Évaluation de l'efficacité au titre de l'article 21(2)(f) de NIS 2
Il ne suffit pas de consigner vos mesures de cybersécurité. L'article 21(2)(f) impose de vérifier si elles fonctionnent réellement, en continu. Le CIR §7 en fait des indicateurs clés nommés, des responsables et une cadence de revue.
En bref
L'évaluation de l'efficacité est la boucle de preuve. Vous avez passé un an à mettre en place la gestion des risques, le contrôle d'accès, la cryptographie, les revues de fournisseurs et le reste. L'article 21(2)(f) pose la question suivante : les mesures que vous avez consignées fonctionnent-elles réellement ? Un contrôle documenté que personne ne teste n'est pas la même chose qu'un contrôle qui fonctionne.
Le CIR (UE) 2024/2690 §7 transforme l'obligation abstraite en un processus PDCA. Vous choisissez quoi mesurer. Vous choisissez comment et à quelle fréquence. Vous désignez un responsable de la mesure et un responsable de l'analyse. Vous examinez les résultats. Vous mettez à jour le dispositif après chaque incident important.
L'Allemagne inscrit la même règle en droit national à travers le §30(2)(6) BSIG. La formulation suit étroitement la directive. Cette page parcourt la directive, le règlement européen de suivi et la transposition allemande dans cet ordre.
Article 21(2)(f) de la directive NIS 2 (2022/2555)
Policies and procedures to assess the effectiveness of cybersecurity risk-management measures.
Le point f) de la liste des dix mesures de cybersécurité que chaque entité essentielle et importante doit mettre en place. La directive ne dit pas à quelle fréquence ni avec quels indicateurs clés. Cela est laissé au CIR §7.
CIR (UE) 2024/2690, annexe §7
For the purposes of Article 21(2)(f) of Directive (EU) 2022/2555, the relevant entities shall establish, implement and apply a policy and procedures to assess whether the cybersecurity risk-management measures are effectively implemented and maintained.
Droit de l'UE directement contraignant pour les secteurs nommés dans l'annexe du CIR. Le §7 nomme les six éléments que votre politique doit couvrir (quoi, comment, quand, qui mesure, quand les résultats sont analysés, qui analyse). Il exige également une revue à des intervalles planifiés ou après chaque incident important.
§30(2)(6) BSIG (Allemagne)
Policies and procedures to assess the effectiveness of cybersecurity risk-management measures.
L'Allemagne reprend le texte européen presque mot pour mot. Le BSI attend que vous puissiez présenter un concept d'évaluation documenté lors d'un audit, et non un tableur improvisé.
CE que vous mesurez
Nommez les mesures de gestion des risques de cybersécurité que vous suivez. Les procédures et les contrôles comptent tous deux. Vous n'avez pas à tout mesurer. Vous devez choisir un ensemble, le consigner, et le rattacher aux résultats de votre analyse de risques et à vos incidents importants antérieurs.
COMMENT et QUAND vous mesurez
Pour chaque mesure, nommez la méthode de suivi et de mesure, l'approche d'analyse et la cadence. Des indicateurs trimestriels avec un examen approfondi annuel est une forme courante. La méthode doit produire des résultats valides, de sorte que « nous avons un ressenti à ce sujet » ne passe pas.
QUI est responsable
Deux rôles nommés. Une personne est responsable de la mesure (extrait les chiffres, exécute le test, exporte le journal). Une seconde personne est responsable de l'analyse (lit les données, juge si le contrôle fonctionne, escalade). La même personne peut faire les deux à l'échelle d'un petit Mittelstand, mais le document doit les nommer.
Reliez l'efficacité au registre des risques
Le CIR §7.2 dispose que la politique doit tenir compte des résultats de l'analyse de risques et des incidents importants antérieurs. Des indicateurs clés flottants ne comptent pas. Si vous mesurez la conformité des correctifs mais que vos trois principaux risques sont les compromissions de fournisseurs, l'hameçonnage et l'exposition OT, vos indicateurs clés passent à côté de l'essentiel. Choisissez des indicateurs clés qui testent les contrôles couvrant vos risques les plus élevés.
Faites remonter l'information à l'organe de direction
L'article 20, paragraphe 1, de NIS 2 impose à l'organe de direction d'approuver les mesures de gestion des risques de cybersécurité et de superviser leur mise en œuvre. Il ne peut pas superviser ce qu'il ne voit pas. Les données d'efficacité doivent lui être présentées périodiquement. Le trimestre est la cadence courante. Le format importe peu tant qu'il est documenté.
BSI / IT-Grundschutz DER.1
Le BSI inscrit l'évaluation de l'efficacité comme le sixième point des dix mesures de l'article 21(2). La couche IT-Grundschutz DER.1 « Détection » couvre le volet opérationnel du suivi (analyse des journaux, SIEM, détection d'anomalies). DER.1 à elle seule ne satisfait pas au §7, mais elle est l'une des données d'entrée auxquelles votre concept d'évaluation renverra.
Guide de mise en œuvre technique d'ENISA
Le TIG d'ENISA pour le CIR (UE) 2024/2690 nomme les preuves attendues par les auditeurs au titre du §7 : politique documentée, liste d'indicateurs clés avec cibles et valeurs réelles, responsables nommés, comptes rendus de revue, actions issues de l'analyse. ENISA fait également correspondre le §7 aux contrôles ISO/IEC 27001:2022 9.1 (surveillance) et 5.36 (revue de conformité).
Lois nationales de transposition
Chaque État membre a sa propre loi de transposition (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). L'obligation est la même parce que la directive fixe une seule norme à l'échelle de l'UE. Ce qui diffère : à qui vous rendez compte, à quoi ressemble le cycle d'audit, quel régulateur sectoriel a voix au chapitre dans votre pays.
Nous menons un audit annuel, c'est notre évaluation de l'efficacité.
Un audit est un contrôle à un instant donné. Le CIR §7 exige un suivi et une mesure continus, ainsi qu'une analyse périodique. L'audit est une donnée d'entrée, pas la réponse complète. Si votre seule preuve d'efficacité est un rapport d'audit annuel, vous n'avez pas de concept au sens du §7.
Nous avons un SIEM, donc le suivi est couvert.
Un SIEM est un outil parmi les données d'entrée auxquelles votre concept d'évaluation renvoie. Le §7 ne demande pas « avez-vous un SIEM ». Il demande « quel contrôle testez-vous, quel indicateur clé mesurez-vous à son encontre, quelle valeur cible définit l'efficacité ». Les tableaux de bord SIEM ne répondent pas à eux seuls à cela.
Notre RSSI sait si les mesures fonctionnent.
Le CIR §7.2(d) et §7.2(f) exigent des responsables nommés et une analyse documentée. Le savoir tribal logé dans la tête d'une seule personne échoue sur deux points : pas de piste d'audit, pas de continuité si cette personne s'en va. Le concept doit être écrit, l'analyse doit être consignée, et l'organe de direction doit voir les résultats.
La plupart des entreprises du Mittelstand mesurent déjà deux choses : la disponibilité des systèmes et la conformité des correctifs. Les deux sont de bons indicateurs clés, mais ils ne couvrent que deux des dix mesures de l'article 21(2). L'article 21(2)(f) en demande davantage : nombre d'incidents par rapport aux cibles, délai moyen de détection, délai moyen de réponse, taux d'achèvement des formations, résultats des tests d'hameçonnage, taux d'achèvement des revues de fournisseurs.
Ce que nous observons en pratique : choisir six à huit indicateurs clés qui se rattachent à vos principaux risques. Restitution trimestrielle à l'organe de direction. Examen approfondi annuel qui réexamine la sélection des indicateurs clés au regard du registre des risques mis à jour. Après chaque incident important, le déclencheur du §7.3 s'active et vous examinez les mesures concernées indépendamment du calendrier. Cela tient au regard de la proportionnalité de l'article 21(1) pour un opérateur de 60 à 250 personnes.
Nous avons intégré le concept d'évaluation du §7 dans la plateforme sous forme de module. Vous définissez des indicateurs clés, reliez chacun à la mesure de gestion des risques qu'il teste, fixez une cadence de mesure et une valeur cible, et nommez le responsable de la mesure et le responsable de l'analyse. La plateforme rappelle au responsable l'échéance du prochain relevé.
Le tableau de bord de l'organe de direction rassemble tous les indicateurs clés dans une vue trimestrielle unique, prête pour la réunion de supervision de l'article 20(1). Après un incident important, le déclencheur de revue du §7.3 s'active automatiquement : les indicateurs clés pertinents remontent, les responsables concernés reçoivent une tâche, l'analyse fait l'objet d'une validation. La piste d'audit est complète par défaut.
- Directive (UE) 2022/2555 (NIS 2), article 21(2)(f) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §7 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi BSI (BSIG), §30(2)(6) telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- BSI IT-Grundschutz, couche DER.1 « Détection des événements pertinents pour la sécurité » — bsi.bund.de/grundschutz
- Guide de mise en œuvre technique d'ENISA pour le CIR (UE) 2024/2690 (en date de mai 2026)