) NIS2) |
| Gestion des fournisseurs | Évaluation de la cybersécurité de vos fournisseurs et partenaires. | Obligatoire (article 21(2)(d) NIS2) |
| Plateforme de formation | Sensibilisation pour l'ensemble du personnel et la direction (§38 BSIG). | Obligatoire (article 21(2)(g) NIS2) |
- Les 10 mesures de l'article 21 NIS2 / §30 BSIG
- Cascade de notification d'incident à trois étapes (24h / 72h / 1 mois) au titre du §32 BSIG
- Données d'enregistrement BSI (§33 BSIG) gérées en versions
- Piste d'audit : chaque modification avec horodatage et responsable
- Validation de la direction par signature conforme à eIDAS
- Inventaire des fournisseurs avec leur propre statut de conformité
- Prise en charge de plusieurs pays en cas d'activité transfrontalière dans l'UE
- Verrouillage fournisseur : l'export complet des données doit être possible
- « Gratuit à vie » comme argument marketing : souvent un appât, lisez les petits caractères
- Les 49 exigences du BSIG couvertes
- Cascade de notification d'incident à trois étapes intégrée
- Piste d'audit indélébile
- Protection de la responsabilité de la direction : validation, formations, preuves
- Portail fournisseurs : questionnaires en libre-service
- Plateforme gratuite, accompagnement à la mise en œuvre en option et payant
Combien coûte un outil NIS2 ?
Les outils GRC commerciaux (Vanta, Drata, OneTrust) se situent généralement entre 10 000 et 60 000 EUR par an pour une entreprise de taille moyenne. nisd2.eu est gratuit. Notre accompagnement à la mise en œuvre démarre à 500 EUR par mois.
Ai-je besoin d'un outil, ou Excel suffit-il ?
Excel ne suffit pas. Le BSI exige une piste d'audit infalsifiable. En cas d'incident, vous devez pouvoir prouver qui a modifié quoi et quand. Les fichiers Excel sont écrasés. Un auditeur du BSI le contestera.
Un seul outil suffit-il, ou en faut-il plusieurs ?
Un outil GRC couvre la documentation et les preuves. Pour le SIEM, la gestion des correctifs, la MFA et les sauvegardes, vous avez toujours besoin d'outils techniques distincts. Un bon outil NIS2 intègre les preuves issues de ces systèmes.
Une plateforme gratuite peut-elle être conforme à NIS2 ?
Oui. NIS2 n'impose aucun fournisseur particulier. Ce qui compte, c'est que les exigences soient satisfaites et documentées de manière résistante à l'audit. Les outils open source et gratuits y parviennent aussi bien que les solutions SaaS coûteuses.