L'Article 21 de NIS2 liste dix sous-articles de mesures de gestion des risques cyber
que les entités essentielles et importantes doivent mettre en œuvre. La cartographie
ci-dessous montre quels contrôles parmi les 16 contrôles typés de
nixfleet-compliance
satisfont chaque sous-article.
| Article | Exigence | Contrôles |
|---|---|---|
| 21(a) | Analyse de risques & politique sécurité | _baseline-hardening, _network-segmentation, _secure-boot |
| 21(b) | Gestion d'incidents | _incident-response |
| 21(c) | Continuité d'activité, backup, DR | _backup-retention, _disaster-recovery |
| 21(d) | Sécurité de la chaîne d'approvisionnement | _supply-chain |
| 21(e) | Gestion des vulnérabilités | _vulnerability-mgmt, _change-management |
| 21(f) | Évaluation d'efficacité | _audit-logging |
| 21(g) | Hygiène cyber & formation | _baseline-hardening |
| 21(h) | Cryptographie | _encryption-at-rest, _encryption-in-transit, _key-management |
| 21(i) | Contrôle d'accès & gestion des actifs | _access-control, _asset-inventory |
| 21(j) | MFA & communications sécurisées | _authentication |
Source canonique : docs/nis2-mapping.md dans le repo de conformité.
L'opérateur déclare la classification d'entité via compliance.frameworks.nis2.entityType = "essential" | "important" — voir Classification d'entité NIS2.