NIS 2 : structurer sa démarche avant d’agir
Dans un premier article, nous sommes revenus sur une question essentielle : de quoi parle réellement la directive NIS 2, et pourquoi tant d’entreprises n’arrivent pas à se situer ? Ce travail de clarification est indispensable, mais il ne suffit pas. Une fois le cadre compris, une autre difficulté apparaît très rapidement : comment structurer sa démarche avant de passer à l’action ?
Autrement dit, comment éviter de se précipiter, de surinterpréter la directive ou de lancer des actions dispersées, sans vision d’ensemble. C’est précisément ce point qui est revenu de manière récurrente lors de la journée technique du 15 janvier organisée par le LNE et BYCYB : la difficulté n’est pas la volonté d’agir, mais l’ordre dans lequel les organisations abordent la conformité NIS 2.
Mise en conformité NIS 2 : la vraie question n’est pas « que faire ? », mais « comment penser ? »
Lorsque l’on écoute les échanges autour de NIS 2 dans les organisations, les questions sont rarement techniques à l’origine. Elles sont avant tout structurelles.
- Sommes-nous réellement concernés par la directive, et à quel niveau ?
- Qu’est-ce qui relève des exigences NIS 2, et qu’est-ce qui relève de nos propres choix de cybersécurité ?
- Faut-il agir immédiatement ou peut-on prioriser sans se mettre en risque ?
- Comment savoir si notre démarche est proportionnée ?
Ces questions traduisent une même réalité : avant de décider quoi faire, il faut être capable de penser le cadre. Or, l’information sur NIS 2 est abondante, mais elle arrive souvent fragmentée, lue différemment selon les équipes direction, IT, sécurité, juridique, métiers.
Résultat : une organisation avance avec plusieurs lectures de la directive en parallèle. Ce n’est pas la complexité de NIS 2 qui fatigue, mais l’absence d’un cadre de lecture commun.
Le piège de la conformité NIS 2 : démarrer au mauvais endroit
Face à l’urgence réglementaire, le premier réflexe est souvent de vouloir agir immédiatement. Des mesures de cybersécurité, des outils, des contrôles, des plans de mise en conformité. C’est pourtant là que de nombreuses démarches NIS 2 se bloquent. La directive NIS 2 n’est ni une checklist, ni un audit ponctuel, ni une norme à « atteindre » rapidement. C’est un cadre structurant, qui impose avant tout une capacité à se situer et à justifier ses choix. Quand on démarre trop vite, trois effets apparaissent presque systématiquement :
- La dispersion des efforts : plusieurs chantiers sont lancés en parallèle, portés par des équipes différentes, sans articulation claire.
- La surinterprétation des obligations : par prudence, le niveau d’exigence est élevé partout, même lorsque ce n’est pas proportionné au statut réel de l’entité.
- La fatigue organisationnelle : trop de concepts, trop de cadres, trop d’injonctions. Le sujet devient lourd et paralysant.
Si ce sentiment vous est familier, ce n’est pas un échec. C’est souvent le signe que le point de départ n’était pas le bon.
Changer de point de départ : structurer sa lecture avant toute action
Avant de parler de plan d’actions ou de mesures techniques, une étape invisible mais décisive s’impose : installer un ordre de réflexion clair. Un ordre qui permet de réduire la charge cognitive et de préparer des décisions défendables, tant en interne que face au régulateur. Cet ordre se structure généralement autour de quatre éléments simples.
| Se situer dans le périmètre de la directive | Non pas « que devons-nous faire pour NIS 2 ? », mais « où sommes-nous réellement dans le cadre ? ». Êtes-vous une entité essentielle ou importante ? Votre secteur est-il concerné à titre principal ou secondaire ? Sans cette clarification initiale, tout le reste repose sur des hypothèses fragiles. |
| Comprendre le niveau d’exigence attendu | Il ne s’agit pas de viser un idéal abstrait de cybersécurité, mais de comprendre ce que la directive implique concrètement pour votre organisation, votre taille, votre exposition aux risques. |
| Identifier les responsabilités | Qui porte le sujet NIS 2 ? Qui arbitre ? Qui met en œuvre ? Sans gouvernance claire et engagement de la direction, la conformité reste une succession de tâches isolées. |
| Accepter la progressivité | La conformité NIS 2 est une trajectoire. Elle se construit dans le temps, avec des priorités assumées et justifiées. Une approche « tout, tout de suite » est rarement tenable. Ce changement de point de départ transforme la perception du sujet : on passe de la pression à la maîtrise. |
Construisez une cybersécurité alignée avec les exigences NIS 2.
Se situer sans tomber dans l’excès réglementaire
En pratique, l’étape la plus délicate d’une démarche NIS 2 reste l’auto-positionnement. Peu d’organisations correspondent à un cas « simple » tel qu’il pourrait apparaître dans une lecture théorique de la directive. Activités multiples, filiales en France ou à l’international, dépendance à des prestataires critiques, recours au cloud ou à des services managés : les périmètres sont souvent imbriqués, évolutifs et difficiles à qualifier clairement.
Dans ce contexte, deux écueils apparaissent fréquemment. Le premier consiste à surestimer son statut par prudence, en se positionnant au niveau d’exigence le plus élevé sans distinction claire entre obligations NIS 2 et choix internes de cybersécurité. Cette approche, rassurante en apparence, conduit souvent à des efforts disproportionnés et difficilement soutenables. Le second écueil est inverse : sous-estimer son exposition, en reportant les décisions structurantes faute de clarté sur le périmètre réel, non par manque de volonté, mais par absence de cadre partagé permettant de trancher sereinement.
Ce qui fait défaut à ce stade n’est ni un document de conformité supplémentaire, ni une liste d’actions à lancer, mais un cadre de lecture commun. Un cadre capable d’aligner direction, IT, sécurité, juridique et métiers autour d’une même compréhension du périmètre, du niveau d’exigence attendu et du principe de proportionnalité introduit par NIS 2. L’objectif n’est pas encore de démontrer une conformité, mais de clarifier la situation réelle de l’organisation, de documenter les hypothèses retenues et de sécuriser les choix à venir. Sans cette structuration amont, l’organisation s’expose soit à une sur-conformité coûteuse, soit à des angles morts difficiles à justifier par la suite.
La vraie question stratégique de NIS 2 : comment arbitrer ?
Une fois la lecture structurée, la question change de nature. On ne se demande plus « que faire ? », mais « comment décider ? ». NIS 2 révèle alors sa véritable dimension : ce n’est pas seulement un sujet de cybersécurité, c’est un sujet de gouvernance, de responsabilité et d’arbitrage stratégique.
Trois réalités s’imposent :
- La gouvernance compte autant que la technique
- La décision précède l’exécution
- La capacité à justifier ses choix est centrale
Ce n’est pas l’accumulation des cadres réglementaires qui crée la difficulté. C’est l’absence de décisions structurées. Là où il n’y a pas d’arbitrage clair, l’urgence devient permanente.
Faut-il structurer sa démarche NIS 2 avant d’agir ?
Oui. La directive NIS 2 n’est ni une course contre la montre ni un exercice de conformité mécanique. C’est un cadre structurant qui exige méthode, clarté et discernement. Comprendre la directive, se situer dans son périmètre, structurer sa gouvernance, puis décider : cet ordre conditionne la solidité et la durabilité de toute démarche NIS 2. La suite logique de cette réflexion porte désormais sur la phase décisionnelle : comment arbitrer concrètement sa trajectoire de conformité, sans tout traiter en même temps et sans transformer l’urgence réglementaire en fatigue durable. C’est précisément ce que nous aborderons dans le prochain article.
Construisez une cybersécurité alignée avec les exigences NIS 2.
