norppa.io
Guides

Guide NIS2 · 10 min

Comment se conformer à NIS2 : une feuille de route étape par étape

NIS2 n'est pas une liste de contrôle qu'on remplit une fois. C'est une obligation continue, adossée à la responsabilité de la direction et à l'application par les autorités. Mais le chemin vers la conformité est bien défini. Ce guide expose les étapes dans l'ordre : déterminer si vous êtes dans le champ, vous enregistrer auprès de votre autorité, engager formellement la direction, mettre en œuvre les mesures de gestion des risques, sécuriser votre chaîne d'approvisionnement, mettre en place la notification d'incidents et garder le tout démontrable dans la durée. Chaque étape renvoie à un guide plus approfondi quand vous en avez besoin.

Points clés

  • NIS2 (directive (UE) 2022/2555) devait être transposée en droit national au 17 octobre 2024 ; les obligations s'appliquent via la loi de transposition de chaque État membre.
  • La conformité suit une séquence claire : champ → enregistrement → gouvernance → mesures de l'art. 21 → chaîne d'approvisionnement → notification d'incidents → assurance continue.
  • Elle est continue, pas ponctuelle. La direction est responsable (art. 20) et les autorités peuvent auditer, ordonner des corrections et sanctionner (art. 34).

Ce que « conformité NIS2 » signifie vraiment

NIS2 est une directive de l'UE : elle s'applique donc via la loi nationale que chaque État membre a adoptée pour la transposer (l'échéance de transposition était le 17 octobre 2024 ; certains États ont pris du retard). Elle fixe une base de mesures de gestion des risques cyber (art. 21), de notification d'incidents (art. 23), de gouvernance et de responsabilité (art. 20), ainsi que l'enregistrement auprès d'une autorité compétente, le tout appuyé par des audits et des sanctions (art. 34).

Point essentiel : c'est un système de management, pas un certificat. On ne « réussit » pas NIS2 une fois ; on exploite, on démontre et on améliore les mesures en continu, et votre direction en est personnellement responsable. Les étapes ci-dessous vous amènent à une base défendable et vous y maintiennent.

Qui doit se conformer

Les entités essentielles et importantes : moyennes et grandes organisations des secteurs des annexes I/II (énergie, transports, santé, eau, infrastructure numérique, administration publique, industrie manufacturière, etc.). Confirmez votre niveau avec le guide « Qui est concerné par NIS2 ».

Concerné indirectement

Même sans désignation, l'obligation de chaîne d'approvisionnement vous atteint : les entités concernées doivent évaluer leurs fournisseurs (art. 21(2)(d)), vous ferez donc face à des questionnaires, des demandes de preuves et un monitoring continu via vos contrats.

La feuille de route, étape par étape

Sept étapes, dans l'ordre. Chacune s'appuie sur la précédente.

Étape 1

Confirmez le champ et le niveau. Déterminez si vous êtes une entité essentielle ou importante à partir des secteurs des annexes I/II et des seuils de taille, et situez vos propres fournisseurs.

Étape 2

Enregistrez-vous auprès de votre autorité compétente. La plupart des États membres imposent aux entités concernées de s'enregistrer (nom, secteur, contacts, plages d'IP) au titre de leur loi de transposition.

Étape 3

Engagez la direction. L'organe de direction doit approuver les mesures de gestion des risques, les superviser et être formé (art. 20), et peut être tenu responsable.

Étape 4

Mettez en œuvre les mesures de l'art. 21(2) : les dix mesures de base, appliquées proportionnellement à votre risque (voir la liste ci-dessous).

Étape 5

Sécurisez votre chaîne d'approvisionnement. Évaluez et surveillez le risque cyber des fournisseurs (art. 21(2)(d)) par hiérarchisation, questionnaires et preuves continues, pas un audit ponctuel.

Étape 6

Mettez en place la notification d'incidents. Soyez en mesure d'envoyer l'alerte précoce à 24 h, la notification à 72 h et le rapport final à un mois à votre CSIRT (art. 23).

Étape 7

Rendez-la continue et démontrable. Surveillez, testez, documentez et révisez afin de pouvoir prouver, à la demande, que les mesures fonctionnent.

Les mesures de l'article 21(2)

L'étape 4 en détail. NIS2 exige, de façon proportionnée, au moins :

  • (a) Analyse des risques et politiques de sécurité des systèmes d'information.
  • (b) Gestion des incidents : détection, réponse et rétablissement.
  • (c) Continuité des activités : sauvegardes, reprise après sinistre et gestion de crise.
  • (d) Sécurité de la chaîne d'approvisionnement, y compris la sécurité des relations avec les fournisseurs et prestataires directs.
  • (e) Sécurité de l'acquisition, du développement et de la maintenance, y compris le traitement et la divulgation des vulnérabilités.
  • (f) Politiques et procédures pour évaluer l'efficacité des mesures.
  • (g) Cyberhygiène de base et formation à la sécurité.
  • (h) Cryptographie et, le cas échéant, chiffrement.
  • (i) Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs.
  • (j) Authentification multifacteur, communications vocales/vidéo/texte sécurisées et communications d'urgence sécurisées.

Pourquoi cela ne « finit » jamais vraiment

Les mesures ne sont pas un projet avec une ligne d'arrivée. NIS2 attend que vous évaluiez leur efficacité (art. 21(2)(f)), et les autorités peuvent mener des audits, demander des preuves, émettre des instructions contraignantes et infliger des amendes (art. 34) : pour les entités essentielles, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La direction peut aussi être tenue personnellement responsable.

C'est pourquoi la dernière étape est la plus importante : l'écart entre « nous avons écrit une politique » et « nous pouvons montrer qu'elle fonctionne aujourd'hui » est exactement ce qu'un auditeur (ou la diligence d'un client) vous demande de combler. Le monitoring continu et les preuves conservées transforment un effort ponctuel en une position défendable et reproductible.

NIS2 s'applique via le droit national, et les détails (mécanique d'enregistrement, échéances, spécificités sectorielles, niveaux de sanction) varient selon l'État membre. Confirmez les détails auprès de votre autorité nationale compétente.

Par où commencer ?

Votre premier pas dépend de votre situation :

Vous êtes clairement dans le champ (essentielle ou importante)

Commencez à l'étape 1 pour confirmer votre niveau, puis enregistrez-vous et informez la direction. Utilisez le guide sur la responsabilité de la direction pour impliquer le conseil tôt.

Vous ne savez pas si vous êtes dans le champ

Commencez par le guide « Qui est concerné par NIS2 », secteurs et seuils de taille, avant d'investir dans des contrôles. Ne présumez pas d'une exemption ; la chaîne d'approvisionnement peut vous atteindre.

Vous êtes fournisseur d'entités concernées

Même sans désignation propre, attendez-vous à des questionnaires fournisseurs et à un monitoring. Les guides questionnaire et liste de contrôle montrent ce que l'on vous demandera de prouver.

Vous détenez déjà l'ISO 27001

Une grande partie de l'étape 4 se reporte, mais pas la notification légale d'incidents, l'enregistrement ni la responsabilité de la direction. Le guide ISO 27001 cartographie ce qui reste.

Sources : Directive (UE) 2022/2555 (NIS2) et votre loi nationale de transposition. NIS2 s'applique via le droit national ; confirmez la mécanique d'enregistrement, les échéances et les niveaux de sanction auprès de votre autorité compétente.

Comment norppa.io aide

norppa.io est conçu pour les étapes 5 et 7, les volets chaîne d'approvisionnement et preuve continue que la plupart des équipes trouvent les plus difficiles. Il surveille chaque domaine fournisseur sur plus de cent points de contrôle chaque jour (les plus sensibles toutes les six heures), associe chaque constat à l'article NIS2 concerné et conserve un enregistrement daté et exportable pour votre dossier fournisseur.

Les questionnaires d'auto-évaluation captent les contrôles de processus et contractuels, et chaque réponse est confrontée au profil technique en direct : de sorte que, lorsqu'un auditeur ou un client vous demande de démontrer que la sécurité de la chaîne d'approvisionnement fonctionne réellement, vous disposez de preuves actuelles et corroborées plutôt que d'un tableur du printemps dernier.

Une preuve continue pour les étapes 5 et 7

Voyez un rapport fournisseur d'exemple (constats, correspondance des articles NIS2 et preuves) en environ deux minutes.

Voir le rapport d'exemple
Voir le tableau de bord exemple

Guides associés

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.