Les 5 étapes de mise en conformité NIS2 : guide actionnable 2026
Vous etes concerne par la directive NIS2 et vous ne savez pas par ou commencer. Voici la méthodologie en 5 étapes, structuree selon les 4 piliers du ReCyF, avec des actions concretes pour chaque étape.
Étape 1 : Évaluation d'éligibilité et cartographie
Avant toute chose, confirmez votre statut. Utilisez notre quiz d'auto-diagnostic pour une première évaluation, puis affinez avec la page qui est concerne. Identifiez si vous etes entité essentielle (Annexe I) ou importante (Annexe II).
En parallele, cartographiez vos actifs critiques : systèmes d'information, donnees sensibles, processus metiers dependants du SI, interconnexions avec l'extérieur.
Étape 2 : Analyse d'écart (gap analysis)
Comparez votre posture actuelle aux exigences du ReCyF, pilier par pilier :
| Pilier ReCyF | Questions cles |
|---|---|
| Gouvernance | La direction a-t-elle approuve une politique de sécurité ? Un RSSI est-il nomme ? Les dirigeants sont-ils formes ? |
| Protection | MFA déployé ? Chiffrement en place ? Supply chain evaluee ? Inventaire des actifs à jour ? |
| Défense | SOC ou EDR en place ? Procédure de notification formalisee ? IoC surveilles ? |
| Résilience | PCA/PRA en place et teste ? Sauvegardes 3-2-1 ? Exercice de crise realise ? |
Étape 3 : Plan de remediation priorise
A partir de l'analyse d'écart, construisez un plan d'action priorise par le risque. Les actions prioritaires :
- Gouvernance : faire valider la PSSI par la direction, nommer un RSSI
- MFA : déployér l'authentification multifactorielle sur tous les accès critiques
- Sauvegardes : mettre en place la regle 3-2-1, tester les restaurations
- Notification : formaliser la procédure 24h/72h/1 mois (detail ici)
- Formation : former les dirigeants (article 20) et sensibiliser les collaborateurs
Étape 4 : Mise en oeuvre et documentation
Déployéz les mesures techniques et organisationnelles. Documentez tout : chaque mesure mise en place, chaque decision prise, chaque test realise. Cette documentation sera votre défense en cas de contrôle de l'ANSSI.
Étape 5 : Audit et amelioration continue
NIS2 n'est pas un projet ponctuel. Planifiez :
- Un audit annuel de la conformité
- Des exercices de crise au moins une fois par an
- La mise à jour du registre des actifs et de l'analyse de risques
- Le suivi des évolutions reglementaires (décrets, guides ANSSI)
Pour approfondir, consultez notre guide de mise en conformité, la checklist interactive et le guide ReCyF.
Combien de temps faut-il pour se mettre en conformité ?
12 a 24 mois selon le point de depart. Une entreprise déjà certifiée ISO 27001 peut aller plus vite (6-12 mois). Une entité partant de zero doit prevoir le haut de la fourchette.
Peut-on commencer sans attendre la loi Résilience ?
Oui, et c'est vivement recommande. Le ReCyF de l'ANSSI fournit déjà le cadre de référence. La mise en conformité technique ne depend pas de la promulgation de la loi.
Sources
- ANSSI, ReCyF, 17 mars 2026
- Directive (UE) 2022/2555, articles 20, 21, 23