Vous êtes concerné par NIS2 : les 5 premières actions à mener

Ne pas paniquer : la conformité se construit par étapes

La directive NIS2 fixe la date butoir à fin 2027 pour une conformité complète. L'ANSSI a annoncé une phase d'accompagnement progressive : les premiers contrôles prioritaires cibleront les entités qui n'ont entrepris aucune démarche. Si vous lisez cet article, vous avez déjà une longueur d'avance.

L'enjeu n'est pas d'être parfait tout de suite — c'est de démontrer une démarche structurée, documentée et qui progresse. Voici par où commencer.

Action 1 : Évaluer votre niveau de maturité actuel

La transposition française de NIS2 s'articule autour de 20 objectifs de sécurité définis par l'ANSSI. Ces objectifs couvrent les 10 catégories de mesures de l'article 21 de la directive : gouvernance, gestion des risques, sécurité des réseaux, continuité d'activité, gestion des incidents, sécurité de la chaîne d'approvisionnement, etc.

• Pour chaque objectif, évaluez votre niveau de maturité de 0 (inexistant) à 4 (optimisé et mesuré).
• Cela prend 1 à 2 heures avec un outil guidé — NIS2facile vous propose cette évaluation structurée dès votre premier accès.
• Résultat : un score global et un score par objectif qui devient votre baseline de départ.

Action 2 : Identifier vos 3 écarts prioritaires

Une fois l'évaluation faite, vous n'allez pas tout corriger en même temps. Le bon réflexe est de prioriser les écarts selon deux critères combinés : l'impact sur le risque cyber réel et la facilité de mise en œuvre.

• Écarts à traiter en premier : MFA absent, sauvegardes non testées, pas de plan de réponse incidents — fort impact, déploiement rapide.
• Écarts à planifier : politique de sécurité formalisée, cartographie des actifs, clauses contractuelles fournisseurs — structurants mais moins urgents.
• Constituez un top 3 avec un responsable et une deadline pour chaque action.

Action 3 : Nommer un responsable NIS2

L'article 20(1) de la directive impose que les organes de direction désignent un référent pour la supervision de la conformité NIS2. Dans une PME, ce rôle peut être tenu par le DG lui-même, le DSI, ou un RSSI externe.

• Formalisez cette désignation par écrit (email de direction, procès-verbal COMEX, ou décision de direction) — c'est une preuve opposable.
• Si vous n'avez pas de RSSI interne, des RSSI freelances proposent des missions NIS2 en quelques jours par mois.
• Le responsable NIS2 est l'interlocuteur ANSSI en cas de contrôle ou d'incident.

Action 4 : Constituer vos premières preuves documentaires

La conformité NIS2 ne se déclare pas — elle se prouve. Dès maintenant, commencez à collecter et centraliser les preuves des mesures déjà en place dans votre organisation.

• Politique de sécurité existante (même informelle) → à formaliser et dater
• Configuration MFA sur les accès admin et messagerie → capture d'écran datée
• Derniers tests de restauration des sauvegardes → compte-rendu horodaté
• Contrats fournisseurs critiques → à vérifier pour les clauses sécurité

Action 5 : Planifier avec un calendrier réaliste

La date butoir officielle est fin 2027, mais ne vous y prenez pas à la dernière minute. Un calendrier réaliste pour une PME de 50 à 200 salariés ressemble à ceci :

• Mois 1–2 : évaluation de maturité + top 3 des écarts + désignation du responsable.
• Mois 3–6 : mise en place des mesures prioritaires (MFA, sauvegardes, plan incidents) + premières preuves collectées.
• Mois 7–12 : formalisation des politiques, cartographie des actifs, revue fournisseurs.
• Mois 13–18 : rapport de conformité complet, simulation d'audit, ajustements.

Commencez par le simulateur gratuit (2 minutes, sans inscription) pour confirmer votre classification et obtenir votre premier plan d'action personnalisé.