Guide NIS2

NIS2 pour PME et ETI : quoi cadrer avant de lancer un chantier conformité

NIS2 ne doit pas être abordée comme un simple projet documentaire. Depuis le 17 mars 2026, le Référentiel Cyber France (ReCyF) publié par l'ANSSI donne un point d'appui concret pour relier objectifs de sécurité, mesures, preuves et responsables avant la transposition nationale complète.

7 min Mis à jour : Mai 2026

Commencer par le périmètre réel

La première erreur consiste à demander si l'entreprise est conforme avant d'avoir clarifié le périmètre. Les activités, les entités, les services numériques, les sites et les fournisseurs ne portent pas tous le même niveau de criticité.

Un cadrage utile liste les processus critiques, les systèmes qui les supportent, les dépendances externes et les responsables capables d'arbitrer. Cette base évite de transformer NIS2 en inventaire interminable.

  • processus métier critiques
  • actifs numériques exposés
  • tiers et prestataires essentiels
  • responsabilités direction / DSI / métiers

Traduire la conformité en preuves

Une politique de sécurité écrite ne suffit pas si aucune routine ne permet de la maintenir. Pour chaque exigence, il faut identifier le contrôle concret, la preuve attendue, le propriétaire et la fréquence de revue.

Les preuves les plus utiles sont datées, compréhensibles et récupérables par une personne autre que leur auteur. C'est souvent là que les organisations découvrent que leur maturité réelle est différente de leur maturité déclarée.

Prioriser les risques au lieu de tout traiter

La mise en conformité ne demande pas de tout corriger en même temps. Elle demande une trajectoire proportionnée et défendable. Les accès à privilèges, les sauvegardes, la gestion des vulnérabilités, la supervision et les fournisseurs critiques sont souvent les premiers sujets à cadrer.

Un plan 30/60/90 jours permet de distinguer les actions urgentes, les preuves à produire et les chantiers plus structurants.

  • revue des comptes administrateurs
  • test de restauration
  • cartographie fournisseurs
  • registre des risques
  • plan de traitement

Questions fréquentes

Une PME doit-elle viser une conformité NIS2 complète immédiatement ?

Non. La priorité est de démontrer une trajectoire proportionnée : périmètre clair, risques prioritaires, responsabilités, preuves disponibles et actions engagées.

Quel livrable produire en premier ?

Une matrice simple exigences / contrôles / preuves / écarts / responsables. Elle donne une base exploitable pour décider et suivre.

Sources publiques

Références utilisées sans copie de contenu

Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'AM Cyber.