SaaSFort La directive NIS2 est transposée en droit national dans la plupart des États membres de l’UE depuis fin 2025. Les premiers contrôles de conformité arrivent en 2026, et l’application pleine et entière intervient en octobre 2026 — dans sept mois.
Environ 160 000 entités sont dans le périmètre à l’échelle de l’UE. La plupart n’ont ni RSSI ni plateforme GRC. Si c’est votre cas, cette checklist est votre feuille de route de conformité.
Chaque étape correspond à une mesure précise de l’article 21 de NIS2. Oubliez le consultant — commencez ici.
Qui a besoin de cette checklist ?
NIS2 s’applique si votre entreprise remplit les deux conditions :
- Seuil de taille : 50+ salariés OU 10 M€+ de chiffre d’affaires annuel
- Secteur : l’un des 18 secteurs réglementés (énergie, transport, santé, infrastructure numérique, fabrication, agroalimentaire, chimie, et autres)
Même en dessous de ces seuils, les obligations NIS2 se propagent par la chaîne d’approvisionnement. Si vous fournissez du SaaS ou des services IT à une entité dans le périmètre, attendez-vous à ce que ses achats auditent votre posture de sécurité. Notre checklist de conformité NIS2 pour fournisseurs SaaS couvre en détail les exigences côté fournisseur.
| Catégorie | Critère de taille | Amende maximale |
|---|---|---|
| Entités particulièrement importantes | 250+ salariés OU 50 M€+ de CA | 10 M€ ou 2 % du CA mondial |
| Entités importantes | 50+ salariés OU 10 M€+ de CA | 7 M€ ou 1,4 % du CA mondial |
La checklist de conformité NIS2 en 10 étapes
Vous voulez suivre votre progression ? Récupérez notre checklist de préparation NIS2 (Excel) — 10 contrôles de l’article 21 avec colonne de preuves, notes d’écart et responsable de remédiation par ligne. Gratuit, simple inscription par e-mail.
Étape 1 : Confirmer le périmètre et s’enregistrer auprès de l’autorité
Effort : 1-2 heures
Vérifiez votre effectif, votre chiffre d’affaires et votre code secteur (NACE) au regard des critères de périmètre de l’autorité nationale. Si vous êtes dans le périmètre et n’êtes pas encore enregistré, faites-le immédiatement — l’enregistrement tardif reste accepté.
Actions :
- Vérifiez votre code secteur NACE
- Enregistrez-vous via le portail en ligne de l’autorité compétente
- Désignez une personne de contact pour les communications avec l’autorité
- Documentez la justification de votre évaluation de périmètre (conservez-la — les auditeurs la demandent)
Conseil : En cas de doute, enregistrez-vous. Les autorités interprètent le périmètre largement, et l’absence d’enregistrement obligatoire entraîne ses propres sanctions.
Étape 2 : Lancer un scan de référence de sécurité externe
Mesures article 21 : 21.2e (sécurité réseau), 21.2h (cryptographie) | Effort : 5 minutes
On ne corrige pas ce qu’on ne mesure pas. Avant de rédiger une seule politique, scannez votre infrastructure exposée pour savoir où vous en êtes réellement.
Un scan externe automatisé révèle les mauvaises configurations TLS, les en-têtes de sécurité manquants, les problèmes DNS, les services exposés et les problèmes de certificats — qui correspondent tous directement aux exigences de l’article 21.
Actions :
- Scannez votre domaine principal et tous les sous-domaines exposés aux clients
- Documentez le score et les constats de référence
- Exportez le rapport pour votre dossier de conformité
SaaSFort effectue 60 contrôles de sécurité dans 25 catégories en moins de 60 secondes, chaque constat étant mappé aux contrôles NIS2 article 21 et ISO 27001. Lancez votre scan gratuit — vous verrez votre note et vos 3 principaux problèmes immédiatement.
Étape 3 : Rédiger votre politique de sécurité de l’information
Mesure article 21 : 21.2a (analyse des risques et politiques de sécurité) | Effort : 4-8 heures
Les auditeurs attendent une politique de sécurité formelle et écrite, approuvée par la direction. Un document de 5-10 pages couvrant votre approche de la gestion des risques, de la classification des actifs et des responsabilités de sécurité.
Contenu minimum :
- Objectifs et périmètre de sécurité
- Rôles et responsabilités (qui possède quoi)
- Méthodologie d’évaluation des risques
- Règles d’usage acceptable
- Calendrier de revue (annuel minimum, trimestriel est mieux)
N’en faites pas trop. Une politique claire et honnête de 8 pages vaut mieux qu’un document de 60 pages que personne ne lit.
Étape 4 : Construire votre plan de réponse aux incidents
Mesure article 21 : 21.2b (gestion des incidents) | Effort : 4-6 heures
NIS2 impose des délais de notification d’incident non négociables :
| Délai | Exigence |
|---|---|
| 24 heures | Alerte précoce à l’autorité après avoir eu connaissance d’un incident significatif |
| 72 heures | Notification complète d’incident avec évaluation initiale |
| 1 mois | Rapport final avec analyse des causes racines et remédiation |
Actions :
- Définissez ce qui constitue un « incident significatif » pour votre organisation
- Créez une matrice d’escalade (qui appelle qui, dans quel ordre)
- Rédigez des modèles de notification pour le signalement à l’autorité
- Testez le plan via un exercice sur table au moins une fois avant octobre 2026
- Établissez un plan de communication pour les clients affectés
Étape 5 : Documenter la continuité d’activité et les sauvegardes
Mesure article 21 : 21.2c (continuité d’activité) | Effort : 3-5 heures
Les auditeurs veulent des chiffres précis, pas des assurances vagues. Définissez votre RTO (objectif de temps de reprise) et votre RPO (objectif de point de reprise) pour chaque système critique.
Actions :
- Listez tous les systèmes critiques et leurs dépendances
- Fixez des cibles RTO et RPO pour chacun
- Documentez fréquence, rétention et méthode de chiffrement des sauvegardes
- Vérifiez que la restauration fonctionne (effectuez une restauration test)
- Stockez les sauvegardes dans un emplacement distinct de la production
Étape 6 : Évaluer votre chaîne d’approvisionnement
Mesure article 21 : 21.2d (sécurité de la chaîne d’approvisionnement) | Effort : 4-8 heures
NIS2 exige d’évaluer la posture de sécurité de vos fournisseurs — outils SaaS, fournisseurs cloud, processeurs de paiement, tous ceux qui touchent vos données ou votre infrastructure.
Actions :
- Créez un inventaire de tous les services tiers et sous-traitants
- Classez chacun par niveau d’accès aux données (critique, standard, minimal)
- Demandez la documentation de sécurité aux fournisseurs critiques
- Ajoutez des exigences de sécurité aux contrats fournisseurs
- Planifiez des revues fournisseurs annuelles
Étape 7 : Imposer l’authentification multifacteur
Mesure article 21 : 21.2j (MFA et communication sécurisée) | Effort : 2-4 heures
La MFA sur tous les comptes admin et privilégiés est une attente de base. La MFA par SMS est considérée comme faible — utilisez des applications TOTP ou des clés matérielles.
Actions :
- Activez la MFA sur tous les comptes admin (cloud, e-mail, dépôts de code, infrastructure)
- Imposez la MFA pour tous les employés accédant aux systèmes sensibles
- Documentez votre politique MFA et le processus d’exception
- Désactivez le SMS comme facteur MFA si possible
Étape 8 : Mettre en place la gestion des vulnérabilités
Mesure article 21 : 21.2f (traitement et divulgation des vulnérabilités) | Effort : 3-6 heures de mise en place, puis en continu
Vous avez besoin d’un processus documenté pour trouver, trier et corriger les vulnérabilités — avec des délais définis.
SLA recommandés :
| Sévérité | Délai de remédiation |
|---|---|
| Critique (CVSS 9.0+) | 24 heures |
| Élevée (CVSS 7.0-8.9) | 7 jours |
| Moyenne (CVSS 4.0-6.9) | 30 jours |
| Faible (CVSS 0.1-3.9) | 90 jours |
Actions :
- Mettez en place un scan automatisé (externe + dépendances) hebdomadaire
- Publiez un fichier security.txt selon la RFC 9116
- Créez une page de divulgation responsable
- Suivez les vulnérabilités dans un registre central avec métriques de conformité SLA
Étape 9 : Former vos équipes
Mesure article 21 : 21.2g (hygiène de cybersécurité et formation) | Effort : 2-3 heures de mise en place
NIS2 exige une formation documentée — et impose spécifiquement à la direction de suivre une formation à la cybersécurité (article 20).
Actions :
- Organisez une formation annuelle de sensibilisation pour tous les employés
- Conduisez des exercices de simulation de phishing (au moins trimestriels)
- Fournissez une formation spécifique aux développeurs et au personnel IT
- Obligatoire : assurez-vous que les dirigeants et membres du conseil suivent une formation cybersécurité
- Conservez les attestations de formation (les auditeurs les vérifient)
Étape 10 : Mettre en place une surveillance continue et la collecte de preuves
Mesure article 21 : 21.2a, 21.2e, 21.2f (en continu) | Effort : 1-2 heures de mise en place
Les audits annuels ne suffisent pas pour NIS2. L’autorité attend une gestion continue des risques, donc une surveillance continue avec preuves horodatées.
Actions :
- Planifiez des scans de sécurité automatisés au minimum hebdomadaires
- Mettez en place des alertes pour l’expiration des certificats, les changements TLS et les modifications d’en-têtes
- Maintenez un tableau de bord de conformité accessible à la direction
- Archivez les rapports de scan mensuellement pour la piste d’audit
La surveillance continue de la sécurité de SaaSFort génère automatiquement des rapports horodatés et mappés NIS2 — le type de preuve que les auditeurs acceptent réellement.
Calendrier : que faire et quand
| Période | Actions prioritaires |
|---|---|
| Maintenant | S’enregistrer auprès de l’autorité. Lancer un scan de référence. Démarrer la politique de sécurité. |
| Avril-Mai 2026 | Finaliser le plan de réponse aux incidents. Documenter la continuité d’activité. Évaluer la chaîne d’approvisionnement. |
| Juin-Juillet 2026 | Imposer la MFA partout. Mettre en place la gestion des vulnérabilités. Former les équipes. |
| Août-Septembre 2026 | Activer la surveillance continue. Faire un exercice sur table. Compiler le dossier de preuves. |
| Octobre 2026 | Conformité pleine requise. Les inspections commencent. |
Responsabilité de la direction : c’est personnel
NIS2 introduit une responsabilité personnelle pour les dirigeants. Les membres de la direction et du conseil font face à une responsabilité individuelle en cas de mesures de cybersécurité inadéquates.
La direction doit :
- Approuver personnellement les mesures de gestion des risques de cybersécurité
- Superviser la mise en œuvre (pas seulement déléguer à l’IT)
- Suivre elle-même une formation cybersécurité
- Assumer la responsabilité des manquements de conformité
Comparaison de coûts : interne vs. consultant vs. automatisé
| Approche | Coût | Délai de conformité | Effort récurrent |
|---|---|---|---|
| Consultant externe | 15 000-50 000 € | 3-6 mois | Réengagement annuel |
| Recrutement RSSI interne | 80 000-120 000 €/an | 2-4 mois | Poste à temps plein |
| Scan automatisé + politiques en self-service | 9-29 €/mois | 2-4 semaines | 2-3 heures/mois |
La plupart des PME de 50-250 salariés n’ont pas besoin d’un RSSI à temps plein pour la conformité NIS2. Un outil de scan automatisé pour la base technique, combiné à des modèles de politiques clairs, couvre 80 % de ce que vérifient les auditeurs — à 1 % du coût d’un consultant.
Foire aux questions
Mon entreprise compte exactement 50 salariés. Suis-je dans le périmètre ?
Oui, si vous atteignez le seuil de chiffre d’affaires (10 M€+) OU le seuil d’effectif (50+) ET opérez dans un secteur réglementé. Les seuils sont inclusifs — 50 salariés vous place dans le périmètre. Vérifiez les deux critères ; en remplir un seul suffit.
Nous nous sommes enregistrés en retard. Que se passe-t-il maintenant ?
L’enregistrement tardif est accepté. Les autorités privilégient l’intégration des organisations au système plutôt que la sanction du retard. Enregistrez-vous immédiatement et documentez la raison du délai. Concentrez votre énergie sur la mise en œuvre des mesures de l’article 21 — c’est ce que les auditeurs évalueront réellement.
Avons-nous besoin de la certification ISO 27001 pour NIS2 ?
Non. ISO 27001 n’est pas exigée par NIS2, mais elle aide beaucoup. Environ 70-80 % des contrôles de l’Annexe A d’ISO 27001 correspondent aux mesures de l’article 21 de NIS2. Si vous avez déjà ISO 27001, vous avez de l’avance — mais il reste à traiter les écarts spécifiques à NIS2 comme les délais de notification d’incident et la responsabilité de la direction.
Quelles preuves l’autorité vérifie-t-elle réellement lors des audits ?
Les auditeurs se concentrent sur : politiques de sécurité écrites approuvées par la direction, plans de réponse aux incidents avec exercices de test documentés, rapports de scan montrant une surveillance continue, résultats de tests de restauration de sauvegarde, preuves d’application de la MFA, attestations de formation, et documentation d’évaluation de la chaîne d’approvisionnement. Les preuves automatisées et horodatées pèsent plus que les tableurs manuels.
Un scan de sécurité gratuit compte-t-il comme preuve NIS2 ?
Un scan unique est un point de départ, pas une preuve de conformité. NIS2 exige une gestion continue des risques. Toutefois, votre scan initial documente votre référence — exactement ce que les auditeurs veulent voir en étape un. Associez-le à des scans automatisés réguliers pour bâtir la piste de preuves continue attendue. Lancez un scan de sécurité gratuit pour obtenir votre référence.
La conformité NIS2 n’exige pas un budget à six chiffres. SaaSFort effectue 60 contrôles de sécurité dans 25 catégories, mappe les constats à l’article 21 de NIS2 et génère des rapports prêts pour l’audit — à partir de 9 €/mois. Lancez votre scan de conformité gratuit.
Ready to put this into practice?
Two ways to start — pick what fits. Free Scan if you want to see your security grade in 60s with no commitment. Free 14-day Growth trial if you're ready to monitor multiple domains, export NIS2 reports, and download Deal Reports — no credit card required.
No credit card · Cancel anytime · GDPR-ready · EU-hosted