Conformité NIS 2 : la feuille de route étape par étape pour structurer sa démarche

Lorsqu’on parle de conformité NIS 2, le sujet peut rapidement paraître flou. La quantité de contenus disponibles, parfois très techniques ou fragmentés, rend difficile l’identification de ce qu’il faut réellement faire, et surtout dans quel ordre. Cette difficulté est renforcée par la nature même de NIS 2 : il s’agit d’une démarche progressive, qui ne se résume ni à une checklist ni à une action ponctuelle.

Aborder la conformité NIS 2 sans disposer d’une vue d’ensemble expose les organisations à deux risques fréquents : agir trop vite sans cadre clair, ou au contraire repousser indéfiniment les décisions faute de lisibilité.

Chez BYCYB, nous avons fait le choix de décomposer le sujet en trois temps complémentaires : la compréhension, la structuration, puis l’action. Pour illustrer cette logique, prenons l’exemple du sport : lorsque l’on commence une nouvelle discipline, on découvre les règles, on apprend les bases, on s’échauffe ; avant de passer réellement à l’effort. La conformité NIS 2 suit exactement la même logique. Cet article s’inscrit dans cette phase de structuration. Il a pour objectif de fournir une feuille de route claire, étape par étape, pour comprendre comment se mettre en conformité NIS 2 de manière cohérente et progressive. Et si certaines zones restent floues, une fiche synthèse est également disponible pour garder en tête les grandes étapes clés.

Étape 1 : Qualifier son périmètre et son statut NIS 2

Entrons dans le vif du sujet. Dans notre premier article, nous avons déjà abordé cette question essentielle : êtes-vous réellement concerné par NIS 2 ?

C’est le préalable à toute action. Si une organisation n’entre pas dans le périmètre de la directive, engager des efforts lourds et structurants n’a tout simplement pas de sens.
C’est ici qu’une veille réglementaire et cyber prend toute son importance. Elle permet de comprendre les textes, les évolutions réglementaires et les notions clés de la cybersécurité, afin de se positionner rapidement et de manière éclairée. Sans revenir en détail sur le précédent article, rappelons que NIS 2 distingue principalement deux catégories d’entités concernées :

• Les Entités Essentielles (EE)
• Les Entités Importantes (EI)

Ces catégories se distinguent notamment selon des critères tels que le chiffre d’affaires, le nombre d’employés, la nature des activités et le niveau de criticité des services fournis. Pour aller plus vite, l’ANSSI met à disposition un simulateur officiel, permettant d’évaluer rapidement si une organisation est concernée ou non par NIS 2 : https://monespacenis2.cyber.gouv.fr/simulateur

Il existe bien entendu des exceptions à la directive NIS 2, qui doivent être analysées au cas par cas, en fonction de la nature exacte des activités et de leur périmètre.

Étape 2 : Définir le cadre de pilotage et d’arbitrage de la démarche NIS 2

Définir un cadre décisionnel clair est une étape capitale. C’est à ce stade que se joue une grande partie de la réussite de la démarche. La directive NIS 2 est explicite sur ce point. L’article 20 précise notamment que : « Les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité (…) supervisent leur mise en œuvre et peuvent être tenus responsables en cas de manquement. » Elle ajoute également que les organes de direction doivent suivre une formation adaptée et encourager la montée en compétences des équipes, afin de comprendre les risques cyber et leur impact sur les services fournis.

Cette étape vise avant tout à éviter :

• Des décisions contradictoires,
• Des lectures divergentes du texte,
• Une inertie organisationnelle face à l’action.

En clair, il s’agit d’identifier qui décide, sur quelles bases, et selon quel mécanisme d’arbitrage, avant d’entrer dans des phases plus opérationnelles.

Étape 3 : Cartographier les systèmes et dépendances critiques

La cartographie constitue un outil fondamental pour maîtriser et sécuriser les systèmes industriels et techniques. Elle offre une vision globale et partagée des composants du système d’information, indispensable à la compréhension des dépendances et à la prise de décision. Intégrée à une démarche de gestion des risques, la cartographie répond à plusieurs enjeux :

• Maîtrise du système d’information,
• Vision commune entre les parties prenantes,
• Aide au pilotage et à l’évolution des systèmes,
• Amélioration du niveau de maturité en sécurité numérique.

À ce stade, l’audit joue un rôle clé. Il permet d’identifier les vulnérabilités, les risques et les lacunes susceptibles d’affecter la disponibilité, la traçabilité, l’intégrité ou la confidentialité des systèmes. L’audit n’est pas une fin en soi : il vient alimenter la cartographie et renforcer la compréhension du périmètre réel. Cette étape est indispensable pour préparer les suivantes.

Étape 4 : Analyser les risques pour fonder les arbitrages de sécurité

La notion de proportionnalité intervient à ce stade pour une raison claire : dans la directive NIS 2, les mesures de cybersécurité attendues doivent être proportionnées au niveau de risque réel auquel l’entité est exposée. Cette proportionnalité ne peut être appréciée qu’à partir d’une analyse de risque structurée et documentée. NIS 2 ne demande pas aux organisations d’appliquer des mesures de sécurité uniformes, indépendamment de leur contexte.

La directive impose au contraire d’adapter le niveau et la complexité des mesures en fonction de plusieurs facteurs clés : l’exposition réelle aux menaces cyber, les impacts potentiels d’un incident sur les activités ou les services critiques, ainsi que les dépendances essentielles identifiées, notamment vis-à-vis des systèmes et des fournisseurs critiques. La proportionnalité n’est donc ni un choix arbitraire, ni un moyen « d’en faire moins ». Il s’agit d’un principe structurant, à la fois juridique et opérationnel, qui permet de calibrer les efforts de cybersécurité de manière cohérente, défendable vis-à-vis du régulateur et soutenable dans le temps.

L’analyse de risque constitue le socle de cette approche. Elle permet de hiérarchiser les enjeux, de prioriser les actions de sécurité et de justifier les arbitrages réalisés, en distinguant clairement une conformité théorique d’une sécurité réellement adaptée au contexte opérationnel, telle qu’attendue par la directive NIS 2.

Étape 5 : Structurer la gouvernance complète et les responsabilités

La gouvernance complète de la démarche NIS 2 intervient volontairement après l’analyse de risque. On ne pilote durablement que ce que l’on comprend. À ce stade, l’organisation dispose d’une vision claire de ses risques, de ses priorités et de ses capacités réelles. Cela permet d’aligner la gouvernance sur des enjeux concrets, et non sur des principes abstraits.

La gouvernance doit s’aligner sur :

• Les risques,
• Les priorités,
• Les capacités réelles de l’organisation.

Cela implique une clarification précise des rôles et responsabilités (direction, RSSI, métiers), la nomination de responsables identifiés, ainsi que la mise en place de dispositifs de sensibilisation et de gestion des fournisseurs, éléments centraux de la directive NIS 2.

Étape 6 : Déployer, superviser et inscrire la conformité dans la durée

NIS 2 s’inscrit dans une logique d’amélioration continue. Le travail ne s’arrête jamais réellement. La mise en place de dispositifs tels qu’un SOC OT, des capacités de détection, des plans de réponse aux incidents ou un maintien en condition de sécurité (MCS) permet de renforcer durablement la posture de cybersécurité.

La cybersécurité étant un domaine en constante évolution, il est essentiel de la considérer comme un processus continu, et non comme une série d’actions ponctuelles. Pour de nombreuses organisations, ces sujets peuvent devenir complexes et chronophages, ce qui justifie parfois le recours à des expertises externes afin de rester conforme tout en se concentrant sur son cœur de métier.

Etape 7 : Passer de la conformité à la maîtrise

La directive européenne NIS 2 vise à élever durablement le niveau de cybersécurité des entités essentielles et importantes, en s’appuyant sur des règles harmonisées et une responsabilisation progressive des organisations.

Dans cette logique, l’ANSSI a mis en place un dispositif de pré-enregistrement volontaire, permettant aux entités concernées d’anticiper l’entrée en vigueur formelle de leurs obligations réglementaires. Ce pré-enregistrement constitue la première brique concrète de la mise en œuvre de NIS 2.

Il ne s’agit pas d’une simple formalité administrative, mais d’un acte structurant, engageant juridiquement l’entité et l’amenant à consolider les informations clés relatives à son périmètre, à ses activités, à son exposition et à ses responsabilités.

En validant ces informations, l’organisation franchit un cap : elle ne se contente plus de comprendre NIS 2, elle se positionne formellement vis-à-vis du régulateur et pose les bases d’un pilotage durable de sa cybersécurité. Cette étape vient ainsi clore la feuille de route initiale, en ouvrant la voie à une conformité maîtrisée, défendable et alignée avec les attentes de l’ANSSI.