La directive NIS2 marque un tournant majeur : elle ne se contente plus d’astreindre quelques bonnes pratiques en cybersécurité, elle exige désormais une véritable culture du risque, une implication forte des dirigeants et une capacité démontrable à protéger l’activité, les données et les chaînes de fournisseurs. 

Concrètement, être conforme à la réglementation NIS2 ne signifie pas seulement « renforcer la sécurité IT ». C’est un ensemble structuré d’obligations techniques, organisationnelles et réglementaires. Les entreprises concernées doivent être capables de prouver, à tout moment, qu’elles disposent des politiques adaptées, qu’elles ont évalué leurs risques, qu’elles gèrent leurs fournisseurs critiques, et qu’elles savent détecter puis signaler un incident dans les délais imposés. 

Parmi les critères essentiels, NIS2 impose par exemple : 

• Une gouvernance claire, où les dirigeants sont formés et responsables ; 
• Une analyse de risques documentée et actualisée ; 
• Le socle technique obligatoire (contrôles d’accès, journalisation, segmentation, supervision…) ; 
• Une gestion rigoureuse de la chaîne d’approvisionnement ; 
• Des processus de gestion de crise capables de tenir face à une cyberattaque. 

Pour les auditeurs et les responsables SI, ces obligations peuvent vite devenir un véritable casse-tête : plusieurs dizaines de points à vérifier, des niveaux d’exigence différents selon la criticité de l’entité, et une documentation qui doit être à la fois précise, traçable et alignée sur les attentes des autorités nationales. 

Mini-checklist NIS2 d’éligibilité : quelques points clés à vérifier

Voici quelques-uns des critères fondamentaux que tout acteur concerné doit pouvoir évaluer : 

• Les dirigeants ont-ils été formés et impliqués dans la politique de cyber ? 
• L’entreprise dispose-t-elle d’une analyse de risques récente et exploitée ? 
• Les accès sensibles sont-ils protégés (MFA, gestion des habilitations, logs) ? 
• Les sauvegardes sont-elles testées régulièrement ? 
• Un processus clair de notification d’incident existe-t-il (24h / 72h / un mois) ? 
• Les fournisseurs critiques sont-ils évalués et contractualisés avec des exigences cyber ? 

Ce pré-diagnostic illustre déjà l’un des enjeux majeurs : NIS2 ne se résume pas à « cocher des cases ». Il nécessite une vision globale, une cohérence entre gouvernance, technique et documentation… et un outil capable d’absorber cette complexité. 

Création du référentiel pertinent : notre méthodologie 

Auditool notre outil dédié à l’analyse et au contrôle de conformité, permet de centraliser les preuves, d’éviter les pertes d’information, de suivre l’avancement et d’aligner les audits sur un socle commun, clair et stable.  

À partir de la directive brute, nous avons construit un référentiel structuré, exploitable et adapté aux besoins des acteurs terrain. 

Notre démarche repose sur trois principes : 

• Regrouper les obligations en grands thèmes compréhensibles 

Nous avons rassemblé l’ensemble des exigences NIS2 autour de treize grandes thématiques cohérentes, que vous pouvez retrouver dans Auditool. Cette méthode permet de rendre la lecture plus intuitive et l’analyse plus fluide. 

• Définir des points de contrôle concrets 

Chaque exigence a été traduite en éléments vérifiables, actionnables et adaptés à l’audit terrain. L’objectif est de faciliter la mise en conformité et éliminer les zones grises. 

• S’appuyer sur un outil structuré pour ne rien oublier 

Auditool permet de centraliser les preuves, d’éviter les pertes d’information, de suivre l’avancement et d’aligner les audits sur un socle commun, clair et stable. 

Les cinq premières thématiques Auditool et les points de contrôle dégagés 

Nous avons structuré un référentiel prêt à l’emploi autour la directive NIS2 en un ensemble complet de plus de douze thématiques. Pour illustrer notre approche et donner un aperçu concret de ce travail, nous présentons ici cinq de ces blocs de contrôle. Ils regroupent les exigences les plus larges et servent de base pour évaluer la maturité cyber d’une organisation. 

1 – Politique relative à la sécurité des réseaux et des systèmes d’information 

Cette thématique porte sur la gouvernance globale de la cybersécurité et la capacité de l’entreprise à définir un cadre clair, partagé et appliqué. 

Elle comprend : 

• Une politique SSI formalisée et validée par la direction, régulièrement révisée et diffusée à toutes les parties prenantes. 
• La définition des rôles et des responsabilités, incluant les pouvoirs de décision, d’arbitrage et de validation : direction, RSSI, équipes opérationnelles… 
• La cohérence entre les règles définies et leur application réelle, notamment via la gestion des accès, la mise en place de contrôles, et la compétence des équipes à faire respecter les mesures. 

En bref : c’est la base qui garantit que la sécurité n’est pas seulement technique, mais pilotée, gouvernée et intégrée dans l’organisation. 

2 – Politique de gestion des risques 

L’objectif est de démontrer que l’entreprise connaît ses risques, sait les analyser, les prioriser et suivre leur traitement. 

Les points clés incluent : 

• Un cadre de gestion des risques défini et applicable : méthode d’analyse, périodicité, périmètre, outils utilisés. 
• Une analyse de risques à jour, couvrant les actifs critiques, les scénarios d’attaque et les impacts métiers. 
• Des mécanismes internes de contrôle permettant de vérifier que les mesures de sécurité prévues sont effectivement mises en œuvre. 
• Un réexamen indépendant, réalisé via audits internes ou externes, assurant un regard objectif sur la maturité et l’exposition réelle aux risques. 

Cette thématique vérifie que la sécurité repose sur une démarche rationnelle, documentée et opposable. 

3 – Gestion des incidents 

La directive NIS2 renforce de manière significative les obligations en matière de détection, de réaction et de déclaration des incidents. 

Les éléments contrôlés couvrent : 

• Une procédure de gestion des incidents claire, définissant les rôles, les étapes d’escalade, la communication interne et externe. 
• La surveillance et la journalisation, incluant la production, la conservation et l’exploitation des logs, etc. 
• Le processus de signalement, qui doit permettre de notifier rapidement les incidents aux autorités dans les délais réglementaires (24 h, 72 h, un mois). 
• L’évaluation et la classification des événements, pour distinguer les anomalies mineures des incidents majeurs et adapter les réponses. 
• La réponse opérationnelle, c’est-à-dire l’efficacité des actions de remédiation, la coordination et la documentation. 
• Les retours d’expérience post-incident, indispensables pour corriger les vulnérabilités et améliorer le dispositif. 

L’enjeu : prouver que l’entreprise peut identifier et gérer un incident de bout en bout. 

4 – Continuité des activités et gestion des crises 

Ici, il s’agit de démontrer que l’entreprise peut assurer la continuité de ses activités en cas d’incident majeur. 

Les contrôles portent sur : 

• Le plan de continuité d’activité (PCA) et le plan de reprise (PRA) : existence, formalisation, scénarios couverts, mise à jour et pertinence pour les enjeux métiers. 
• La gestion des sauvegardes : fréquence, protection, restauration, tests systématiques et documentation des résultats. 
• Les ressources redondantes, permettant de maintenir les services essentiels en cas de panne ou de compromission. 
• La gestion des crises, avec une cellule identifiée, des rôles définis, des exercices réguliers et des procédures de communication structurées. 

Cette thématique vérifie la résilience réelle de l’organisation face à une cyberattaque. 

5 – Sécurité de la chaîne d’approvisionnement 

La NIS2 impose une surveillance renforcée des fournisseurs, considérés comme une extension du périmètre de sécurité. 

Les contrôles incluent : 

• L’existence d’une politique dédiée, définissant les exigences de cybersécurité attendues des prestataires et intégrées dans les contrats. 
• Une cartographie complète des fournisseurs, identifiant ceux critiques pour l’activité ou pour les données sensibles. 
• L’évaluation du niveau de sécurité des tiers, via questionnaires, audits, certifications, preuves ou engagements contractuels. 
• Un suivi régulier des risques liés aux prestataires, permettant d’intégrer les évolutions de leur posture ou des incidents qui les touchent. 
• L’objectif est de garantir que les partenaires de l’entreprise ne deviennent pas un point d’entrée vulnérable. 

Pourquoi structurer un référentiel aide réellement ? 

Avec la diversité des exigences, travailler sans cadre clair rend la conformité difficile, risque d’oubli, doublons, preuves dispersées, etc. Un référentiel organisé permet simplement de mieux suivre les obligations, de gagner du temps lors des audits et d’avoir une vision plus précise de ce qu’il reste à traiter. 

Il offre aussi une continuité d’un audit à l’autre et permet d’éviter que la compréhension de NIS2 dépende uniquement des individus impliqués. 

Pour aller plus loin 

La mise en conformité NIS2 ne repose pas seulement sur des processus et de la documentation, elle exige aussi que les équipes comprennent les enjeux et adoptent les bons réflexes au quotidien. Pour accompagner cette montée en compétence, notre plateforme Phosforea propose des modules de formation dédiés à la cybersécurité et aux obligations NIS2. C’est un moyen efficace d’ancrer durablement les bonnes pratiques et de renforcer la résilience de l’organisation. 

NIS2, rappel : qu’est-ce que c’est – comment ça marche ? 

Adoptée au niveau européen, la directive NIS2 (Network and Information Security 2) vise à renforcer la cybersécurité et la résilience des organisations publiques et privées. Elle succède à la première directive NIS en élargissant son périmètre, en renforçant les exigences et en introduisant des sanctions plus strictes. 

Ses principaux objectifs : 

• Renforcer la préparation des États membres face aux cybermenaces grâce à la création d’équipes d’intervention en cas d’incident de sécurité informatique (Computer Security Incident Response Team ou CSIRT) et d’autorités nationales dédiées à la cybersécurité. 
• Favoriser la coopération européenne via un groupe de coordination chargé de partager les informations et de soutenir les États membres en matière de cybersécurité. 
• Développer une culture de la sécurité numérique dans les secteurs critiques dépendant des technologies de l’information et de la communication. 

La directive devait être transposée dans le droit national au plus tard le 18 octobre 2024. En France, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté au Sénat le 12 mars 2025. Celle-ci assure la transposition de NIS2, de la directive REC et de la directive accompagnant DORA. 

La montée en charge de NIS2 s’étendra jusqu’en 2027, selon le plan établi par l’ANSSI. Les notifications d’incidents sont déjà obligatoires, tandis que les autres mesures feront l’objet d’une mise en conformité progressive, afin de laisser aux organisations le temps d’adapter leurs processus et leur gouvernance selon leurs complexités.

Qui est concernépar NIS2 ?

La directive s’applique à 18 secteurs d’activité, regroupés en deux grandes catégories : 

• Les entités essentielles (EE) 
• Les entités importantes (EI) 

Pour être concernée, une organisation doit : 

• Employer 50 personnes ou plus, ou bien ; 
• Réaliser un chiffre d’affaires annuel supérieur à 10 millions d’euros, sauf exceptions pour certains acteurs critiques comme les télécoms, les administrations ou les opérateurs DNS. 

Les entités essentielles (EE) : 

Ces entités fournissent des services indispensables à la société et à l’économie. Elles sont soumises à des exigences de sécurité et de supervision plus strictes, et figurent parmi les premières à devoir se mettre en conformité. 

Secteurs concernés : 

•  Énergie : production, distribution, pétrole, gaz… 
• Transports : aérien, ferroviaire, maritime, routier, transports publics. 
• Banque et finance : banques, bourses, infrastructures de paiement. 
• Santé : hôpitaux, cliniques, laboratoires, e-santé. 
• Eau potable et assainissement : production et distribution. 
• Infrastructures numériques : opérateurs télécom, data centers, cloud.
• dministrations publiques : ministères, agences, services publics. 
• Espace : satellites, lanceurs, centres de contrôle. 

Les entités importantes (EI) : 

Les entités importantes ne sont pas des organisations critiques au sens strict, mais leur activité reste essentielle au bon fonctionnement de l’économie. 

Secteurs concernés pas NIS2 : 

• Services numériques : plateformes en ligne, e-commerce, hébergeurs, réseaux sociaux. 
• Poste et messagerie : logistique, livraison de colis. 
• Recherche et développement : notamment en cybersécurité et innovation technologique. 
• Industries manufacturières critiques : agroalimentaire, chimie, pharmacie, etc. 
• Gestion des déchets : collecte, traitement, élimination. 

Les cas particuliers 

Certaines organisations sont soumises à NIS2 quelle que soit leur taille, notamment : 

• Les fournisseurs de réseaux ou de services de communications électroniques publics. 
• Les prestataires de services de confiance. 
• Les registres de noms de domaine et services DNS. 
• Certaines administrations publiques stratégiques. 

De plus, la directive s’applique même aux entreprises situées non européennes si elles fournissent des services au sein de l’Union européenne. 

Les obligations principales de NIS2

Les entités concernées doivent : 

• Mettre en place une politique de gestion des risques couvrant l’ensemble des systèmes et des réseaux d’information. 
• Définir des procédures de détection, de signalement et de traitement des incidents de cybersécurité. 
• Garantir la continuité d’activité et disposer d’un plan de gestion de crise régulièrement actualisé. 
• Sécuriser la chaîne d’approvisionnement et les relations avec les prestataires critiques. 
• Intégrer la cybersécurité dès la conception, le développement et la maintenance des systèmes informatiques. 
• Mettre en œuvre un dispositif de traitement et de divulgation encadrée des vulnérabilités. 
• Évaluer régulièrement l’efficacité des mesures de sécurité et des politiques de gestion des risques. 
• Renforcer la formation et la sensibilisation cybersécurité de l’ensemble du personnel, y compris la direction. 
• Encadrer l’usage de la cryptographie et du chiffrement pour protéger les données sensibles. 
• Contrôler strictement les accès aux systèmes et gérer les actifs liés aux utilisateurs. 
• Déployer des solutions d’authentification renforcée (multifacteurs ou continue). 
• Respecter les obligations de notification d’incidents : alerte précoce sous 24 h et rapport complet sous 72 h.

Comment vous préparer ?

 Déterminer si votre organisation est concernée. 
Commencez par identifier si votre secteur et votre taille vous placent dans le champ d’application de la directive. Évaluez ensuite vos risques et votre niveau d’exposition pour construire un plan d’action adapté.

Réaliser un audit ou diagnostic de conformité NIS2. 
Cet audit permet d’évaluer votre niveau de maturité et de repérer les écarts entre vos pratiques actuelles et les exigences de NIS2. C’est la première étape pour définir une feuille de route de mise en conformité.

Renforcer la gouvernance cybersécurité et actualiser le plan de gestion de crise.
La conformité NIS 2 repose sur une gouvernance claire et solide. Ce que cela implique concrètement : 

• Impliquer la direction générale : la cybersécurité n’est pas qu’une affaire technique et RSSI — elle doit devenir un véritable enjeu stratégique. Pour cela, la direction doit être un acteur actif des décisions, mais aussi du suivi des travaux menés.
• Former l’ensemble des équipes : dirigeants, managers et collaborateurs… Tous les acteurs, doivent être sensibilisés aux menaces et aux bonnes pratiques afin d’adopter une posture proactive face aux risques.
• Nommer un RSSI (Responsable de la Sécurité des Systèmes d’Information) : ce référent pilote la stratégie, coordonne les actions et veille à la conformité NIS2 (entre autres). 
• Créer un comité de pilotage cybersécurité : réunissant les services IT, juridique, conformité, RH et communication. Ce comité assure un suivi régulier des indicateurs et veille à la cohérence globale de la stratégie.
• Élaborer une PSSI (Politique de Sécurité des Systèmes d’Information) : ce document formalise les règles, les responsabilités et les bonnes pratiques de sécurité applicables à tous. Garantissant une approche homogène sur l’ensemble de l’organisation.
• Mesurer les progrès avec des indicateurs concrets (KPI) : taux d’incidents détectés, délais de réaction, conformité des prestataires, etc. Ces données permettent une vision claire de la maturité cyber d’une organisation, d’ajuster la stratégie et de démontrer les résultats.

Sécuriser vos relations contractuelles avec les prestataires et partenaires critiques. 
La directive NIS2 étend les exigences de sécurité à toute la chaîne de valeur. Les fournisseurs, sous-traitants et partenaires critiques doivent, eux aussi, répondre à des critères de cybersécurité. Cela passe par la mise à jour des contrats, l’ajout de clauses spécifiques NIS2 et des évaluations régulières de la conformité des prestataires. Même une PME non directement visée par la directive peut être indirectement régulée si elle travaille avec une entité concernée. 

Anticiper les contrôles de l’ANSSI ou des autorités de régulation sectorielles. 
Les entités concernées pourront faire l’objet d’audits ou d’inspections par l’ANSSI ou par les régulateurs de votre secteur. Préparez-vous en centralisant la documentation, en structurant vos preuves de conformité et en vous assurant de la traçabilité de toutes vos actions. 

Former et sensibiliser vos équipes à la cybersécurité et aux nouvelles obligations. 
La sécurité repose sur la vigilance de chacun. Mettez en place des formations de adaptées à chaque profil (direction, IT, RH, métiers) et organisez des campagnes régulières de sensibilisation : ateliers pratiques, e-learning, simulations de phishing, etc. 

Sécuriser votre chaîne d’approvisionnement.
Intégrez les exigences de NIS2 à vos processus d’achat et de sous-traitance. La directive renforce la responsabilité vis-à-vis des fournisseurs stratégiques : sécuriser sa supply chain devient désormais indispensable. 

Mettre en place un suivi et des contrôles réguliers.
La conformité à NIS2 est un processus continu. Évaluez régulièrement vos dispositifs, mesurez les écarts et ajustez vos actions pour maintenir un niveau de sécurité conforme et durable. 

Structurer et maintenir la documentation technique.
Conservez une traçabilité complète de vos mesures techniques, de vos processus de sécurité et des incidents traités. Une documentation claire et actualisée pour faciliter les audits, prouve votre conformité et permet une réaction rapide en cas de crise ou de contrôle. 

Les sanctions en cas de non-conformité

Les amendes varient selon la catégorie de criticité du secteur : 

• Jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires mondial pour les entités importantes. 
• Jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles. 

En cas de récidive, l’ANSSI peut aller jusqu’à suspendre temporairement les services concernés, retirer les dirigeants responsables ou rendre public les sanctions. 

NIS2 : une contrainte, mais surtout une opportunité

La directive NIS2 s’inscrit dans un cadre réglementaire européen plus large visant à renforcer la résilience et la cybersécurité des organisations. Elle est étroitement coordonnée avec les textes suivants : 

• La directive sur la résilience des entités critiques (REC) : elle impose des obligations destinées à garantir la continuité et la sécurité des services essentiels face aux menaces physiques. 
• Le règlement DORA (Digital Operational Resilience Act) : il fixe des exigences spécifiques en matière de cybersécurité pour les acteurs du secteur financier. Les entités concernées pourront notamment participer aux travaux du groupe de coopération NI Set échangé avec les CSIRT. 
• Le règlement « Cyber-Résilience » : il s’appuie sur les définitions « d’incident » et de « vulnérabilité » issues de la directive NIS2, et identifie certains produits comme critiques selon leur usage par les entités essentielles. 

La directive NIS2 est plus qu’une obligation réglementaire : elle représente une opportunité d’élever la maturité cyber de votre organisation.  

Les entreprises proactives renforceront : 

• Leur résilience face aux cybermenaces, 
• Leur crédibilité auprès de leurs partenaires et clients, 
• Leur avantage compétitif à long terme. 

En s’y préparant dès aujourd’hui, votre organisation se place en position de force pour les prochaines réglementations européennes (DORA, CER, Cyber Resilience Act). 

Sources :

• https://cyber.gouv.fr/la-directive-nis-2
• https://monespacenis2.cyber.gouv.fr/directive 
• https://ingroupe.com/fr/observatoire/nis-2-quel-impact-entreprises-organisations-europe/