Checklist de conformité NIS2 : Toutes les exigences de l'Article 21 (2026)
La checklist complète de conformité NIS2 couvrant les dix mesures de gestion des risques de l'Article 21. Évaluez votre état de préparation, identifiez les écarts avec votre SMSI et priorisez votre feuille de route de conformité.
Checklist de conformité NIS2 : Ce que votre SMSI couvre et ce qu'il ne couvre pas
Chaque organisation soumise à NIS2 pose la même question : Combien de cela avons-nous déjà ? La réponse dépend de ce que vous entendez par « avoir ». Si cela signifie « nous avons un processus documenté » — alors un SMSI aligné sur ISO 27001 couvre environ 70 %. Si cela signifie « nous pouvons exécuter cela de manière opérationnelle et le prouver à la demande » — le calcul est différent.
Cette checklist passe en revue chacune des dix mesures de gestion des risques de l'article 21(2) individuellement : Qu'exige NIS2 ? Que fournit un SMSI typique ? Où est l'écart ? Et que faut-il ajouter sur le plan opérationnel ?
Comment lire cette checklist
Les dix mesures de l'article 21(2) de la directive NIS2 constituent le cœur des exigences réglementaires. Les transpositions nationales les traduisent en droit contraignant. Pour chaque mesure, cette checklist évalue :
- ✅ Le SMSI couvre cela — Un SMSI aligné sur ISO 27001:2022 fournit les processus et contrôles essentiels.
- ⚠️ Le SMSI fournit la base, mais un ajout opérationnel est nécessaire — Le cadre de gouvernance est en place, mais l'exécution opérationnelle selon les exigences NIS2 va au-delà.
- ❌ Le SMSI ne couvre pas cela — L'exigence dépasse ce pour quoi un SMSI a été conçu.
L'évaluation se réfère à un SMSI typique et bien implémenté sous ISO 27001:2022 — ni minimal, ni maximalement étendu. La couverture réelle dépend de l'implémentation spécifique dans votre organisation.
Les dix mesures en détail
(a) Politiques d'analyse des risques et de sécurité des systèmes d'information
Ce que NIS2 exige : Des politiques d'analyse des risques et de sécurité des systèmes d'information — incluant une revue et des mises à jour régulières.
Couverture du SMSI : ✅ Composant essentiel
C'est le cœur d'ISO 27001. Évaluation des risques, traitement des risques, Déclaration d'Applicabilité, revues régulières — tout fait partie du répertoire standard d'un SMSI certifié. En général, aucune action nécessaire ici.
Tâche restante : Assurez-vous que votre analyse des risques prend en compte les aspects opérationnels spécifiques de NIS2 — en particulier le signalement des incidents, la chaîne d'approvisionnement et les exigences de preuve d'efficacité qui vont au-delà de la triade CID classique.
(b) Gestion des incidents
Ce que NIS2 exige : Des mesures de prévention, de détection et de gestion des incidents de sécurité — en lien avec les obligations de signalement de l'article 23 (alerte précoce 24 h, notification 72 h, rapport final 1 mois).
Couverture du SMSI : ⚠️ Base oui, capacité opérationnelle manquante
ISO 27001 exige un processus de gestion des incidents (Annexe A, A.5.24-A.5.28). La plupart des implémentations incluent un plan de réponse aux incidents avec des rôles, des chemins d'escalade et des processus de revue post-incident.
L'écart : Le plan décrit ce qui devrait se passer. NIS2 évalue si cela se passe réellement — sous pression temporelle. Le délai de 24 heures pour l'alerte précoce nécessite une coordination opérationnelle en temps réel entre la Sécurité, le Juridique, la Communication et la direction générale. Gestion parallèle des obligations de signalement RGPD. Documentation versionnée pendant l'incident. Modèles pour les rapports réglementaires.
Ce qu'il faut faire : Construire un système de gestion des incidents qui va au-delà du plan. Réaliser des exercices sur table par rapport au délai de 24 h. Préparer des modèles pour les trois étapes de signalement.
→ Signalement des incidents NIS2 : Comment respecter le délai de 24 heures
(c) Continuité d'activité et gestion de crise
Ce que NIS2 exige : Gestion de la continuité d'activité, gestion des sauvegardes et reprise après sinistre, et gestion de crise.
Couverture du SMSI : ✅ Couvert
ISO 27001 traite directement de la continuité d'activité (Annexe A, A.5.29-A.5.30). La plupart des implémentations de SMSI incluent des plans de PCA, des stratégies de sauvegarde et des procédures de reprise. Les organisations ayant également mis en œuvre ISO 22301 sont particulièrement bien positionnées.
Tâche restante : Vérifiez que vos plans de PCA couvrent les scénarios spécifiques à NIS2 — en particulier les cyberincidents avec des obligations de signalement simultanées. Le lien entre la gestion de crise et le régime de signalement de l'article 23 doit être établi.
(d) Sécurité de la chaîne d'approvisionnement
Ce que NIS2 exige : Sécurité de la chaîne d'approvisionnement incluant les aspects liés à la sécurité des relations avec les fournisseurs directs et prestataires de services. Prise en compte des vulnérabilités spécifiques de chaque fournisseur individuel et de la qualité globale des pratiques de cybersécurité.
Couverture du SMSI : ⚠️ Évaluation ponctuelle, pas de surveillance continue
ISO 27001 traite des relations fournisseurs (Annexe A, A.5.19-A.5.23). La plupart des implémentations incluent la catégorisation des fournisseurs, des questionnaires d'évaluation à l'intégration et des réévaluations annuelles.
L'écart : NIS2 n'exige pas un instantané annuel mais un contrôle continu. Cela signifie : surveillance continue de la posture de sécurité des fournisseurs, réévaluations déclenchées par des événements lorsque les conditions changent, un aperçu intégré des preuves du statut de tous les fournisseurs pertinents, et une communication structurée lors d'incidents de sécurité de la chaîne d'approvisionnement.
Ce qu'il faut faire : Développer une capacité de surveillance. Passer du modèle d'évaluation cyclique à un modèle déclenché par les événements. Ajouter des clauses spécifiques à NIS2 dans les fondations contractuelles. Faire évoluer les preuves de l'archivage vers la récupération.
(e) Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information
Ce que NIS2 exige : Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, incluant la gestion et la divulgation des vulnérabilités.
Couverture du SMSI : ✅ Largement couvert
ISO 27001 traite du développement sécurisé (Annexe A, A.8.25-A.8.34), de la gestion des vulnérabilités (A.8.8) et de la gestion des changements. La plupart des implémentations de SMSI incluent des politiques de développement sécurisé, de gestion des correctifs et de traitement des vulnérabilités.
Tâche restante : Vérifiez que vos processus de divulgation des vulnérabilités répondent aux exigences NIS2. Les lignes directrices de mise en œuvre de l'ENISA vont au-delà des implémentations typiques de SMSI dans certains domaines ici.
(f) Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité
Ce que NIS2 exige : Des politiques et procédures pour évaluer l'efficacité des mesures de cybersécurité — en lien avec les pouvoirs de supervision élargis (les autorités peuvent demander des preuves à tout moment).
Couverture du SMSI : ⚠️ Processus oui, preuves continues non
ISO 27001 exige des audits internes, des revues de direction et une amélioration continue. Ces mécanismes existent dans tout SMSI certifié.
L'écart : ISO 27001 fonctionne en cycles planifiés. NIS2 donne aux autorités de supervision le pouvoir de demander des preuves à tout moment. L'efficacité doit non seulement être évaluée mais aussi être démontrable à la demande — avec des artefacts vérifiables, des métadonnées et des preuves actuelles, pas des rapports d'audit du trimestre dernier.
Ce qu'il faut faire : Faire évoluer la gestion des preuves de la « préparation d'audit » vers la « disponibilité continue ». Doter les artefacts de versionnage, de périodes de validité et de propriétaires. Développer la capacité de répondre aux demandes des autorités en quelques jours — pas en semaines.
→ Préparation aux audits NIS2 : De la documentation aux preuves continues
(g) Pratiques de base en matière de cyber-hygiène et formation en cybersécurité
Ce que NIS2 exige : Des pratiques de base en matière de cyber-hygiène et de formation en cybersécurité — incluant l'obligation pour la direction générale de suivre régulièrement des formations (Art. 20(2)).
Couverture du SMSI : ✅ Couvert
Les programmes de sensibilisation et de formation sont standard dans tout SMSI ISO 27001 (Annexe A, A.6.3). La plupart des organisations ont des formations régulières de sensibilisation à la sécurité en place.
Tâche restante : NIS2 fait de l'obligation de formation explicitement un devoir de la direction générale — pas seulement des employés. Vérifiez que votre direction participe de manière démontrable aux formations en cybersécurité. Cette preuve est directement pertinente pour la responsabilité personnelle.
(h) Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement
Ce que NIS2 exige : Des politiques et procédures pour l'utilisation de la cryptographie et, le cas échéant, du chiffrement.
Couverture du SMSI : ✅ Couvert
ISO 27001 traite de la cryptographie de manière complète (Annexe A, A.8.24). La plupart des implémentations de SMSI incluent des politiques de cryptographie, des processus de gestion des clés et des standards de chiffrement.
Tâche restante : Pas d'écart significatif. Assurez-vous que vos politiques sont actuelles et reflètent l'état de l'art.
(i) Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
Ce que NIS2 exige : Sécurité du personnel, politiques de contrôle d'accès et gestion des actifs.
Couverture du SMSI : ✅ Couvert
Les trois domaines sont au cœur d'ISO 27001 : sécurité des ressources humaines (A.6.1-A.6.8), contrôle d'accès (A.8.1-A.8.5) et gestion des actifs (A.5.9-A.5.14).
Tâche restante : Pas d'écart significatif. Assurez-vous que l'authentification multifacteur est implémentée là où NIS2 l'exige (voir point (j)).
(j) Authentification multifacteur, communications sécurisées et communications d'urgence sécurisées
Ce que NIS2 exige : Utilisation de l'authentification multifacteur ou de solutions d'authentification continue, communications vocales, vidéo et textuelles sécurisées, et systèmes de communication d'urgence sécurisés — « le cas échéant ».
Couverture du SMSI : ⚠️ Partiellement couvert
ISO 27001 traite de l'authentification et des communications sécurisées, mais pas avec la spécificité que NIS2 applique ici. L'exigence de communications d'urgence sécurisées en particulier va au-delà des implémentations typiques de SMSI.
L'écart : La plupart des organisations ont l'authentification multifacteur pour l'accès standard. Mais : existe-t-il des canaux de communication sécurisés pour les situations de crise qui fonctionnent même lorsque l'infrastructure informatique habituelle est compromise ? Existe-t-il une communication chiffrée pour la coordination des incidents — entre la Sécurité, le Juridique, la direction générale et potentiellement les autorités ?
Ce qu'il faut faire : Auditer la couverture de l'authentification multifacteur pour la compléter. Établir des canaux de communication d'urgence qui fonctionnent indépendamment de l'infrastructure habituelle. Assurer une communication chiffrée pour la coordination des incidents.
L'aperçu complet
| # | Mesure (Art. 21(2)) | SMSI | Écart ? | Priorité |
|---|---|---|---|---|
| (a) | Analyse des risques et politiques de sécurité | ✅ | — | Faible |
| (b) | Gestion des incidents | ⚠️ | Capacité opérationnelle 24 h/72 h | Élevée |
| (c) | Continuité d'activité et gestion de crise | ✅ | — | Faible |
| (d) | Sécurité de la chaîne d'approvisionnement | ⚠️ | Surveillance continue | Élevée |
| (e) | Sécurité dans l'acquisition, le développement, la maintenance | ✅ | Vérifier la divulgation des vulnérabilités | Moyenne |
| (f) | Évaluation de l'efficacité | ⚠️ | Preuves continues | Élevée |
| (g) | Cyber-hygiène et formation | ✅ | Preuve de formation de la direction | Faible |
| (h) | Cryptographie et chiffrement | ✅ | — | Faible |
| (i) | Sécurité du personnel, contrôle d'accès, actifs | ✅ | — | Faible |
| (j) | Authentification multifacteur et communications d'urgence sécurisées | ⚠️ | Communications d'urgence | Moyenne |
Le schéma : Les mesures de gouvernance (a, c, e, g, h, i) sont largement couvertes par un SMSI. Les mesures opérationnelles (b, d, f, j) nécessitent des ajouts qui vont au-delà de la couche documentaire.
Trois écarts se distinguent — tous avec une priorité « Élevée » :
- Gestion des incidents (b) : Les obligations de signalement s'appliquent maintenant, les délais sont fixés, la capacité manque dans la plupart des organisations.
- Sécurité de la chaîne d'approvisionnement (d) : L'écart le plus complexe, nécessitant le plus de temps pour être comblé.
- Preuve d'efficacité (f) : Devient un problème dès le premier contact avec l'autorité — qui peut survenir à tout moment.
Comment utiliser cette checklist
Étape 1 : Auto-évaluation
Passez en revue chacune des dix mesures et évaluez honnêtement : Non pas « avons-nous un processus ? » mais « pouvons-nous exécuter cela de manière opérationnelle sous pression temporelle, vis-à-vis de parties externes, avec des preuves vérifiables ? »
Étape 2 : Prioriser les écarts
Utilisez la colonne de priorité comme point de départ. Les trois écarts « Élevés » doivent être traités en premier — ils présentent l'urgence réglementaire la plus forte et le risque le plus important lors d'un examen par les autorités.
Étape 3 : Planifier la construction opérationnelle
Pour chaque écart identifié : De quoi avons-nous concrètement besoin ? Quel système, processus ou capacité ? Les articles approfondis sur les sujets individuels fournissent les détails.
Étape 4 : Connecter le SMSI et les systèmes opérationnels
L'objectif n'est pas de remplacer le SMSI — c'est de le compléter avec la couche opérationnelle que NIS2 exige en plus. Un SMSI pour le contrôle interne, un Trust Center pour la communication externe et les preuves.
Sources
- Directive (UE) 2022/2555 (Directive NIS2) – Texte intégral – Article 21(2)(a-j) sur les dix mesures de gestion des risques.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland – § 30 BSIG sur la mise en œuvre nationale des mesures de gestion des risques.
- ISO/IEC 27001:2022 – Systèmes de management de la sécurité de l'information – La norme SMSI avec les contrôles de l'Annexe A référencés.
- ENISA – Guide de mise en œuvre des mesures de sécurité NIS2 – Guide de mise en œuvre de l'ENISA sur les dix mesures.
- ENISA – Correspondance des exigences NIS2 avec ISO 27001 – Correspondance entre les exigences NIS2 et les contrôles ISO 27001.
Lectures connexes
- ISO 27001 ne signifie pas conformité NIS2 : Ce qui manque réellement
- Signalement des incidents NIS2 : Comment respecter le délai de 24 heures
- Sécurité de la chaîne d'approvisionnement NIS2 : Pourquoi les évaluations annuelles des fournisseurs ne suffisent plus
- Préparation aux audits NIS2 : De la documentation aux preuves continues
- Vous êtes concerné par NIS2 — Et maintenant ?