Conformité NIS2 : comment vous préparer avant 2026

NIS2 arrive. Et contrairement à GDPR (où les entreprises ont eu 2 ans pour se préparer), NIS2 s'applique dans quelques mois : 17 octobre 2024 entrée en vigueur, 17 octobre 2025 date limite de transposition nationale, 17 octobre 2026 date limite de conformité complète.

Si vous attendez 2026 pour bouger, vous allez paniquer. Les exigences de NIS2 ne sont pas triviales : investissements importants en sécurité, gouvernance, processes. Les meilleures pratiques ? Commencer maintenant, progressivement.

Cet article explique NIS2 en termes simples et vous donne un plan actionnable.

Qu'est-ce que NIS2 exactement ?

NIS = Network and Information Security Directive 2. C'est une directive européenne qui impose des standards de cybersécurité minimums pour les entreprises d'secteurs stratégiques.

NIS1 (2014) : Existait déjà, mais très flou, peu appliquée. Scope limité (électricité, banque, eau, santé).

NIS2 (2024 → obligation 2026) : Beaucoup plus stricte et étendue. Nouvelles exigences. Pénalités énormes si non-conforme.

"Les amendes pour non-conformité NIS2 peuvent atteindre 2% du CA (pour les petits manquements) à 10% du CA (pour les violations sérieuses). Pour une PME de €50M de CA, c'est jusqu'à €5M d'amende." — ANSSI

Qui est concerné par NIS2 ?

Secteurs stratégiques essentiels (obligatoires) :

• Énergie (électricité, pétrole, gaz, eau chaude)
• Transport (ferroviaire, aérien, routier, maritime, pipeline)
• Santé (hôpitaux, cliniques, santé publique)
• Finance (banques, assuances, infrastructure marché financier)
• Fourniture d'eau et gestion eaux usées
• Alimentation (production, distribution produits alimentaires)
• Santé humaine et vétérinaire
• Infrastructure numériques (ISP, DNS, registrars)
• Gestion des déchets
• Chimie
• Fabrication produits pharmaceutiques
• Espace
• Gouvernement (services publics numériques)

Secteurs importants (également couverts) :

• Cloud et infrastructure numériques
• Centres de données
• Services DNS, registrars de domaines

Taille : Entreprises de 250+ employés ou €50M+ chiffre d'affaires.

Important : Vous êtes prestataire IT d'une entreprise NIS2 ? Vous êtes aussi concerné (responsabilités sous-traitants).

Vérification simple : Si vous êtes dans un des secteurs listés ET > 250 personnes / €50M CA, vous êtes concernés par le NIS2. Sinon, probablement pas (pour l'instant).

Les 6 piliers de NIS2

1. Gouvernance & Risk Management 🎯

Exigence : Mettre en place une gouvernance de sécurité IT documentée.

Cela signifie :

• Un CISO ou responsable cybersécurité identifié (peut être un rôle partagé)
• Une politique de sécurité documentée
• Risk assessment régulier (au moins annuel)
• Incident response plan écrit
• Business continuity & disaster recovery plans
• Audit interne de sécurité (au moins annuel)

Effort estimé : 200-400 heures pour mettre en place (4-8 semaines avec consultants).

2. Gestion des Actifs & Inventaire 📋

Exigence : Vous devez savoir ce que vous avez (hardware, software, données).

• Inventaire complet de tous les systèmes et services
• Classification des actifs (critique, important, normal)
• Propriétaire assigné pour chaque système
• Documentation des dépendances

Cas réel : Banque découvrait 200+ serveurs jamais documentés lors de l'audit NIS2. Fini de fouiller les data centers.

Effort estimé : 100-300 heures (audit + documentation).

3. Access Control & Identité 🔐

Exigence : Contrôle strict des accès à vos systèmes critiques.

• Authentification multi-facteur (MFA) sur systèmes critiques
• Gestion des identités (IAM) : qui a accès à quoi
• Least privilege principle : donner le minimum d'accès nécessaire
• Audit des accès : qui a accédé à quoi, quand, pourquoi
• Rotation des credentials tous les 90 jours (minimum)

Cas réel : Entreprise IT découvrait que 15% des employés avaient des accès "héritées" de anciens postes. NIS2 oblige à nettoyer ça.

Effort estimé : 300-600 heures (audit + implementation MFA + IAM setup).

4. Sécurité des Données & chiffrement 🔒

Exigence : Les données critiques doivent être protégées.

• chiffrement en transit (HTTPS/TLS) obligatoire
• chiffrement au repos pour les données sensibles
• Data classification (perso, confidentielles, public)
• Backup réguliers testés et documentés
• Retention policies : garder les données seulement ce qui est nécessaire

Effort estimé : 200-400 heures (audit + implémenter encryption).

5. Monitoring & Incident Response 🚨

Exigence : Détecter et réagir aux incidents rapidement.

• Logs centralisés (SIEM : Splunk, ELK, Azure Sentinel, etc.)
• Alertes automatiques sur événements suspects
• Incident response process documenté
• Incident notification plan : qui appeler, comment, dans quel délai
• Capacity pour gérer incidents 24/7 (ou alerting).

NIS2 obligation spéciale : Réporter les incidents majeurs à l'autorité nationale (ANSSI en France) dans les 24 heures.

Effort estimé : 400-800 heures (SIEM deploy + process setup).

6. Supply Chain & Tiers 🔗

Exigence : Vous êtes responsables de la sécurité de vos fournisseurs/prestataires (scope étendu à NIS2).

• Audit de sécurité chez vos prestataires critiques
• Contrats incluant clauses de sécurité / NIS2
• Droit d'audit chez le prestataire
• Plan de continuité si prestataire défaillant

Effort estimé : 150-300 heures (audit prestataires + contrats).

Plan de conformité NIS2 : 12 mois (calendrier 2026)

Phase 1 : Janvier-Mars 2026 (Assessment & Planning)

Semaines 1-2 :

• Audit complet sécurité IT actuelle
• Gap analysis : où êtes-vous vs NIS2 ?
• Classification des écarts (critique, important, nice-to-have)

Semaines 3-4 :

• Créez roadmap de conformité (12 mois)
• Budget estimation (investissement infra + consulting)
• Assignez un responsable/CISO
• Communiquez au management : timeline et budget

Livrables : Assessment report, gap analysis, conformity roadmap.

Phase 2 : Avril-Juin 2026 (Governance & Foundation)

• Créez politique de sécurité documentée
• Setup CISO role et team
• Incident response plan (écrit, testé)
• Commencez audit des accès (identifiez over-provisioning)
• Classification des actifs (hardware, software, données)

Livrables : Security policies, incident response plan, asset inventory.

Phase 3 : Juillet-Septembre 2026 (Technical Controls)

• Implémentez MFA sur systèmes critiques
• Setup IAM (gestion identités centralisée)
• Encryption : audit des données, encryption at rest/transit
• Deploy SIEM pour monitoring
• Nettoyez les accès "heritage"

Livrables : MFA deployed, IAM system live, SIEM operational.

Phase 4 : Octobre-Décembre 2026 (Audit & Fine-tuning)

• Audit de sécurité complet (interne ou tiers)
• Red team exercise : simulation d'attaque
• Audit prestataires critiques (supply chain)
• Fine-tune policies basé sur findings
• Formation security awareness pour staff

Livrables : Audit report, red team findings, prestataire assessments, evidence de conformité.

Bonnes nouvelles : Beaucoup de ces investissements (MFA, SIEM, IAM) bénéficient aussi votre sécurité générale. Le ROI est positif au-delà de l'aspect "conformité".

Cas réels : Comment nos clients se préparent

Cas 1 : Banque (5000 personnes, infrastructure complexe)

Situation : Bien consciente de NIS2, équipe IT grande mais sécurité IT "ad hoc".

Approche : Roadmap agressive sur 9 mois.

• Mois 1-2 : Assessment complet (8 semaines, 10 consultants)
• Mois 3-6 : Infrastructure (MFA, SIEM, IAM)
• Mois 7-9 : Fine-tuning, audit, red team exercise

Résultat : Conforme avant deadline, audit clean, zero findings majeurs.

Budget : €1.2M (consulting + infra), amortis sur 3 ans = €400k/an.

Cas 2 : Entreprise énergie (1200 personnes, infrastructure legacy)

Situation : Infrastructure 20 ans, peu de monitoring, accès non-audité.

Approche : Pragmatique. "Minimum viable compliance" first, puis itération.

• Phase 1 : Documentation + access review
• Phase 2 : MFA sur systèmes critiques seulement
• Phase 3 : SIEM pour les infrastructures importantes

Résultat : Conforme, mais avec plan de modernisation 2 ans pour vraie sécurité.

Budget : €480k (phased over 12 months).

Cas 3 : PME cloud (350 personnes, infra cloud-native)

Situation : Moderne, mais peu de gouvernance IT documentée.

Approche : Rapide car déjà sur cloud (AWS, Azure) avec bonnes practices.

• Formalisez ce qui existe déjà
• Quelques gaps : MFA, audit trails, incident response
• 6 mois pour full conformité

Résultat : Conforme, investissement minimus car déjà 60% du chemin.

Budget : €120k (mostly consulting + tools pour audit).

Les pièges à éviter

• ❌ Attendre octobre 2026 → Vous allez paniquer, coûts surgonflés, qualité médiocre
• ❌ "Compliance theater" → Documents beaux mais pas d'implémentation = inutile
• ❌ Ignorer la supply chain → Vos prestataires sont votre responsabilité
• ❌ Trop de process, pas assez d'outils → Automatisez ou ça devient unmaintainable
• ❌ Budget insuffisant → Une vraie conformité coûte. Sous-estimer = fail à la fin
• ❌ Pas de buy-in management → Sans support leadership, NIS2 ne passera pas

Conclusion : NIS2, c'est maintenant ou jamais

NIS2 n'est pas une menace lointaine. C'est octobre 2026, dans 10 mois (au moment de cet article).

Les entreprises qui bougent maintenant vont :

• Éviter la panique de last-minute
• Avoir une vraie sécurité (pas juste "compliance theater")
• Économiser sur les coûts (implémenter progressivement < last-minute rush)
• Avoir un audit propre

Les entreprises qui attendent réduits risquent de :

• Choisir des solutions compromise pour être rapide
• Payer 2-3x plus cher pour faire vite
• Avoir des non-conformités à l'audit
• Risquer des amendes (jusqu'à 10% CA)

Le message clé : Commencez maintenant, progressivement. NIS2 n'est pas un projet IT, c'est un programme de transformation de 12 mois qui bénéficie votre sécurité bien au-delà de la simple conformité.

EFFITEK aide les entreprises à naviguer NIS2 : assessment, roadmap, implémentation, audit. Vous voulez une évaluation gratuite de votre gap ? Contactez-nous. 🔒