Vous êtes concerné par NIS2 — Et maintenant ? Les lacunes opérationnelles au-delà de votre SMSI
Vous avez vérifié si votre organisation relève de NIS2. La réponse est oui. Vous avez un SMSI. Et maintenant vous découvrez : entre ce que votre SMSI couvre et ce que NIS2 exige opérationnellement, il y a un écart. Cet article montre où il se situe — et comment le combler.
Vous êtes concerné par NIS2 — Et maintenant ? Les lacunes opérationnelles au-delà de votre SMSI
La vérification d'applicabilité est faite — par une auto-évaluation réglementaire, une analyse interne ou avec l'aide de conseillers. Votre organisation est qualifiée comme entité essentielle ou importante. Vous vous êtes enregistré auprès de l'autorité nationale compétente ou êtes en cours de procédure. Et maintenant ?
La plupart des organisations à ce stade ont un SMSI, un enregistrement et une question ouverte : que devons-nous encore faire concrètement ? La réponse n'est pas plus de documentation. Ce sont des capacités opérationnelles qu'un SMSI seul ne peut pas fournir.
Aller directement à :
- L'écart que personne n'attendait
- Six exigences opérationnelles que votre SMSI ne couvre pas
- La feuille de route : Du SMSI à la conformité NIS2
L'état des lieux typique
Lorsque les organisations confirment leur applicabilité NIS2, la séquence est généralement la même :
Étape 1 : L'auto-évaluation confirme que l'organisation relève du périmètre — en tant qu'entité essentielle ou importante. Les estimations de l'industrie suggèrent qu'environ 80 % des organisations concernées ne le savent pas encore ou n'ont commencé que récemment à s'intéresser à la question.
Étape 2 : L'organisation reconnaît qu'elle dispose déjà d'un SMSI — souvent certifié ISO 27001, intégré dans un outil GRC. Première vague de soulagement : « Nous avons déjà une grande partie de ce que NIS2 exige. »
Étape 3 : Une analyse d'écarts montre qu'ISO 27001 couvre effectivement environ 70 % des exigences NIS2 — en particulier les aspects de gouvernance de l'article 20 et de grandes parties de l'article 21.
Étape 4 : Puis vient la prise de conscience inconfortable : les 30 % restants ne sont pas simplement « plus de documentation ». Ce sont des capacités opérationnelles que le SMSI ne modélise pas et n'a pas été conçu pour modéliser.
C'est précisément là que de nombreuses organisations se retrouvent bloquées. Pas par négligence, mais parce que la prochaine étape n'est pas évidente. Le SMSI fournit une carte — mais pas un véhicule.
L'écart que personne n'attendait
L'écart entre un SMSI et la conformité NIS2 n'est pas un écart de documentation. C'est un écart de capacité.
Un SMSI répond à la question : « Avons-nous un processus pour X ? » NIS2 pose une question différente : « Pouvons-nous exécuter opérationnellement X sous pression temporelle, face à des parties externes, avec des preuves vérifiables ? »
Cette distinction traverse l'ensemble de la directive. Trois domaines sont particulièrement concernés :
Signalement des incidents : Un SMSI dispose d'un plan de réponse aux incidents. NIS2 exige la capacité de livrer une alerte précoce coordonnée aux autorités dans les 24 heures — pendant que l'incident est en cours. Ce n'est pas une différence de documentation. C'est une différence de modèle opérationnel.
Sécurité de la chaîne d'approvisionnement : Un SMSI dispose d'un processus d'évaluation des fournisseurs. NIS2 exige une surveillance continue de la posture de sécurité des fournisseurs directs — avec des réévaluations déclenchées par les événements et des preuves disponibles à la demande. Un questionnaire annuel ne suffit pas.
Preuve d'efficacité : Un SMSI se prépare aux audits. NIS2 donne aux autorités de supervision le pouvoir de demander des preuves à tout moment. Les preuves doivent être continuellement disponibles, pas assemblées quand la demande arrive.
La bonne nouvelle : le SMSI reste la fondation. Il n'a pas besoin d'être remplacé. Mais il doit être complété — par une couche opérationnelle qui exécute ce que le SMSI documente.
Six exigences opérationnelles que votre SMSI ne couvre pas
1. Gestion des incidents sous pression temporelle
Ce que NIS2 exige : Alerte précoce sous 24 heures, notification qualifiée sous 72 heures, rapport final sous un mois (Art. 23). Gestion parallèle avec les obligations de signalement RGPD et les exigences contractuelles de notification.
Ce que le SMSI fournit : Un plan de réponse aux incidents avec des rôles, des chemins d'escalade et des descriptions de processus.
Ce qui manque : L'infrastructure opérationnelle pour la coordination en temps réel entre la Sécurité, le Juridique, la Communication et la direction générale. Documentation versionnée pendant l'incident. Modèles pour les rapports réglementaires. Un système qui fonctionne sous pression — pas seulement un plan décrivant comment ça devrait fonctionner.
→ Approfondissement : Signalement des incidents NIS2 : Comment réellement respecter le délai de 24 heures
2. Supervision continue des fournisseurs
Ce que NIS2 exige : Sécurité de la chaîne d'approvisionnement incluant les vulnérabilités spécifiques de chaque fournisseur direct. Prise en compte de la qualité globale des pratiques de cybersécurité. Évaluation continue des risques, pas des instantanés ponctuels (Art. 21(2)(d)).
Ce que le SMSI fournit : Catégorisation des fournisseurs, cycles d'évaluation annuels, résultats d'évaluation documentés.
Ce qui manque : Surveillance continue (certificats, vulnérabilités, incidents fournisseurs). Réévaluations déclenchées quand les choses changent. Un aperçu intégré du statut de sécurité actuel de tous les fournisseurs pertinents. Communication structurée avec les fournisseurs quand les conditions évoluent.
→ Approfondissement : Sécurité de la chaîne d'approvisionnement NIS2 : Pourquoi les évaluations annuelles des fournisseurs ne suffisent plus
3. Preuves à la demande
Ce que NIS2 exige : Procédures pour évaluer l'efficacité des mesures (Art. 21(2)(f)). Les autorités peuvent demander des preuves à tout moment, mener des inspections sur site et réaliser des audits.
Ce que le SMSI fournit : Préparation aux audits en cycles planifiés. Documentation des mesures et contrôles.
Ce qui manque : Artefacts avec métadonnées récupérables à tout moment (statut de version, validité, propriétaires, historique des modifications). Gestion intégrée des preuves reliant contrôles, évaluations des fournisseurs et rapports d'incidents. Les preuves comme production continue, pas préparation d'audit.
→ Approfondissement : Préparation à l'audit NIS2 : De la documentation aux preuves continues
4. Opérationnalisation de la responsabilité de la direction
Ce que NIS2 exige : La direction générale doit approuver les mesures de gestion des risques, superviser leur mise en œuvre et porte la responsabilité personnelle en cas de violations. Les décharges de responsabilité envers la direction sont juridiquement nulles (Art. 20). La direction doit suivre une formation régulière.
Ce que le SMSI fournit : Définitions de rôles et responsabilités. Revues de direction. Politiques de formation.
Ce qui manque : Un flux d'information vérifiable des sujets de sécurité opérationnels vers la direction générale. La capacité pour la direction d'accéder à des informations situationnelles traitées et actuelles pendant un incident. Documentation prouvant que la direction a effectivement exercé son devoir de supervision — pas seulement qu'elle a signé une politique.
5. Communication externe lors des incidents
Ce que NIS2 exige : Les entités concernées doivent informer les destinataires de leurs services sans retard injustifié des incidents significatifs susceptibles d'affecter la fourniture du service — y compris les éventuelles contre-mesures (Art. 23(1)).
Ce que le SMSI fournit : Plans de communication interne. Éventuellement une politique d'escalade RP.
Ce qui manque : Un processus structuré de communication externe lors des incidents — envers les clients, les partenaires et potentiellement le public. Messages alignés entre le Juridique, la Communication et la direction générale. Communication versionnée et traçable par un canal défini.
6. Engagement coordonné avec les autorités
Ce que NIS2 exige : Coopération avec le CSIRT et l'autorité de supervision compétents. Les autorités peuvent demander des informations à tout moment, émettre des instructions contraignantes et mener des audits. Les incidents transfrontaliers peuvent impliquer plusieurs autorités nationales.
Ce que le SMSI fournit : Une personne de contact désignée. Éventuellement une liste de contacts.
Ce qui manque : Un canal de communication établi avec les autorités qui va au-delà de l'enregistrement initial. La capacité de répondre rapidement et de manière structurée aux demandes d'information. Préparation aux inspections sur site qui peuvent ne pas être annoncées à l'avance.
La feuille de route : Du SMSI à la conformité NIS2
Combler l'écart n'est pas une reconstruction complète. C'est une extension systématique de ce qui est déjà en place. Cinq phases :
Phase 1 : Analyse d'écarts (Semaines 1-2)
Cartographiez votre SMSI existant par rapport aux exigences opérationnelles NIS2 — pas par rapport aux exigences de gouvernance, celles-ci sont couvertes. Les six points ci-dessus constituent le cadre. Pour chacun : pouvons-nous exécuter cela opérationnellement aujourd'hui ? Si non : que manque-t-il spécifiquement ?
Phase 2 : Priorisation basée sur les risques (Semaines 2-3)
Tous les écarts ne sont pas également critiques. Le signalement des incidents a la plus haute urgence réglementaire — il s'applique maintenant et a des délais fixes. La sécurité de la chaîne d'approvisionnement a la plus haute complexité opérationnelle. La preuve d'efficacité devient un problème à la première demande des autorités. Priorisez en conséquence.
Phase 3 : Construire les systèmes opérationnels (Mois 1-3)
Pour le signalement des incidents : mettre en place un système de gestion des incidents, définir les rôles, préparer les modèles, réaliser le premier exercice sur table. Pour la chaîne d'approvisionnement : mettre à niveau le registre des fournisseurs selon les exigences NIS2, construire la capacité de surveillance, revoir les fondements contractuels. Pour les preuves : passer du « classement » à la « récupération ».
Phase 4 : Connecter SMSI et systèmes opérationnels (Mois 2-4)
Le SMSI reste l'instrument de contrôle. Les systèmes opérationnels le complètent avec les capacités que NIS2 exige en plus. La connexion doit fonctionner dans les deux sens : le SMSI informe l'exécution opérationnelle (politiques, classifications de risques). Les systèmes opérationnels alimentent le SMSI en preuves (évaluations actuelles, rapports d'incidents, preuve d'efficacité).
Un SMSI pour la gouvernance interne. Un Trust Center pour la communication externe et les preuves. Les deux faces d'une même médaille.
Phase 5 : Tester et itérer (Continu)
Exercices sur table pour le régime de signalement. Cycles de revue pour la supervision des fournisseurs. Récupérations test des preuves. La conformité NIS2 n'est pas un projet avec une date de fin — c'est un modèle opérationnel.
Les erreurs les plus courantes à ce stade
« Nous allons faire une autre analyse d'écarts. » Les analyses d'écarts par rapport à ISO 27001 ou aux exigences de gouvernance NIS2 donnent toujours le même résultat : « ça semble bon ». L'écart n'est pas dans la gouvernance. Il est dans l'exécution opérationnelle. Une analyse d'écarts qui vérifie seulement si des processus existent ne le trouvera pas.
« Nous allons étendre notre outil GRC. » Les outils GRC sont conçus pour la gouvernance, les risques et la conformité — pour la couche de contrôle. NIS2 exige en outre des capacités opérationnelles : communication en temps réel, surveillance continue, preuves disponibles à la demande. Un outil GRC ne peut généralement pas livrer cela — il n'a pas été conçu pour.
« Nous allons attendre la certification ENISA. » L'article 46 de la directive NIS2 prévoit un cadre européen de certification. Mais les exigences s'appliquent maintenant. La certification viendra plus tard. Les organisations qui attendent ne sont pas conformes entre-temps.
« Le RSSI s'en occupe. » NIS2 rend la direction générale personnellement responsable. Le RSSI peut gérer la mise en œuvre, mais la responsabilité incombe au conseil d'administration. Ce n'est pas une formalité — c'est une question de responsabilité personnelle.
Sources
- Directive (UE) 2022/2555 (Directive NIS2) — Texte intégral — Articles 20, 21 et 23 sur la gouvernance, la gestion des risques et les obligations de signalement.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland — Législation de transposition allemande sur la gestion des risques, le signalement, la responsabilité de la direction et les pouvoirs de supervision.
- OpenKRITIS - NIS2-Betroffenheitsprüfung — Outil d'auto-évaluation du BSI pour l'applicabilité NIS2.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland - Guide étape par étape du BSI pour la mise en œuvre NIS2.
- ENISA — Guide de mise en œuvre des mesures de sécurité NIS2 — Guide de mise en œuvre pour les mesures de gestion des risques au titre de l'article 21.
Lectures connexes
- ISO 27001 n'est pas la conformité NIS2 : Ce qui manque réellement
- Signalement des incidents NIS2 : Comment réellement respecter le délai de 24 heures
- Sécurité de la chaîne d'approvisionnement NIS2 : Pourquoi les évaluations annuelles des fournisseurs ne suffisent plus
- Checklist de conformité NIS2 : Ce que votre SMSI couvre et ce qu'il ne couvre pas