78 % des entités dans le scope NIS2 déclarent ne pas avoir de plan d'audit de maturité formalisé (ENISA NIS Investment Report 2025). Pourtant, la directive est en vigueur, les premières sanctions coordonnées à l'échelle européenne sont attendues en 2026-2027, et les autorités nationales ont commencé leurs vérifications secteur par secteur. Les organisations qui traitent ces 90 prochains jours comme une fenêtre de grâce se préparent un problème — celles qui s'en servent comme d'une fenêtre de construction se donnent un avantage structurel.
Dans cet article, nous détaillons un cadre de préparation en trois phases — diagnostic, remédiation prioritaire, documentation — applicable à une organisation de taille mid-market sans équipe GRC dédiée à plein temps.
Ce que NIS2 impose vraiment : trois obligations souvent mal comprises
NIS2 est perçue à tort comme une directive technique. Son périmètre d'obligation est plus large. L'Article 21 définit dix mesures de gestion des risques de sécurité : politiques d'analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, gestion des accès, chiffrement, ressources humaines. Ces obligations concernent la gouvernance autant que la technique.
Trois points sont systématiquement sous-estimés lors des premiers audits que nous conduisons.
Obligation de notification en 24h. NIS2 impose une alerte initiale à l'autorité nationale compétente dans les 24 heures suivant la détection d'un incident « significatif ». Pas 72h comme sous RGPD pour les violations de données personnelles — 24h. Un rapport intermédiaire suit sous 72h, un rapport final sous un mois. La majorité des plans de réponse aux incidents que nous auditeons ne distinguent pas ces délais différents selon le régime réglementaire applicable.
Responsabilité personnelle de la direction. L'Article 20 de NIS2 établit explicitement que les organes de direction des entités concernées approuvent les mesures de gestion des risques et supervisent leur mise en œuvre. En cas d'infraction grave, les États membres peuvent temporairement interdire à une personne physique d'exercer des fonctions de direction. Ce n'est pas une clause théorique : c'est un levier de conformité qui doit remonter au comité de direction.
Périmètre supply chain. L'Article 21(2)(d) impose d'évaluer la sécurité des fournisseurs et prestataires de services. La conformité de votre organisation dépend donc partiellement de celle de vos tiers critiques. Un audit de maturité NIS2 sans cartographie des fournisseurs Niveau 1 est un audit incomplet.
Phase 1 — Diagnostic (jours 1 à 30) : savoir avant d'agir
La première erreur d'un programme de préparation NIS2 est de commencer par les mesures correctives avant d'avoir terminé le diagnostic. Corriger sans comprendre produit des corrections mal ciblées — et un dossier d'audit fragile.
Le diagnostic en 30 jours repose sur trois livrables.
Cartographie de scope. Vérifiez formellement si votre organisation entre dans le périmètre NIS2 — entité essentielle ou importante — et dans quel secteur. La différence n'est pas symbolique : les sanctions maximales diffèrent (10 M€ ou 2 % du CA mondial pour les essentielles, 7 M€ ou 1,4 % pour les importantes), les délais de notification également. Si vous opérez dans plusieurs États membres, identifiez votre État membre principal — c'est lui qui supervise en premier ressort.
Inventaire des actifs critiques. NIS2 impose de gérer les risques sur les « actifs essentiels à la fourniture des services. » Sans inventaire formalisé de ces actifs — systèmes, données, interconnexions — l'analyse de risques n'a pas de périmètre défini. Un inventaire Excel à plat suffit à ce stade. L'objectif est l'exhaustivité, pas la sophistication.
Gap analysis sur les dix domaines Article 21. Pour chaque domaine, évaluez votre niveau de maturité actuel sur une échelle simple (inexistant / informel / documenté / testé / optimisé). Cette grille devient votre backlog de remédiation. En moyenne, les organisations mid-market que nous accompagnons identifient entre trois et cinq domaines à maturité zéro ou informelle — soit des lacunes auditables qui peuvent fonder une mise en demeure.
Phase 2 — Remédiation prioritaire (jours 31 à 60) : l'effort où il compte
L'erreur symétrique à la précédente est de vouloir tout corriger en même temps. Avec 90 jours, les ressources sont limitées. La priorité doit aller aux domaines à fort impact réglementaire et faible maturité actuelle — pas aux domaines faciles à documenter.
Trois domaines méritent une attention systématique dans cette phase.
Plan de réponse aux incidents avec délais différenciés. Votre plan doit distinguer explicitement les incidents NIS2 significatifs (délai 24h), les violations RGPD (72h à la CNIL), et les incidents internes non réglementaires. Si un incident déclenche simultanément NIS2 et RGPD — une violation de données dans un secteur concerné par NIS2 — les deux délais s'appliquent en parallèle. Un plan qui ne prévoit pas ce cas est incomplet. Ce document doit être approuvé formellement par la direction (Article 20).
Politique de gestion des accès et authentification. NIS2 impose des mesures de contrôle d'accès et d'authentification forte. En pratique : MFA sur tous les accès critiques (VPN, messagerie, outils d'administration), revue trimestrielle des droits, suppression des comptes orphelins dans les 48h après départ d'un collaborateur. Ces mesures sont vérifiables lors d'un audit — elles doivent être documentées, pas seulement déployées.
Sécurité de la chaîne d'approvisionnement (scope limité). En 60 jours, il est impossible de réévaluer 100 % de vos fournisseurs. Concentrez-vous sur vos trois à cinq fournisseurs Niveau 1 (accès direct à vos systèmes critiques ou données sensibles). Vérifiez leurs certifications, ajoutez une clause de notification d'incident sous 24-48h à leurs contrats si elle est absente, et documentez votre processus de vérification. C'est ce que les auditeurs vérifieront en premier.
Phase 3 — Documentation et test (jours 61 à 90) : construire le dossier d'audit
La conformité NIS2 n'est pas seulement opérationnelle : elle est documentaire. Un contrôle positif non documenté n'existe pas pour un auditeur. La phase 3 transforme les travaux des deux premières phases en dossier structuré.
Quatre éléments constituent le socle documentaire attendu.
Premièrement, la politique de sécurité approuvée formellement par la direction — avec date de signature, liste des signataires, et prochaine date de révision planifiée. Deuxièmement, l'analyse des risques sur le périmètre des actifs critiques, avec référence aux dix domaines Article 21 et niveau de risque résiduel après mesures. Troisièmement, le plan de continuité d'activité (PCA) et le plan de reprise après sinistre (PRS), même dans leurs versions les plus simples. Quatrièmement, le registre des incidents — y compris les incidents non significatifs — qui démontre que le processus de surveillance est actif.
À ces quatre documents s'ajoute un exercice de simulation indispensable. Une simulation de réponse à incident — tabletop exercise de deux heures impliquant les équipes IT, juridique et direction — permet de tester les délais de notification et d'identifier les angles morts avant un vrai incident. C'est aussi le moment de vérifier que la direction comprend sa responsabilité personnelle (Article 20). Cet exercice, documenté dans un compte-rendu, renforce significativement la crédibilité du dossier lors d'un audit.
Conclusion
NIS2 n'est pas une contrainte à subir : c'est un cadre de maturité qui, bien utilisé, améliore votre résilience opérationnelle et réduit votre exposition aux incidents évitables. Les organisations qui progresseront le plus vite ne sont pas celles qui ont le plus de ressources — ce sont celles qui ont commencé avec le meilleur diagnostic.
Trois insights à retenir : l'Article 20 engage personnellement la direction, pas seulement les équipes techniques. La notification en 24h est le délai NIS2, différent du délai RGPD — votre plan de réponse doit distinguer les deux. Et la conformité de votre chaîne d'approvisionnement est une composante de votre propre conformité — pas un sujet séparé.
Pour évaluer votre positionnement actuel : gouvernance des tiers et cartographie des risques supplier. Pour comprendre les écueils d'une approche purement documentaire : compliance-first et fabrication de risque.