Auto-diagnostic NIS2 : 5 étapes pour savoir où vous en êtes
Chaque semaine, des RSSI nous posent la même question : “À priori on est concernés par NIS2, mais on n’est pas sûrs.” Ce guide d’auto-diagnostic structure la réponse en cinq étapes concrètes - du périmètre jusqu’à la maturité opérationnelle.
Étape 1 - Votre secteur est-il dans le périmètre NIS2 ?
Premier filtre, le plus souvent mal appliqué. NIS2 couvre 18 secteurs mais avec des sous-secteurs précis. Opérer “dans l’énergie” ne suffit pas comme réponse - il faut regarder l’activité réelle.
L’Annexe I (entités essentielles) regroupe les secteurs les plus critiques : énergie électrique, gaz, pétrole, transport aérien/ferroviaire/maritime/routier, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (DNS, IXP, datacenters, réseaux CDN, cloud, communications électroniques), gestion des services TIC, administration publique, espace.
L’Annexe II (entités importantes) couvre : services postaux et de messagerie, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires, fabrication industrielle (dispositifs médicaux, véhicules, équipements, machines), fournisseurs de services numériques, organismes de recherche.
Ce qu’on voit souvent en pratique : une société de services informatiques qui gère l’infrastructure d’un hôpital. Elle n’est pas dans le secteur santé elle-même, mais elle est prestataire d’une entité essentielle. Pas d’application directe de NIS2, mais des exigences réelles sur la chaîne d’approvisionnement.
Un fabricant de dispositifs médicaux (Annexe II, secteur fabrication) est concerné. Un fabricant de mobilier de bureau ne l’est pas, même avec 1 000 salariés. La consultation du guide NIS2 complet reste indispensable pour trancher.
Étape 2 - Remplissez-vous les seuils de taille ?
NIS2 exclut les microentreprises et petites entreprises. Deux seuils conditionnent l’entrée dans le périmètre :
| Type d’entité | Effectif minimum | CA ou total de bilan | Annexe |
|---|---|---|---|
| Entité essentielle | 250 salariés | > 50 M€ CA ou 43 M€ bilan | Annexe I |
| Entité importante | 50 salariés | > 10 M€ CA ou 10 M€ bilan | Annexe II |
| Petite entreprise | < 50 salariés | < 10 M€ CA | Hors périmètre (sauf exception) |
Attention aux exceptions : toute entité est concernée indépendamment de sa taille si elle est le seul fournisseur national d’un service critique, si une perturbation de ses activités aurait un impact significatif sur la sécurité publique, ou si elle gère une infrastructure critique identifiée. Les registrars de noms de domaine et fournisseurs DNS publics entrent aussi dans le périmètre quelle que soit leur taille.
Le calcul de l’effectif suit les règles européennes : on tient compte des filiales et entreprises liées. Un groupe peut très bien entrer dans le périmètre si sa structure le rend “grande entreprise” au sens de la recommandation 2003/361/CE.
Étape 3 - Êtes-vous entité essentielle ou importante ?
La distinction ne porte pas sur les obligations - elles sont quasiment identiques pour les deux catégories. Elle porte sur le régime de supervision et le niveau des sanctions.
Les entités essentielles font l’objet d’une supervision proactive : l’autorité compétente peut conduire des audits, des contrôles sur place et des inspections régulières même sans incident déclaré. Les entités importantes ne sont supervisées qu’a posteriori, en cas d’incident ou de signalement.
Sur les sanctions, les montants maximaux diffèrent :
- Entité essentielle : 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel (le montant le plus élevé s’applique)
- Entité importante : 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel
Notre page sanctions NIS2 liste les barèmes complets et les cas concrets de mise en demeure. Pour les obligations précises par catégorie, consultez notre analyse des mesures de l’article 21 NIS2.
Vous avez du mal à trancher votre périmètre ?
Nos partenaires experts NIS2 réalisent un diagnostic d’éligibilité complet en 2 heures. Secteur, taille, type d’entité, obligations prioritaires.
Demander un diagnostic gratuitÉtape 4 - Où en êtes-vous sur les 10 mesures de l’article 21 ?
Si vous êtes concerné, voici la grille d’auto-évaluation que l’on recommande. Trois niveaux de réponse : Oui (en place et documenté), Partiel (initié mais incomplet), Non (inexistant).
| Mesure article 21 | Ce qu’on voit en pratique | Signal d’alerte |
|---|---|---|
| Politique de sécurité des SI | Chartes existantes mais non actualisées | Aucune révision depuis 24 mois |
| Gestion des incidents | Procédure informelle “on appelle le DSI” | Pas de CSIRT ni de prestataire référencé |
| Continuité d’activité (PCA/PRA) | Existant dans les grandes entreprises, absent dans les ETI | Dernier test du PRA supérieur à 18 mois |
| Sécurité chaîne d’approvisionnement | Quasi-absent : pas de clause contractuelle sécurité | Pas de questionnaire fournisseurs critiques |
| Gestion des vulnérabilités | Patching réactif uniquement | Pas de scan régulier ni de CVE tracking |
| Contrôle d’accès et IAM | MFA activé sur le cloud, absent sur les serveurs internes | Comptes admin partagés ou sans MFA |
| Chiffrement | HTTPS en place, chiffrement at rest souvent absent | Postes non chiffrés, pas de classification des données |
| Sécurité RH et formation | Sensibilisation annuelle limitée à un email | Aucune formation des dirigeants depuis NIS2 |
| Cryptographie et PKI | Délégué à l’hébergeur sans politique formalisée | Certificats expirés ou algorithmes obsolètes (SHA-1) |
| Sécurité physique | Contrôle d’accès datacenter oui, postes de travail non | Clean desk policy inexistante, serveurs non verrouillés |
On voit régulièrement des organisations qui cochent 8 mesures sur 10 en apparence mais qui, en creusant, n’en ont vraiment implémenté que 3 ou 4. Le diable est dans les preuves : NIS2 exige que les mesures soient documentées, testées et revues périodiquement. Une politique écrite non appliquée ne compte pas.
Pour une analyse mesure par mesure avec les preuves attendues, consultez notre article détaillé sur les obligations article 21 NIS2.
Étape 5 - Avez-vous enregistré votre entité sur MonEspaceNIS2 ?
C’est l’étape que 90 % des entreprises concernées n’ont pas encore effectuée. L’enregistrement sur la plateforme MonEspaceNIS2 de l’ANSSI est pourtant une obligation à part entière, distincte des mesures techniques.
La plateforme est accessible depuis mars 2026. Le pré-enregistrement est ouvert. Le processus d’identification officielle sera finalisé après l’adoption de la loi Résilience, dont l’examen en hémicycle est prévu pour juillet 2026. Attendre cette date pour commencer la démarche est une erreur courante - les dossiers incomplets ou tardifs seront notés.
L’enregistrement demande de renseigner : le secteur d’activité, le type d’entité, les coordonnées du contact de sécurité (souvent le RSSI), et les systèmes d’information critiques. Prévoir une demi-journée pour constituer le dossier.
L’enregistrement engage la responsabilité de l’entité. Le dirigeant ou le RSSI doit valider les informations déclarées. En cas d’incident, une déclaration incorrecte aggrave la position de l’organisation vis-à-vis de l’ANSSI.
Pour comprendre le cadre réglementaire en cours de finalisation, notre analyse de la loi Résilience et son calendrier fait le point sur la transposition française. Et pour le référentiel technique de l’ANSSI, consultez notre guide sur le ReCyF publié en mars 2026.
Interpréter vos résultats d’auto-diagnostic
Grille de lecture selon votre profil :
Profil A - En retard
Moins de 4 mesures en place, pas d’enregistrement, pas de politique formalisée. Délai estimé : 18 à 24 mois. Priorité immédiate : nommer un responsable NIS2, commander une gap analysis et démarrer l’enregistrement ANSSI.
Profil B - En cours
4 à 7 mesures engagées, politique de sécurité existante mais incomplète. Délai estimé : 9 à 15 mois. Priorité : formaliser la gouvernance (article 20), documenter les preuves et combler les lacunes sur la chaîne d’approvisionnement.
Profil C - Avancé
ISO 27001 en place ou 8 mesures documentées, RSSI dédié. Délai estimé : 6 à 12 mois. Priorité : cartographie NIS2/ISO 27001, enregistrement ANSSI et exercice de crise cyber formel.
Quel que soit votre profil, le point de départ est toujours le même : une analyse d’écart NIS2 structurée qui cartographie l’existant et priorise les actions selon le risque réel. On voit trop d’organisations investir dans les mesures techniques avant d’avoir réglé la gouvernance, qui est le premier pilier évalué lors d’un contrôle ANSSI.
Les 4 erreurs les plus fréquentes dans l’auto-diagnostic NIS2
Erreur 1 - Confondre “pas de loi française adoptée” et “pas d’obligation”
La directive NIS2 est directement applicable dans ses grandes lignes depuis le 17 octobre 2024. L’ANSSI a publié le ReCyF en mars 2026. Attendre la loi Résilience pour commencer n’est pas une stratégie - c’est du retard accumulé. Notre analyse du référentiel ReCyF de l’ANSSI détaille les exigences déjà applicables.
Erreur 2 - Évaluer la conformité sans impliquer la direction
L’article 20 de NIS2 impose la responsabilité personnelle des organes de direction. Un RSSI ne peut pas piloter seul la conformité. Si votre COMEX n’a pas été formé et ne valide pas la politique de sécurité, vous n’êtes pas conformes - indépendamment de l’état technique des systèmes.
Erreur 3 - Négliger les fournisseurs critiques
La mesure “sécurité de la chaîne d’approvisionnement” est systématiquement sous-estimée. En pratique : identifier les fournisseurs dont une compromission impacterait vos services critiques, leur soumettre un questionnaire, inclure des clauses contractuelles NIS2 et auditer les plus exposés. Beaucoup d’organisations en sont encore à l’étape zéro sur ce point.
Erreur 4 - Prendre l’auto-diagnostic pour une conformité
Ce guide vous donne une photographie. Il ne remplace pas une analyse d’écart formelle conduite par un expert NIS2. Les autorités de supervision évalueront vos politiques, vos procédures et vos preuves d’exécution - pas votre auto-évaluation interne.
Questions fréquentes sur l’auto-diagnostic NIS2
Comment savoir si mon entreprise est concernée par NIS2 ?
Deux critères cumulatifs : opérer dans l’un des 18 secteurs critiques et dépasser les seuils de taille (50 salariés ou 10 millions d’euros de CA pour les entités importantes, 250 salariés ou 50 millions d’euros pour les essentielles). Notre page qui est concerné par NIS2 détaille les critères secteur par secteur.
Quelle est la différence entre entité essentielle et entité importante NIS2 ?
Les entités essentielles (Annexe I) couvrent les secteurs les plus critiques : énergie, transport, santé, eau, infrastructures numériques, administration publique, espace - sanction max 10 M€ ou 2 % du CA. Les entités importantes (Annexe II) : sanction max 7 M€ ou 1,4 % du CA. La supervision est aussi plus proactive pour les essentielles.
Faut-il s’enregistrer sur MonEspaceNIS2 ?
Oui. L’enregistrement sur MonEspaceNIS2 de l’ANSSI est obligatoire pour toute entité concernée. Le pré-enregistrement est ouvert depuis mars 2026. Ne pas attendre la finalisation de la loi Résilience pour initier la démarche.
Mon entreprise sous-traitante est-elle concernée par NIS2 ?
Pas directement si elle ne remplit pas les critères de taille et de secteur. Mais vos clients NIS2 vous demanderont des garanties contractuelles de sécurité au titre de la chaîne d’approvisionnement : questionnaires, clauses contractuelles, voire audits sur site.
Combien de temps faut-il pour se mettre en conformité NIS2 ?
Entre 12 et 24 mois selon le niveau de maturité initial. Avec ISO 27001 en place : 6 à 12 mois. Sans politique de sécurité formalisée : 18 à 24 mois. Le plus long, c’est toujours la gouvernance et la formation des dirigeants - les aspects humains prennent plus de temps que les mesures techniques.