Checklist de conformité NIS2 pour les équipes IT : ce qu'il faut mettre en place en 2026

Qu'est-ce que la conformité NIS2, en un paragraphe

‍La conformité NIS2 désigne le respect des obligations de cybersécurité fixées par la Directive (UE) 2022/2555, la version révisée de la directive européenne sur la sécurité des réseaux et des systèmes d'information. Concrètement, toute entité concernée doit mettre en oeuvre les dix mesures de gestion des risques listées à l'Article 21, signaler les incidents significatifs dans des délais stricts (alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous un mois), et démontrer que la direction supervise activement la cybersécurité. Le non-respect peut entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, ainsi que la responsabilité personnelle des dirigeants.

Ce guide est rédigé pour celles et ceux qui doivent concrètement livrer cette conformité : responsables IT, DSI, équipes IT operations et équipes sécurité. La plupart des contenus NIS2 expliquent le droit ou vendent une analyse d'écart. Très peu indiquent à une équipe IT ce qu'il faut configurer, application par application, et quelle preuve conserver pour l'auditeur. C'est précisément ce vide que cette checklist comble.

Chaque exigence NIS2 est ici traduite en contrôle technique actionnable et en preuve à produire lors d'une supervision. Nous soulignons également le prérequis que presque toutes les autres checklists ignorent : il est impossible de sécuriser les accès, de gérer les identités ou de documenter les actifs sans disposer au préalable d'une visibilité complète sur les applications SaaS réellement utilisées par les collaborateurs.

Pour une vue d'ensemble de ce que la directive implique pour votre organisation sur le plan stratégique et budgétaire, consultez notre article complémentaire sur ce que la directive NIS2 signifie pour votre entreprise. Cette page se concentre sur la mise en oeuvre.

La directive NIS2 s'applique-t-elle à votre organisation ?

NIS2 s'applique aux entités essentielles et importantes qui exercent leur activité dans l'un des 18 secteurs critiques et remplissent les critères de taille, généralement 50 salariés ou plus, ou plus de 10 millions d'euros de chiffre d'affaires annuel. La directive distingue deux catégories :

• Entités essentielles : organisations de taille moyenne et grande dans les secteurs de haute criticité : énergie, transport, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique et administration publique. Ces entités font l'objet d'une supervision proactive (audits réguliers, inspections sur site).
• Entités importantes : organisations dans des secteurs tels que les services postaux, la gestion des déchets, la chimie, la production alimentaire, la fabrication et les prestataires numériques. Ces entités font l'objet d'une supervision réactive (déclenchée par un incident ou une preuve de non-conformité).

Quelques points pratiques que les équipes IT ne doivent pas ignorer :

• NIS2 est transposée en droit national. La directive fixe le plancher, mais ce sont les lois nationales de transposition qui s'imposent dans chaque État membre, et certains vont au-delà du plancher. Confirmez votre classification auprès de votre autorité nationale compétente (en France : l'ANSSI).
• Le périmètre dépasse votre propre entité. Via les obligations de sécurité de la chaîne d'approvisionnement, vous pouvez être concerné en tant que fournisseur d'un client lui-même dans le périmètre, même si votre taille ou votre secteur vous semble borderline.
• Vous êtes déjà certifié ISO 27001 ? C'est un avantage : un SMSI certifié couvre une grande partie de l'Article 21. Les écarts typiques concernent la sécurité de la chaîne d'approvisionnement, la responsabilité de la direction, les délais de signalement des incidents et les exigences explicites en matière d'authentification multifacteur. Traitez NIS2 comme un exercice de cartographie sur vos contrôles existants plutôt que comme un projet from scratch. Notre guide sur ISO 27001 et la gestion des identités et des accès couvre ce recoupement en détail.

Les 10 mesures de l'Article 21 traduites pour les équipes IT

L'Article 21(2) de la directive liste dix mesures minimales de gestion des risques cybersécurité que toutes les entités, essentielles comme importantes, doivent mettre en oeuvre. Ces mesures sont délibérément neutres technologiquement et fondées sur les résultats : la directive indique ce qu'il faut atteindre, pas quel produit acheter. Le principe de proportionnalité de l'Article 21(1) signifie que la profondeur de chaque contrôle doit être adaptée à votre exposition au risque, à votre taille et à l'impact sociétal d'un incident potentiel.

Le problème pour une équipe IT, c'est que le texte juridique est abstrait. Le tableau ci-dessous traduit chacune des dix mesures dans la réalité opérationnelle d'un environnement moderne, fortement orienté SaaS.

Notez combien de ces mesures reposent sur la gestion des identités et des accès : politiques de risque, accès à la chaîne d'approvisionnement, contrôle d'accès, gestion des actifs, sécurité des ressources humaines, MFA. C'est pourquoi les spécialistes de l'identité estiment que la sécurité des identités couvre environ la moitié des mesures de l'Article 21. Pour une équipe IT de taille intermédiaire, cela signifie que votre approche IAM n'est pas une case parmi d'autres dans la checklist. C'est le fil conducteur de tout le programme.

La checklist NIS2 pour les équipes IT

Voici la checklist complète, organisée selon la logique de travail d'une équipe IT et non selon l'ordre de la directive. Chaque item indique l'action à mettre en oeuvre et la preuve à conserver en vue d'une supervision. Utilisez-la comme une analyse d'écarts : cochez ce que vous avez déjà, signalez ce qui manque, et assignez un responsable à chaque écart.

1. Visibilité des actifs et des SaaS (le prérequis que personne ne mentionne)

Il est impossible de protéger, de gouverner ou de reporter sur ce qu'on ne voit pas. L'Article 21 exige la gestion des actifs et une image fidèle de vos réseaux et systèmes d'information, mais la plupart des organisations n'ont aucun inventaire fiable des applications SaaS réellement en usage. Le shadow IT, les outils adoptés par les collaborateurs sans validation IT, constitue le principal angle mort pour la conformité NIS2.

À mettre en oeuvre :

• Construire et maintenir un inventaire vivant de chaque application SaaS, y compris les outils non sanctionnés découverts via les signaux navigateur, financiers et SSO.
• Associer chaque application à sa sensibilité des données, son responsable et les identités qui peuvent y accéder.
• Détecter en continu les nouvelles applications dès leur apparition, plutôt que de réaliser un audit ponctuel obsolète en quelques semaines.

Preuve à conserver : un registre d'applications à jour avec les dates de découverte, les responsables et la classification des risques.

Corma a été conçu pour répondre à ce problème. Notre solution de gestion SaaS pour identifier le shadow IT met en évidence chaque application utilisée, y compris celles que personne ne vous a signalées. Si le sujet est nouveau pour vous, notre article sur le SaaS sprawl, ses causes, ses risques et comment y remédier est un bon point de départ.

2. Contrôle des accès et gouvernance des identités

L'Article 21(2)(i) cite explicitement les politiques de contrôle d'accès et la sécurité des ressources humaines. L'auditeur voudra constater que les bonnes personnes ont le bon accès, que les accès excédentaires sont supprimés, et que vous pouvez prouver qui accède à quoi, et pourquoi.

À mettre en oeuvre :

• Appliquer le principe du moindre privilège et un contrôle d'accès basé sur les rôles (RBAC) sur toutes les applications, pas seulement celles connectées à votre fournisseur d'identité.
• Réaliser des revues d'accès périodiques afin que les propriétaires d'applications recertifient qui doit conserver un accès.
• Gouverner l'accès des identités humaines et non humaines (comptes de service, clés API, prestataires).

Preuve à conserver : enregistrements des revues d'accès avec le réviseur, la date, la décision et le statut de remédiation.

Les revues d'accès manuelles dans des tableurs ne survivent pas à un audit. Corma les automatise via notre solution IAM pour des revues d'accès automatisées et conformes et notre capacité de gouvernance des identités vous offre une vue unique et défendable des accès sur l'ensemble du parc applicatif. Pour la méthodologie des revues défendables, consultez notre feuille de route des revues d'accès pour la conformité ISO 27001.

3. Provisionnement et déprovisionnement des utilisateurs

La façon la plus rapide d'échouer à un audit des accès, c'est un collaborateur sorti de l'effectif qui conserve des comptes actifs. NIS2 exige que l'accès soit accordé, modifié et révoqué en cohérence avec le cycle de vie de l'employé (le modèle arrivée, mobilité, départ).

À mettre en oeuvre :

• Automatiser le provisionnement lors d'une arrivée ou d'un changement de poste, afin que l'accès corresponde au rôle dès le premier jour.
• Automatiser le déprovisionnement lors du départ sur toutes les applications connectées, idéalement le jour même où le système RH enregistre la sortie.
• Couvrir les applications sans support SCIM, SAML ou SSO, là où les comptes orphelins se cachent le plus souvent.

Preuve à conserver : journaux de provisionnement et de déprovisionnement liés aux événements RH, avec horodatage.

La solution IAM Corma pour le provisionnement et l'onboarding automatisés couvre l'intégralité du cycle de vie. Notre guide sur la gestion du cycle de vie des identités et le départ pour les applications sans SCIM, SAML ou SSO traite la partie la plus complexe du problème.

4. Authentification multifacteur et accès sécurisé

L'Article 21(2)(j) exige explicitement l'authentification multifacteur ou l'authentification continue et des communications sécurisées. C'est l'un des écarts les plus fréquents dans les organisations déjà certifiées ISO 27001, car l'ISO traite le MFA comme un contrôle recommandé tandis que NIS2 le rend explicite.

À mettre en oeuvre :

• Imposer le MFA sur tous les accès privilégiés et distants, et l'étendre au maximum selon les capacités de vos outils.
• Utiliser le single sign-on pour centraliser l'authentification et réduire la prolifération de mots de passe.
• Vérifier que les applications critiques hors fournisseur d'identité sont également couvertes.

Preuve à conserver : rapport de couverture MFA indiquant les applications sous contrainte et les exceptions justifiées.

Comprendre les protocoles qui sous-tendent ces mécanismes est utile ici. Notre article sur SCIM vs SAML et lequel choisir clarifie les standards derrière le provisionnement moderne et le SSO.

5. Gestion des risques et politiques de sécurité

L'Article 21(2)(a) exige des politiques d'analyse des risques et de sécurité des systèmes d'information. La directive attend un processus de gestion des risques vivant, pas un document rédigé une fois et classé.

À mettre en oeuvre :

• Conduire des analyses de risques documentées et régulières couvrant vos applications, vos identités et vos fournisseurs.
• Maintenir un ensemble de politiques de sécurité des systèmes d'information approuvées, communiquées et révisées.
• Associer chaque risque identifié à un responsable et à une échéance de traitement.

Preuve à conserver : analyses de risques datées, politiques approuvées et registre des risques avec statut de traitement.

6. Détection des incidents et signalemen

L'Article 21(2)(b) et les obligations de signalement de l'Article 23 sont les points où de nombreuses organisations sont en difficulté. NIS2 fixe des délais impératifs : une alerte précoce sous 24 heures, une notification détaillée sous 72 heures et un rapport final sous un mois.

À mettre en oeuvre :

• Établir des procédures de détection, de triage et d'escalade avec des rôles nommés et des playbooks.
• Préconfigurer les workflows de signalement pour que les compteurs de 24 et 72 heures ne vous prennent pas par surprise.
• Garantir que vous pouvez rapidement attribuer un incident à l'utilisateur, au service ou à l'accès fournisseur concerné, ce qui dépend directement de la qualité de vos données d'identité.

Preuve à conserver : enregistrements des incidents, journaux d'escalade et copies des notifications transmises aux autorités.

7. Sécurité de la chaîne d'approvisionnement et accès tiers

L'Article 21(2)(d) fait de la sécurité de la chaîne d'approvisionnement une obligation de premier plan, et NIS2 va plus loin qu'ISO 27001 en étendant la diligence raisonnable au-delà des fournisseurs directs. Les attaquants ciblent de plus en plus les organisations indirectement, via les identités de prestataires, sous-traitants et partenaires.

À mettre en oeuvre :

• Tenir un registre des fournisseurs avec classification des risques, date de la dernière évaluation et engagements contractuels en matière de sécurité.
• Gouverner et revoir les accès tiers de la même manière que les accès collaborateurs, avec des dates d'expiration et une recertification.
• Révoquer rapidement les accès prestataires à la fin d'une mission.

Preuve à conserver : registre des risques fournisseurs, revues des accès tiers et enregistrements de déprovisionnement.

Notre page dédiée à la solution IAM pour les équipes sécurité afin de rester conformes et gérer les SaaS illustre comment les équipes sécurité maintiennent ce contrôle tout en gérant les SaaS.

8. Continuité d'activité et sauvegarde

L'Article 21(2)(c) exige la continuité d'activité, y compris la gestion des sauvegardes, la reprise après sinistre et la gestion de crise. L'objectif est de maintenir les services essentiels pendant et après un incident.

À mettre en oeuvre :

• Documenter les processus de sauvegarde et de restauration avec des objectifs de temps de reprise définis.
• Tester la reprise sur un calendrier régulier, pas seulement sur le papier.
• Maintenir un plan de gestion de crise avec des rôles clairement définis.

Preuve à conserver : politique de sauvegarde, résultats des tests de restauration et plan de continuité documenté.

9. Cryptographie et chiffrement

L'Article 21(2)(h) vise les politiques relatives à l'utilisation de la cryptographie et du chiffrement. Chiffrez les données sensibles au repos et en transit, et privilégiez les fournisseurs SaaS dont l'hébergement et le chiffrement sont alignés avec les exigences européennes de protection des données.

À mettre en oeuvre :

• Chiffrer les données sensibles au repos et imposer le TLS en transit.
• Documenter votre politique de cryptographie et votre approche de gestion des clés.
• Intégrer la résidence des données dans vos critères de sélection SaaS : une directive conçue pour l'Europe valorise l'hébergement aligné UE.

Preuve à conserver : politique de cryptographie et inventaire du chiffrement appliqué par système.

10. Journal d'audit et preuves

Tout au long de la directive, la supervision repose sur des preuves. L'Article 21(2)(f) exige que vous évaluiez l'efficacité de vos mesures, et les autorités compétentes attendent une traçabilité auditée en vertu des articles de supervision.

À mettre en oeuvre :

• Centraliser les journaux des attributions d'accès, modifications, revues et révocations.
• Conserver un enregistrement inaltérable de qui a fait quoi, quand, sur toutes les applications.
• Rendre les preuves consultables à la demande, car un inspecteur ne devrait pas attendre pendant que vous les recherchez.

Preuve à conserver : journaux d'audit consolidés et bibliothèque de preuves indexée selon chaque mesure de l'Article 21.

11. Hygiène numérique et formation

L'Article 21(2)(g) exige des pratiques de base d'hygiène numérique et une formation à la cybersécurité. Cette obligation s'étend à l'organe de direction, dont la formation est désormais explicitement requise.

À mettre en oeuvre :

• Dispenser une formation régulière de sensibilisation à la sécurité pour l'ensemble du personnel, avec enregistrement des présences et des résultats.
• Organiser des sessions de cybersécurité dédiées pour la direction.
• Mettre à jour les contenus à mesure que le paysage des menaces et les règles nationales NIS2 évoluent.

Preuve à conserver : journaux de formation avec présences, notes et dates d'achèvement, y compris pour la direction.

12. Gouvernance et responsabilité de la direction

L'Article 20 introduit la responsabilité personnelle de l'organe de direction. Les dirigeants doivent approuver et superviser les mesures de cybersécurité, et peuvent faire l'objet de sanctions, y compris une interdiction d'exercer des fonctions dirigeantes, en cas de manquement.

À mettre en oeuvre :

• Désigner formellement le responsable de la conformité NIS2 avec l'autorité et le budget pour agir.
• Inscrire la supervision cybersécurité à l'ordre du jour de la direction avec des approbations documentées.
• Rapporter régulièrement l'état de conformité à la direction.

Preuve à conserver : documents de gouvernance attestant de l'approbation et de la supervision par la direction des mesures de sécurité.

Pourquoi la visibilité SaaS est le socle de la conformité NIS2 pour les équipes IT

Voici le fil conducteur qui relie chaque item ci-dessus. La gestion des actifs, le contrôle des accès, le provisionnement, l'attribution des incidents et la gestion des accès tiers supposent tous que vous connaissez les applications qui existent et qui peut y accéder. Si votre environnement est saturé de SaaS non gérés adoptés sans passer par l'IT, chacun de ces contrôles présente un angle mort.

C'est pourquoi, pour une équipe IT de taille intermédiaire, la conformité NIS2 commence par la découverte, et non par des documents de politique. Une fois que vous disposez d'une image vivante de vos applications et de vos identités, le reste de la checklist devient une série de tâches solubles et automatisables plutôt qu'un cauchemar d'audit ouvert.

C'est aussi là où la plupart des checklists concurrentes s'arrêtent. Elles listent les dix mesures de l'Article 21 et passent à autre chose, sans reconnaître qu'il est impossible de gouverner l'accès à des applications que vous n'avez pas découvertes. Traitez la visibilité SaaS comme le point zéro, et les douze autres items prennent leur place naturellement.

Comment Corma aide les équipes IT à répondre aux exigences NIS2

Corma est une plateforme européenne qui combine gestion des SaaS et gestion des identités et des accès (IAM) en un seul endroit, conçue pour les équipes IT des entreprises en croissance. Là où d'autres outils couvrent soit les dépenses soit l'identité, Corma couvre les deux, ce qui correspond presque parfaitement au coeur riche en contrôles d'accès de l'Article 21.

Pour NIS2 spécifiquement, Corma accompagne les équipes IT tout au long de la checklist :

• Découvrir chaque application, y compris le shadow IT, afin que votre inventaire des actifs soit réel et actuel.
• Automatiser les revues d'accès pour que la recertification produise des preuves prêtes pour l'audit plutôt que des tableurs obsolètes.
• Automatiser le provisionnement et le déprovisionnement tout au long du cycle de vie des collaborateurs, y compris pour les applications sans SCIM ou SSO, afin que les comptes orphelins cessent de s'accumuler.
• Gouverner les accès tiers et non humains au même titre que les accès collaborateurs.
• Maintenir une trace d'audit centralisée qui correspond aux mesures de l'Article 21, prête à montrer à un inspecteur.

Deux différenciateurs comptent particulièrement pour une directive écrite pour l'Europe. Corma est certifié ISO/IEC 27001:2022, ce qui accélère le recoupement entre votre SMSI existant et NIS2. Et Corma offre une résidence des données en UE avec une conformité RGPD native, contrairement à de nombreux outils américains qui traitent la réglementation européenne comme un module optionnel. Corma est également reconnu dans le Gartner Magic Quadrant 2025 pour les plateformes de gestion des SaaS.

Pour voir concrètement comment cela fonctionne pour votre équipe, explorez la solution IAM pour les équipes IT pour automatiser la gestion des SaaS et des accès, consultez notre approche de la sécurité, ou demandez une démo pour parcourir votre propre environnement.

Le tableau de capacités ci-dessous résume comment Corma se positionne par rapport à la checklist.

Questions fréquentes

Qu'est-ce que la checklist de conformité NIS2 pour les équipes IT ?

C'est une liste pratique des contrôles de cybersécurité qu'une équipe IT doit mettre en oeuvre pour satisfaire la directive NIS2, organisée autour des dix mesures de gestion des risques de l'Article 21 et des obligations de signalement des incidents et de gouvernance de la directive. Une bonne checklist associe chaque exigence à une action technique concrète et à la preuve à fournir en audit.

Quelles sont les 10 mesures de l'Article 21 de NIS2 ?

Ce sont : les politiques d'analyse des risques et de sécurité des systèmes d'information ; la gestion des incidents ; la continuité d'activité et la gestion de crise ; la sécurité de la chaîne d'approvisionnement ; la sécurité dans l'acquisition, le développement et la maintenance des systèmes ; les politiques d'évaluation de l'efficacité des mesures ; l'hygiène numérique et la formation ; la cryptographie et le chiffrement ; la sécurité des ressources humaines, le contrôle d'accès et la gestion des actifs ; et l'authentification multifacteur avec des communications sécurisées.

Qui doit se conformer à NIS2 ?

Les entités essentielles et importantes dans 18 secteurs critiques comptant au moins 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires annuel. Les organisations plus petites peuvent également être concernées via les obligations de la chaîne d'approvisionnement si elles fournissent une entité dans le périmètre. Les lois nationales de transposition définissent le périmètre exact dans chaque État membre.

Quel est le délai de signalement des incidents NIS2 ?

Les entités dans le périmètre doivent soumettre une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident significatif, une notification détaillée sous 72 heures, et un rapport final sous un mois. L'attribution rapide de l'incident à l'utilisateur, au service ou à l'accès fournisseur concerné est indispensable pour respecter ces délais.

Quelles sont les sanctions en cas de non-conformité NIS2 ?

Les entités essentielles peuvent faire l'objet d'amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Les entités importantes sont exposées à des amendes allant jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires. NIS2 introduit également la responsabilité personnelle de l'organe de direction, y compris la possibilité d'interdire aux dirigeants d'exercer leurs fonctions.

La certification ISO 27001 couvre-t-elle les exigences NIS2 ?

Un SMSI certifié ISO 27001 répond à une part importante de l'Article 21, car les deux référentiels se recoupent largement. Cependant, NIS2 ajoute des obligations qui dépassent ISO 27001, notamment la sécurité de la chaîne d'approvisionnement, les délais impératifs de signalement des incidents, la responsabilité de l'organe de direction et des exigences explicites en matière de MFA. Un exercice de cartographie est le moyen le plus efficace de combler les écarts résiduels.

Comment la gestion des identités et des accès soutient-elle la conformité NIS2 ?

L'IAM sous-tend environ la moitié des mesures de l'Article 21, notamment le contrôle d'accès, la sécurité des ressources humaines, la gestion des actifs et le MFA. Un IAM robuste permet de prouver qui accède à quoi et pourquoi, de révoquer les accès proprement lors d'un départ, de gouverner l'accès fournisseur et d'attribuer rapidement les incidents, autant d'éléments que la directive attend de vous.

Par où une équipe IT doit-elle commencer avec NIS2 ?

Commencer par la visibilité. Construire un inventaire complet de vos applications SaaS et des identités qui peuvent y accéder, y compris le shadow IT. Sans cette base, la gestion des actifs, le contrôle des accès, le provisionnement et l'attribution des incidents sont tous lacunaires. Une fois que vous pouvez voir votre environnement, le reste de la checklist devient un ensemble de tâches automatisables.

Conclusion

NIS2 n'est pas un projet ponctuel mais un cycle continu d'évaluation des risques, d'application des contrôles, de vérification de l'efficacité et d'ajustement. Pour les équipes IT, le travail est le plus gérable lorsqu'il part d'une source unique de vérité sur les applications et les identités. Pour transformer cette checklist en actions concrètes, demandez une démo Corma et découvrez comment la gestion des SaaS et l'IAM s'articulent pour soutenir NIS2 en une seule plateforme.