Article 21(2).

Les organisations doivent établir et maintenir des politiques d’analyse des risques et de sécurité des systèmes d’information. Cela inclut la définition d’un cadre de gouvernance, la réalisation d’évaluations régulières des risques, la tenue d’un registre des risques et l’établissement de cycles de révision des politiques de sécurité. L’évaluation de Konforme couvre la maturité des politiques, l’exhaustivité du registre des risques et la structure de gouvernance.

Procédures de prévention, de détection et de réponse aux incidents, y compris les voies d’escalade et les obligations de notification. La directive NIS2 introduit des délais stricts de signalement des incidents — une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures et un rapport final dans un délai d’un mois. Konforme évalue la maturité de votre gestion des incidents et l’état de préparation de votre plan de réponse.

Gestion de la continuité d’activité, y compris la gestion des sauvegardes, la reprise après sinistre et la gestion de crise. Les organisations doivent s’assurer de pouvoir maintenir leurs fonctions essentielles pendant et après un incident. Konforme analyse vos configurations de sauvegarde cloud et évalue la maturité de votre documentation PCA/PRA.

Aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services. Cela comprend l’évaluation des risques fournisseurs, les exigences contractuelles de sécurité et la surveillance de la chaîne d’approvisionnement pour détecter les vulnérabilités. Konforme évalue vos processus de gestion des risques tiers et vos contrôles fournisseurs.

Sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes d’information, y compris le traitement et la divulgation des vulnérabilités. Le scanner technique de Konforme vérifie vos configurations AWS et Azure par rapport aux contrôles mappés NIS2 pour la segmentation réseau, les règles de pare-feu, la sécurité VPC et la gestion des vulnérabilités.

Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité. Les organisations doivent régulièrement tester et évaluer leur posture de sécurité. Konforme fournit un score continu qui montre exactement où se trouvent vos lacunes de conformité et comment elles évoluent dans le temps.

Pratiques de base en matière de cyber hygiène et formation à la cybersécurité du personnel. La directive NIS2 exige explicitement que les organes de direction suivent également une formation. Les campagnes de formation des employés de Konforme vous permettent d’attribuer des accusés de réception de politiques et des quiz de sécurité, de suivre leur complétion et de constituer une piste d’audit.

Politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement. Le scanner technique de Konforme vérifie les configurations de chiffrement au repos et en transit à travers votre infrastructure cloud — buckets S3, instances RDS, volumes EBS, Azure Storage, et plus encore.

Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs. Cela couvre l’ensemble du cycle de vie des employés, de l’intégration au départ, le contrôle d’accès basé sur les rôles et le principe du moindre privilège. Konforme vérifie les configurations IAM, les politiques de mots de passe et évalue vos processus de sécurité RH.

L’utilisation de solutions d’authentification multi-facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées, et de systèmes de communication d’urgence sécurisés au sein de l’entité. Konforme vérifie l’application du MFA sur vos comptes cloud et évalue votre posture d’authentification de manière globale.