Comment se mettre en conformité avec la directive NIS2
La mise en conformité NIS2 est un projet structurant qui mobilise direction, IT, juridique, RH et achats. Voici la méthodologie en 5 étapes que toute entité concernee peut suivre, du diagnostic a l'amelioration continue.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
Étape 1 : Évaluation d'éligibilité
Avant toute chose, confirmez que vous etes bien dans le périmètre de NIS2. Cette étape conditionne tout le reste du projet. Trois critères a analyser :
- Votre secteur d'activité figure-t-il dans les annexes I (entités essentielles) ou II (entités importantes) ?
- Votre taille dépassé-t-elle les seuils (50 salariés ou 10 millions d'euros de CA) ?
- Etes-vous concerne par une exception (services DNS, registres, services de confiance, administration centrale) ?
Le detail des critères est expose sur notre page qui est concerne par NIS2. A l'issue de cette étape, vous savez si vous etes une entité essentielle, une entité importante, ou hors périmètre.
Étape 2 : Analyse d'écart (gap analysis)
L'analyse d'écart compare votre posture cyber actuelle aux exigences NIS2 (article 21 et article 23). Elle se decompose en plusieurs sous-étapes :
- Cartographie des actifs : systèmes d'information critiques, donnees sensibles, processus metiers dependants du SI.
- Inventaire des mesures existantes : politiques, procédures, outils techniques, formation, gouvernance.
- Analyse des risques : menaces, vulnérabilités, scenarios d'attaque, impacts potentiels.
- Comparaison avec les 10 mesures de l'article 21 : pour chaque mesure, déterminer le niveau de maturite.
- Évaluation de la chaîne d'approvisionnement : posture de sécurité des fournisseurs critiques.
Plusieurs référentiels peuvent servir de support : ISO 27001, NIS Coopération Group référence document, guides ANSSI. Le rendu est un rapport d'écart qui liste les non-conformités et les priorise selon le risque.
Étape 3 : Plan de remediation
A partir de l'analyse d'écart, vous construisez un plan d'action. Pour chaque action :
- Description de la mesure a mettre en oeuvre.
- Responsable et acteurs impliques.
- Budget estime (interne et externe).
- Calendrier realiste avec jalons intermediaires.
- Indicateurs de réussite (KPI).
Les actions doivent être priorisees selon le risque. Le plan complet doit être approuve par la direction, conformement a l'exigence de gouvernance de l'article 20.
Étape 4 : Mise en oeuvre
C'est la phase la plus longue. Elle combine des actions techniques et organisationnelles.
Mesures techniques
- Déploiement de l'authentification multifactorielle sur tous les comptes a privilege et les accès externes.
- Renforcement de la strategie de sauvegarde (3-2-1, immuabilite, tests de restauration).
- Segmentation réseau, gestion des vulnérabilités et patching automatise.
- Chiffrement des donnees sensibles au repos et en transit.
- Mise en place ou renforcement du SOC ou EDR pour la détection.
Mesures organisationnelles
- Redaction et validation de la politique de sécurité (PSSI).
- Procédure de gestion des incidents avec circuits de notification.
- Plan de continuite et de reprise d'activité (PCA/PRA), exercices annuels.
- Politique fournisseurs et clauses contractuelles cyber.
- Programme de formation continue des employes et des dirigeants.
- Mise en place d'une gouvernance cyber (comite, indicateurs, reporting au COMEX).
N'attendez pas la fin du projet pour vous enregistrer aupres de l'ANSSI. L'enregistrement est une obligation distincte qui doit être réalisée des que vous savez que vous etes concerne.
Étape 5 : Audit et amelioration continue
NIS2 n'est pas un projet a fin déterminée. C'est une démarche d'amelioration continue. Une fois le socle déployé :
- Realisez un audit annuel interne ou externe.
- Organisez des exercices de crise reguliers (simulation d'incident, test du PCA).
- Mettez à jour votre analyse des risques au moins une fois par an et à chaque changement majeur.
- Suivez les indicateurs cyber et reportez-les à la direction trimestriellement.
- Documentez toutes les actions pour pouvoir les présenter en cas de contrôle de l'ANSSI.
Combien de temps faut-il pour se mettre en conformité ?
Cela depend du point de depart. Une entreprise certifiée ISO 27001 peut atteindre un niveau acceptable en quelques mois. Une entité partant de zero doit prevoir 12 a 24 mois. Les sanctions NIS2 rendant le risque concret, le rythme de mise en conformité s'est accelere depuis 2024.
Besoin d'accompagnement ?
La mise en conformité NIS2 mobilise des compétences variees : audit, juridique, technique, gouvernance, formation. Faire appel à un prestataire specialise (PASSI, cabinet de conseil cyber) permet de gagner du temps. Pour un cadrage initial, utilisez notre formulaire de contact. Voir aussi notre guide complet de la directive.