Comment se mettre en conformite avec la directive NIS2
La mise en conformite NIS2 est un projet structurant qui mobilise direction, IT, juridique, RH et achats. Voici la methodologie en 5 etapes que toute entite concernee peut suivre, du diagnostic a l'amelioration continue.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
Etape 1 : Evaluation d'eligibilite
Avant toute chose, confirmez que vous etes bien dans le perimetre de NIS2. Cette etape conditionne tout le reste du projet. Trois criteres a analyser :
- Votre secteur d'activite figure-t-il dans les annexes I (entites essentielles) ou II (entites importantes) ?
- Votre taille depasse-t-elle les seuils (50 salaries ou 10 millions d'euros de CA) ?
- Etes-vous concerne par une exception (services DNS, registres, services de confiance, administration centrale) ?
Le detail des criteres est expose sur notre page qui est concerne par NIS2. A l'issue de cette etape, vous savez si vous etes une entite essentielle, une entite importante, ou hors perimetre.
Etape 2 : Analyse d'ecart (gap analysis)
L'analyse d'ecart compare votre posture cyber actuelle aux exigences NIS2 (article 21 et article 23). Elle se decompose en plusieurs sous-etapes :
- Cartographie des actifs : systemes d'information critiques, donnees sensibles, processus metiers dependants du SI.
- Inventaire des mesures existantes : politiques, procedures, outils techniques, formation, gouvernance.
- Analyse des risques : menaces, vulnerabilites, scenarios d'attaque, impacts potentiels.
- Comparaison avec les 10 mesures de l'article 21 : pour chaque mesure, determiner le niveau de maturite.
- Evaluation de la chaine d'approvisionnement : posture de securite des fournisseurs critiques.
Plusieurs referentiels peuvent servir de support : ISO 27001, NIS Cooperation Group reference document, guides ANSSI. Le rendu est un rapport d'ecart qui liste les non-conformites et les priorise selon le risque.
Etape 3 : Plan de remediation
A partir de l'analyse d'ecart, vous construisez un plan d'action. Pour chaque action :
- Description de la mesure a mettre en oeuvre.
- Responsable et acteurs impliques.
- Budget estime (interne et externe).
- Calendrier realiste avec jalons intermediaires.
- Indicateurs de reussite (KPI).
Les actions doivent etre priorisees selon le risque. Le plan complet doit etre approuve par la direction, conformement a l'exigence de gouvernance de l'article 20.
Etape 4 : Mise en oeuvre
C'est la phase la plus longue. Elle combine des actions techniques et organisationnelles.
Mesures techniques
- Deploiement de l'authentification multifactorielle sur tous les comptes a privilege et les acces externes.
- Renforcement de la strategie de sauvegarde (3-2-1, immuabilite, tests de restauration).
- Segmentation reseau, gestion des vulnerabilites et patching automatise.
- Chiffrement des donnees sensibles au repos et en transit.
- Mise en place ou renforcement du SOC ou EDR pour la detection.
Mesures organisationnelles
- Redaction et validation de la politique de securite (PSSI).
- Procedure de gestion des incidents avec circuits de notification.
- Plan de continuite et de reprise d'activite (PCA/PRA), exercices annuels.
- Politique fournisseurs et clauses contractuelles cyber.
- Programme de formation continue des employes et des dirigeants.
- Mise en place d'une gouvernance cyber (comite, indicateurs, reporting au COMEX).
N'attendez pas la fin du projet pour vous enregistrer aupres de l'ANSSI. L'enregistrement est une obligation distincte qui doit etre realisee des que vous savez que vous etes concerne.
Etape 5 : Audit et amelioration continue
NIS2 n'est pas un projet a fin determinee. C'est une demarche d'amelioration continue. Une fois le socle deploye :
- Realisez un audit annuel interne ou externe.
- Organisez des exercices de crise reguliers (simulation d'incident, test du PCA).
- Mettez a jour votre analyse des risques au moins une fois par an et a chaque changement majeur.
- Suivez les indicateurs cyber et reportez-les a la direction trimestriellement.
- Documentez toutes les actions pour pouvoir les presenter en cas de controle de l'ANSSI.
Combien de temps faut-il pour se mettre en conformite ?
Cela depend du point de depart. Une entreprise certifiee ISO 27001 peut atteindre un niveau acceptable en quelques mois. Une entite partant de zero doit prevoir 12 a 24 mois. Les sanctions NIS2 rendant le risque concret, le rythme de mise en conformite s'est accelere depuis 2024.
Besoin d'accompagnement ?
La mise en conformite NIS2 mobilise des competences variees : audit, juridique, technique, gouvernance, formation. Faire appel a un prestataire specialise (PASSI, cabinet de conseil cyber) permet de gagner du temps. Pour un cadrage initial, utilisez notre formulaire de contact. Voir aussi notre guide complet de la directive.