Évaluer si votre DSI est concernée par NIS2 : le test en trois questions
La question clé pour une DSI reste simple : suis je dans le périmètre de la directive NIS2 et de la conformité NIS2 DSI, ou puis je attendre encore un peu. La réponse passe par un test en trois questions qui combine la directive européenne sur la cybersécurité, la taille de vos entités et le rôle de votre supply chain dans les services numériques critiques. Pour un directeur des systèmes d’information, ignorer ce test d’éligibilité reviendrait à sous estimer des risques réglementaires et opérationnels majeurs pour l’entreprise, notamment en cas de contrôle ou d’audit ciblé.
Première question pour votre analyse : appartenez vous à un secteur visé par la directive NIS, comme l’énergie, la santé, les transports, les services numériques ou les infrastructures financières, y compris les PME stratégiques. Si oui, vos entités deviennent des entités essentielles ou importantes, et la conformité NIS s’impose avec des exigences NIS renforcées sur la cybersécurité et la gestion des risques, même si votre niveau de maturité sécurité reste encore modeste. Deuxième question pour la DSI et le RSSI : dépassez vous les seuils de taille ou de chiffre d’affaires qui transforment une PME en entreprise significative au sens de la directive NIS2, par exemple plus de 50 salariés et un chiffre d’affaires ou un total de bilan supérieur à 10 millions d’euros, en gardant à l’esprit que chaque État membre peut préciser ou compléter ces critères dans sa transposition nationale.
Troisième question enfin : êtes vous un maillon critique de la chaîne d’approvisionnement numérique, en tant que fournisseurs de services IT, opérateurs cloud ou intégrateurs de systèmes d’information. Dans ce cas, même une PME peut être traitée comme une entité essentielle, car un incident de sécurité informatique chez vous peut impacter plusieurs entreprises clientes et toute une supply chain. Pour un binôme DSI RSSI, cette analyse rapide permet de décider si une mise en conformité NIS2 DSI doit être engagée immédiatement, ou si une simple veille réglementaire suffit encore quelques mois. Une checklist minimale d’éligibilité peut ainsi couvrir le secteur, la taille, le rôle dans la supply chain et l’exposition à des services numériques critiques, avec quelques questions simples : « suis je dans un secteur NIS2 », « dépasse je les seuils », « suis je fournisseur clé pour des entités essentielles ».
Structurer la conformité NIS2 autour du ReCyF ANSSI : 10 mesures clés à prioriser
Une fois l’éligibilité clarifiée, la DSI doit structurer la mise en conformité autour du référentiel de cybersécurité ReCyF publié par l’ANSSI pour la directive NIS2. Ce référentiel propose dix mesures de gestion et de sécurité informatique qui couvrent l’ensemble du cycle de vie des systèmes d’information, depuis la gouvernance jusqu’à la gestion des incidents de sécurité. Pour un RSSI à temps partiel ou partagé, ce cadre ReCyF devient la colonne vertébrale de la conformité NIS2 DSI, bien plus opérationnelle qu’un simple texte de directive, avec des exigences concrètes sur la gestion des risques, la protection, la détection et la réponse, directement inspirées des bonnes pratiques de l’ANSSI.
Les premières mesures à mettre en place concernent la gouvernance de la cybersécurité, la gestion des risques et la définition claire des responsabilités entre DSI et RSSI. Il s’agit de formaliser une politique de sécurité, de cadrer les mesures techniques minimales, puis de documenter la responsabilité des dirigeants sur la cybersécurité et la continuité d’activité, y compris pour les entités essentielles et leurs filiales. Dans ce cadre, la gestion des risques doit intégrer la chaîne d’approvisionnement et les fournisseurs critiques, avec une analyse de risques spécifique à la supply chain numérique et des critères de sélection intégrant la conformité NIS2, par exemple via un questionnaire standardisé envoyé aux prestataires stratégiques.
Les autres mesures de gestion portent sur la protection des systèmes d’information, la détection des incidents, la notification des incidents de sécurité et la gestion des crises cyber. La directive NIS2 impose des délais stricts de notification d’incident aux autorités, avec une alerte initiale attendue dans les 24 heures, suivie d’un rapport intermédiaire et d’un rapport final dans des délais précisés par le texte européen et par les autorités nationales compétentes, ce qui oblige la DSI à industrialiser la gestion des incidents et à clarifier les scénarios d’escalade vers les dirigeants. Pour approfondir la dimension services sécurisés, un contenu détaillé sur la garantie de services sécurisés dans l’entreprise permet d’aligner les mesures techniques NIS2 avec les engagements métiers et les niveaux de service attendus, en intégrant par exemple des objectifs de temps de rétablissement dans les contrats internes.
Le plan des 90 premiers jours : cartographie, analyse d’écart et feuille de route
Pour une DSI sans armée de consultants, la mise en conformité NIS2 DSI doit commencer par un plan très pragmatique sur 90 jours. Ce plan court vise à produire une cartographie des systèmes d’information, une analyse d’écart par rapport aux exigences NIS et un premier plan de mise en conformité priorisé. L’objectif n’est pas d’être parfait, mais de démontrer une gestion structurée des risques et une mise en place progressive de mesures de gestion adaptées, avec des livrables concrets à chaque étape, comme un registre des services critiques, une matrice risques/mesures et un calendrier de déploiement.
Les trente premiers jours servent à identifier les entités concernées, les services critiques, les dépendances de la chaîne d’approvisionnement et les fournisseurs stratégiques. La DSI et le RSSI recensent les systèmes d’information supportant ces services, évaluent le niveau de maturité sécurité existant et repèrent les mesures techniques déjà en place, y compris pour la gestion des incidents. Cette phase de cartographie doit intégrer les contraintes d’autres réglementations comme DORA pour les services financiers, afin d’anticiper les synergies possibles entre NIS2 et DORA dans une approche unifiée de gestion des risques, avec un inventaire commun des actifs critiques et des dépendances externes, réutilisable pour plusieurs audits.
Les soixante jours suivants sont consacrés à l’analyse d’écart détaillée et à la construction d’un plan de mise en conformité pluriannuel, avec des jalons clairs pour les dirigeants. La DSI Rssi y intègre les priorités de continuité d’activité, les besoins de renforcement de la sécurité informatique et les investissements nécessaires pour la détection et la notification d’incident de sécurité. Pour sécuriser les budgets, un éclairage sur le ROI des projets de sécurité et d’IA aide à articuler conformité NIS2, performance opérationnelle et arbitrages financiers, avec des indicateurs mesurables comme le temps moyen de détection, le taux de couverture des sauvegardes ou le pourcentage de fournisseurs évalués, présentés dans un tableau de bord simple pour le comité de direction.
Le plan à 12 mois : gouvernance, chaîne d’approvisionnement et gestion des incidents
Sur un horizon de douze mois, la conformité NIS2 DSI se joue sur trois chantiers structurants : la gouvernance, la chaîne d’approvisionnement et la gestion des incidents de sécurité. La gouvernance consiste à inscrire la cybersécurité et la gestion des risques à l’agenda régulier du comité de direction, avec des indicateurs de niveau de maturité partagés. Cette gouvernance doit rendre tangible la responsabilité des dirigeants, non seulement en cas d’incident, mais aussi dans les arbitrages budgétaires et les priorités de transformation numérique, avec un reporting périodique sur l’avancement du plan de mise en conformité et sur les risques résiduels acceptés.
Sur la chaîne d’approvisionnement, la DSI doit revoir les contrats avec les fournisseurs critiques pour intégrer les exigences NIS, les obligations de notification d’incident et les engagements de continuité d’activité. Les entreprises doivent exiger des preuves de conformité NIS2 ou de démarches de mise en conformité, en particulier pour les prestataires cloud, les infogéreurs et les opérateurs de services essentiels. Cette gestion des risques de la supply chain doit être intégrée dans les processus d’achats, avec des critères de cybersécurité au même niveau que le coût ou la performance, et des revues régulières des plans de sécurité des prestataires, assorties d’actions correctives lorsque les engagements ne sont pas tenus.
Le troisième chantier concerne la gestion des incidents de sécurité, depuis la détection jusqu’à la notification réglementaire et à la communication de crise. La directive NIS2 impose des délais courts pour la notification d’incident aux autorités, ce qui nécessite des procédures éprouvées, des outils de sécurité informatique adaptés et une coordination étroite entre DSI, RSSI et métiers. Dans ce cadre, la convergence entre NIS2 et DORA, parfois appelée NIS DORA, permet de mutualiser les capacités de gestion des incidents pour les entités essentielles opérant dans les services financiers ou les infrastructures numériques critiques, en s’appuyant sur des exercices de crise communs et des scénarios d’incident partagés, testés au moins une fois par an.
Documenter la responsabilité des dirigeants : ce qui protège réellement l’entreprise
La directive NIS2 renforce explicitement la responsabilité des dirigeants en matière de cybersécurité et de gestion des risques, ce qui change la posture de la DSI. Pour un comité exécutif, la question n’est plus de déléguer la sécurité informatique au seul RSSI, mais de démontrer une supervision active et une mise en place de mesures de gestion proportionnées. Cette responsabilité doit être documentée de manière structurée, afin de prouver en cas d’audit ANSSI que les décisions ont été prises en connaissance de cause, avec une traçabilité des arbitrages et des priorités retenues, y compris lorsque certaines mesures sont volontairement différées.
Concrètement, la DSI et le RSSI doivent organiser des revues régulières de cybersécurité en comité de direction, avec des comptes rendus formalisés et des décisions tracées. Ces revues couvrent le niveau de maturité, l’avancement de la mise en conformité, les incidents de sécurité significatifs et les arbitrages budgétaires associés aux mesures techniques ou organisationnelles. Les dirigeants valident les priorités de mise en conformité NIS2, les plans de remédiation et les engagements pris vis à vis des entités essentielles, des filiales et des partenaires de la chaîne d’approvisionnement, en s’appuyant sur des tableaux de bord synthétiques et des indicateurs de risque, par exemple un score de maturité par domaine ReCyF.
La documentation doit aussi couvrir les scénarios de crise, les procédures de notification d’incident et les modalités de communication externe, notamment lorsque plusieurs entreprises ou fournisseurs sont touchés. En cas de contrôle, l’ANSSI examinera autant la qualité de la gestion des incidents que la capacité des dirigeants à démontrer une compréhension claire des risques et des exigences NIS. Pour structurer cette documentation, la méthode des 6R de rationalisation applicative peut aider à prioriser les systèmes d’information critiques et à concentrer les efforts de conformité sur les applications à plus fort impact métier, en distinguant ce qui doit être conservé, modernisé ou retiré, et en reliant ces décisions aux objectifs de résilience.
Éviter les erreurs qui coûtent cher : audits ANSSI, injonctions et angles morts
Les erreurs les plus coûteuses en matière de conformité NIS2 DSI ne viennent pas toujours d’un manque de moyens, mais souvent d’un mauvais cadrage initial. La première erreur consiste à traiter la directive NIS comme un simple sujet juridique, sans l’intégrer à la gestion opérationnelle des systèmes d’information et à la stratégie de cybersécurité. La seconde erreur fréquente est de sous estimer les risques liés aux fournisseurs et à la supply chain, alors que de nombreux incidents de sécurité récents sont passés par la chaîne d’approvisionnement logicielle et les prestataires de services numériques, parfois via des mises à jour compromises ou des accès à distance mal contrôlés.
Une autre erreur critique est de se focaliser uniquement sur les mesures techniques, en oubliant la gestion des incidents, la notification réglementaire et la continuité d’activité. Les audits ANSSI et les contrôles des autorités examinent la cohérence globale du dispositif, depuis l’analyse de risques jusqu’à la réponse à incident et à la communication vers les entités impactées. Ne pas tester régulièrement les procédures de gestion des incidents ou ne pas simuler de scénario d’incident de sécurité majeur expose à des injonctions publiques et à des sanctions financières significatives, ainsi qu’à une remise en cause de la crédibilité de la gouvernance, notamment si les dirigeants ne peuvent pas démontrer leur implication documentée.
Enfin, beaucoup de DSI négligent la dimension formation et sensibilisation des équipes, alors que la directive NIS2 insiste sur la compétence des acteurs impliqués dans la cybersécurité. Sans une montée en compétence progressive, le niveau de maturité reste théorique et les mesures de gestion ne sont pas appliquées de manière homogène dans toutes les entités de l’entreprise. Pour les PME comme pour les grandes entreprises, la clé reste une approche progressive, alignée sur le référentiel ReCyF de l’ANSSI, qui transforme la conformité NIS2 en levier durable de résilience numérique et en avantage concurrentiel sur les marchés les plus exigeants, tout en facilitant les échanges avec les assureurs cyber et les partenaires les plus matures.
Statistiques clés sur NIS2, cybersécurité et gestion des risques
- Selon l’Agence de l’Union européenne pour la cybersécurité (ENISA), plus de 60 % des incidents de sécurité majeurs déclarés en Europe impliquent au moins un fournisseur de la chaîne d’approvisionnement numérique, ce qui confirme l’importance de la gestion des risques de supply chain dans la directive NIS2. Ces chiffres sont issus de rapports annuels publiés depuis 2021 sur les incidents significatifs, disponibles sur le site de l’ENISA et régulièrement cités dans les analyses sectorielles.
- Les analyses de plusieurs grands assureurs cyber, publiées dans leurs rapports de sinistralité entre 2020 et 2023, montrent qu’un incident de sécurité significatif entraîne en moyenne une interruption d’activité de 20 à 25 jours pour les entités essentielles, avec un impact direct sur la continuité d’activité et la trésorerie des entreprises concernées. Ces données sont généralement consolidées à partir des déclarations de sinistres et des études de marché menées auprès des assurés.
- Les études publiées par l’ANSSI dans ses rapports d’activité récents indiquent qu’une organisation qui dispose d’un dispositif structuré de gestion des incidents réduit de près de 50 % le temps de détection et de réponse à un incident de sécurité, ce qui diminue fortement les pertes opérationnelles et les coûts de remédiation associés. Ces constats s’appuient sur des retours d’expérience d’incidents majeurs et sur des exercices de crise menés avec des entités essentielles.
- Les retours d’expérience de programmes de mise en conformité NIS et DORA dans le secteur financier, documentés dans plusieurs études sectorielles depuis 2022, montrent qu’environ 70 % du budget est consacré aux mesures techniques et à la sécurisation des systèmes d’information, tandis que 30 % portent sur la gouvernance, la formation et la documentation de la responsabilité des dirigeants. Cette répartition budgétaire illustre l’importance de combiner investissements technologiques et renforcement de la gouvernance.
FAQ sur la conformité NIS2 pour DSI et RSSI
Comment savoir si mon entreprise est une entité essentielle ou importante
Le statut d’entité essentielle ou importante dépend de votre secteur d’activité, de votre taille et de votre rôle dans la chaîne d’approvisionnement de services critiques. Les secteurs comme l’énergie, la santé, les transports, les services numériques ou les infrastructures financières sont particulièrement visés par la directive NIS2. Une analyse rapide avec votre DSI et votre RSSI permet de qualifier vos entités et de déterminer le niveau d’exigences NIS applicable, en s’appuyant sur les seuils de taille et les listes de secteurs publiés par les autorités nationales, qui précisent la transposition de la directive et les catégories d’entités concernées.
La directive NIS2 s’applique t elle aussi aux PME
Oui, certaines PME sont concernées lorsqu’elles opèrent dans des secteurs critiques ou lorsqu’elles sont des fournisseurs clés de services numériques pour des entités essentielles. Même si les obligations peuvent être adaptées, la gestion des risques et la sécurité informatique restent au cœur des attentes réglementaires. Il est donc prudent pour une PME de lancer une mise en conformité progressive, en s’appuyant sur le référentiel ReCyF de l’ANSSI et sur une priorisation des systèmes d’information les plus critiques pour l’activité, avec un plan d’actions réaliste et des jalons trimestriels.
Comment articuler NIS2 et DORA dans une même stratégie de cybersécurité
Pour les acteurs financiers, NIS2 et DORA imposent des exigences convergentes en matière de gestion des risques, de résilience opérationnelle et de gestion des incidents. La DSI peut construire un cadre unique de gouvernance et de sécurité informatique, puis décliner des contrôles communs pour les systèmes d’information critiques. Cette approche NIS DORA évite les redondances et renforce la cohérence des mesures techniques et organisationnelles, en harmonisant les indicateurs de risque, les scénarios de crise et les exigences de reporting, tout en répondant aux attentes des différentes autorités de supervision.
Quels sont les délais de notification d’un incident de sécurité sous NIS2
La directive NIS2 impose des délais courts pour la notification initiale d’un incident de sécurité significatif aux autorités compétentes, suivie de rapports intermédiaires et finaux. Ces délais exigent une capacité de détection rapide, une gestion des incidents bien rodée et une coordination étroite entre DSI, RSSI et direction générale. Sans ces mécanismes, le risque de non conformité et de sanctions augmente fortement, d’où l’importance de définir des procédures internes précises et des points de contact clairement identifiés, en s’appuyant sur les textes officiels et les guides publiés par l’ANSSI et les autorités nationales.
Par où commencer si je n’ai pas de RSSI à plein temps
Dans de nombreuses entreprises, la DSI porte la cybersécurité avec un RSSI à temps partiel ou mutualisé, ce qui n’empêche pas une démarche efficace de conformité NIS2. Le plus pertinent est de démarrer par une cartographie des systèmes d’information critiques, une analyse de risques simplifiée et un plan de mise en conformité priorisé. En s’appuyant sur le ReCyF de l’ANSSI et sur des partenaires spécialisés, il devient possible de monter en maturité sans immobiliser des ressources internes excessives, en concentrant les efforts sur quelques mesures structurantes à forte valeur ajoutée, comme la gestion des incidents, la protection des accès et la formalisation de la gouvernance.