Préparation à la directive NIS2

Checklist des exigences de conformité NIS2 : chaque obligation que votre organisation doit traiter

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations multi-entités à suivre et gérer leur conformité à la directive NIS2 dans tous les États membres de l'UE.

L'application de NIS2 est désormais active dans les États membres de l'UE. Utilisez cette checklist structurée pour identifier les lacunes, prioriser les actions et bâtir un programme de conformité solide, que vous gériez une seule entité ou cinquante.

Dernière mise à jour : juin 2025 · Sur la base de la directive (UE) 2022/2555 et des exigences de transposition nationale en cours d'élaboration

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Trois raisons pour lesquelles NIS2 est plus complexe que la plupart des organisations ne l'imaginent

NIS2 n'est pas qu'une directive de cybersécurité. C'est un cadre de gouvernance, de chaîne d'approvisionnement et de notification d'incidents, et les sanctions en cas de sous-estimation de sa portée sont désormais personnelles.

27
États membres de l'UE, chacun transposant NIS2 avec ses propres nuances locales

Une incertitude de périmètre démultipliée d'un pays à l'autre

De nombreuses organisations ignorent encore si elles sont classées comme « essentielles » ou « importantes », alors que cette distinction modifie directement les obligations applicables. Pour les groupes opérant dans plusieurs États membres de l'UE, la transposition nationale de chaque pays peut ajouter des seuils, des autorités de notification et des règles sectorielles spécifiques. Une stratégie de conformité unique ne peut pas fonctionner lorsque les règles varient d'une juridiction à l'autre.

Résultat : sans visibilité centralisée, certaines filiales passent à travers les mailles du filet.

Sur la base des définitions de périmètre de la directive (UE) 2022/2555, articles 2 à 3

10+
Mesures minimales de gestion des risques imposées par l'article 21

Une ampleur opérationnelle qui dépasse largement la sécurité informatique

L'article 21 de NIS2 énumère au moins 10 mesures minimales de gestion des risques couvrant la gouvernance, la sécurité de la chaîne d'approvisionnement, la continuité des activités, la gestion de crise, le contrôle d'accès, la cryptographie et la formation du personnel. La plupart des organisations sous-estiment cette portée opérationnelle parce qu'elles considèrent NIS2 comme une directive « de cybersécurité ». Elle s'apparente davantage à un cadre de résilience global, et exige une coordination transversale entre l'informatique, le juridique, les achats et la direction générale.

Résultat : la conformité exige de coordonner 4 à 6 départements, et pas seulement l'équipe de sécurité.

Directive NIS2, article 21, paragraphe 2, mesures (a) à (j)

24h
Délai maximum pour l'alerte précoce après la détection d'un incident important

Des sanctions qui touchent le bilan, et le conseil d'administration

Les sanctions NIS2 atteignent jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % pour les entités importantes. Mais le véritable tournant, c'est la responsabilité personnelle : les organes de direction peuvent être tenus individuellement responsables des défaillances dans la supervision de la gestion des risques de cybersécurité. Lorsqu'un incident survient, les organisations doivent émettre une alerte précoce dans les 24 heures, une notification complète dans les 72 heures et un rapport final détaillé dans le mois.

Résultat : la direction ne peut pas déléguer la responsabilité NIS2, elle est personnelle par nature.

Directive NIS2, articles 23 et 34 ; cadre des sanctions selon les articles 34 à 36

200+
Heures économisées sur la gestion du registre des traitements

Medtec a économisé plus de 200 heures dans la préparation de sa certification ISO 27001 grâce aux flux de travail automatisés du registre des traitements de Priverion, sur les 12 premiers mois

60%
De coûts en moins par rapport à OneTrust

Un constructeur aéronautique a réalisé une réduction de 60 % de ses coûts administratifs de conformité, avec une tarification prévisible fondée sur les entités, sans les pièges de l'expansion par utilisateur

3 mois
D'avance sur le calendrier ISO 27001

Medtec a atteint l'état de préparation à l'audit trois mois avant le calendrier prévu grâce aux dossiers de preuves intégrés de Priverion

Pourquoi les entreprises changent

Vous n'avez pas besoin de la plus grande plateforme. Vous avez besoin de la bonne.

Les équipes privacy du mid-market nous répètent la même chose : elles ont acheté OneTrust en s'attendant à de la simplicité et se sont retrouvées avec une plateforme conçue pour les budgets et les effectifs des entreprises du Fortune 500. Voici ce que signifie concrètement choisir Priverion.

L'expérience OneTrust

Tarification entreprise, complexité entreprise

Une tarification par module et par utilisateur qui grimpe de façon imprévisible. Les équipes du mid-market finissent par payer pour des fonctionnalités conçues pour des organisations dix fois plus grandes.

Siège aux États-Unis, hébergement aux États-Unis

Dans un monde post-Schrems II, faire transiter des données de conformité par des infrastructures américaines crée précisément le risque de transfert transfrontalier que vous cherchez à maîtriser.

Une mise en œuvre qui s'étale sur des mois

Nécessite des consultants de déploiement dédiés, de longs cycles d'intégration et souvent des intégrateurs externes pour devenir opérationnel.

Surcharge de fonctionnalités

Consentement aux cookies, ESG, lignes d'alerte éthique, autant de fonctionnalités qui détournent l'attention de ce dont les équipes privacy ont réellement besoin au quotidien : registre des traitements, AIPD, risque fournisseurs, gestion des incidents.

Plus de 200 intégrations superficielles

Une immense place de marché d'intégrations où la plupart des connecteurs exigent une configuration lourde et une maintenance continue, la largeur au détriment de la profondeur.

L'expérience Priverion

Une tarification prévisible, adaptée au mid-market

Une tarification fondée sur le nombre d'entreprises et la taille de l'organisation, et non par utilisateur ou par module. Aucun piège d'expansion. Votre directeur financier peut enfin prévoir les coûts de conformité.

Conçu en Suisse, hébergé en Suisse

Résidence européenne des données par défaut. Tous les traitements de données ont lieu sur des infrastructures suisses, la juridiction de protection des données la plus stricte hors UE, reconnue comme adéquate par la Commission européenne.

Opérationnel en quelques semaines, pas en quelques mois

Un constructeur aéronautique a constaté une réduction de 60 % de son temps administratif de conformité au cours de ses 6 premiers mois. Aucun consultant externe requis pour démarrer.

Étude de cas d'un constructeur aéronautique, 6 premiers mois après le déploiement

Pensé spécifiquement pour les équipes privacy

Registre des traitements, AIPD, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, registre IA, tout ce dont un DPD a besoin sur plusieurs entités. Nous ne couvrons ni l'ESG ni le consentement aux cookies, car ce n'est pas sur cela que repose votre programme privacy.

Des intégrations approfondies là où elles comptent

Nous nous intégrons en profondeur aux systèmes RH, d'achats et de gestion des actifs informatiques, les flux qui font réellement avancer la conformité en matière de protection des données. Pas 200 connecteurs superficiels qui génèrent une charge de maintenance.

Exigences de conformité NIS2 : 11 catégories, plus de 40 actions

Passez en revue chaque catégorie pour identifier vos lacunes. Chaque élément correspond à une obligation NIS2 précise, sans remplissage ni superflu. Pour les organisations multi-entités, évaluez chaque filiale de manière indépendante.

01 / 11

Périmètre et classification des entités

Référence : directive NIS2, articles 2 à 3, annexes I et II

  • Déterminer si votre organisation est qualifiée d'entité « essentielle » ou « importante » sur la base du secteur, de la taille et des seuils de criticité
  • Cartographier toutes les filiales et entités affiliées dans les États membres de l'UE et évaluer l'applicabilité de NIS2 pour chaque entité de manière indépendante
  • Identifier l'autorité nationale compétente et le point de contact unique (SPOC) dans chaque État membre concerné
  • S'enregistrer auprès du CSIRT et/ou de l'autorité compétente concernés, comme l'exige la transposition nationale
02 / 11

Gouvernance et responsabilité des organes de direction

Référence : directive NIS2, article 20

  • Veiller à ce que les organes de direction approuvent formellement les mesures de gestion des risques de cybersécurité et en supervisent la mise en œuvre
  • Mettre en place une formation obligatoire à la cybersécurité pour tous les membres de l'organe de direction
  • Documenter le cadre de responsabilité personnelle des membres de l'organe de direction en cas de manquements à la conformité
  • Définir une cadence de reporting au niveau du conseil sur la posture de risque de cybersécurité (trimestrielle au minimum recommandée)
03 / 11

Politiques et cadre de gestion des risques

Référence : directive NIS2, article 21, paragraphe 1

  • Adopter une politique complète d'analyse des risques et de sécurité des systèmes d'information couvrant l'ensemble des réseaux et systèmes d'information
  • Mettre en œuvre une méthodologie d'évaluation des risques qui traite les risques techniques, opérationnels et organisationnels, proportionnée au paysage des menaces
  • Planifier des évaluations des risques récurrentes, au minimum chaque année et après tout changement ou incident important
  • Documenter les critères d'acceptation des risques et les procédures d'escalade pour les risques résiduels dépassant les seuils
04 / 11

Gestion et notification des incidents

Référence : directive NIS2, articles 23 et 30

  • Établir des procédures documentées de détection, de classification et d'escalade des incidents
  • Configurer les systèmes et les processus pour transmettre une alerte précoce au CSIRT compétent dans les 24 heures suivant la détection d'un incident important
  • Préparer des modèles et des flux de travail pour la notification complète de l'incident dans les 72 heures suivant l'alerte précoce
  • Définir le processus de soumission d'un rapport final détaillé (ou d'un rapport intermédiaire) dans le mois suivant la notification de l'incident
  • Tester les procédures de réponse aux incidents au moyen d'exercices sur table au moins une fois par an
05 / 11

Continuité des activités et gestion de crise

Référence : directive NIS2, article 21, paragraphe 2, point c)

  • Élaborer et maintenir des plans de continuité des activités couvrant les réseaux et systèmes d'information critiques
  • Mettre en œuvre des procédures de gestion des sauvegardes, y compris des stratégies de sauvegarde hors site et immuables
  • Définir des objectifs de reprise après sinistre (RTO et RPO) pour tous les systèmes critiques et les valider par des tests
  • Mettre en place une gouvernance de gestion de crise, incluant les chaînes d'escalade, les plans de communication et l'autorité de décision
06 / 11

Sécurité de la chaîne d'approvisionnement et des tiers

Référence : directive NIS2, article 21, paragraphe 2, point d)

  • Mener des évaluations des risques de sécurité de tous les fournisseurs directs et prestataires de services ayant accès à votre réseau, vos systèmes ou vos données
  • Inclure des exigences de cybersécurité dans les contrats d'achat, y compris les obligations de notification d'incident, les droits d'audit et les normes de sécurité
  • Évaluer et documenter les vulnérabilités spécifiques de chaque fournisseur direct ainsi que la qualité globale de ses pratiques de cybersécurité
  • Surveiller le risque de la chaîne d'approvisionnement en continu, et pas seulement lors de l'intégration, et établir une cadence de recertification
07 / 11

Sécurité des réseaux et des systèmes d'information

Référence : directive NIS2, article 21, paragraphe 2, points a) et e)

  • Mettre en œuvre des mesures de sécurité pour l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, y compris le traitement et la divulgation des vulnérabilités
  • Déployer des politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques de cybersécurité (p. ex. tests d'intrusion, audits de sécurité)
  • Mettre en œuvre la segmentation du réseau, la détection des intrusions et la protection des terminaux, proportionnées au risque
08 / 11

Cryptographie et chiffrement

Référence : directive NIS2, article 21, paragraphe 2, point h)

  • Définir et mettre en œuvre des politiques relatives à l'usage de la cryptographie, y compris le chiffrement au repos et en transit des données sensibles
  • Établir des procédures de gestion des clés, incluant la génération, la distribution, le stockage, la rotation et la révocation
  • Le cas échéant, mettre en œuvre un chiffrement de bout en bout ou d'autres mesures pour protéger la confidentialité des communications
09 / 11

Contrôle d'accès et authentification

Référence : directive NIS2, article 21, paragraphe 2, points i) et j)

  • Mettre en œuvre des politiques de sécurité des ressources humaines, incluant les vérifications d'antécédents, les accès fondés sur les rôles et les procédures de départ
  • Déployer l'authentification multifacteur (MFA) ou des solutions d'authentification continue pour tous les accès privilégiés et distants
  • Établir et maintenir des politiques de gestion des actifs et de contrôle d'accès garantissant les principes du moindre privilège
  • Mettre en œuvre des systèmes de communication d'urgence sécurisés (voix, messagerie, vidéo) avec authentification
10 / 11

Cyberhygiène et formation

Référence : directive NIS2, article 21, paragraphe 2, point g)

  • Mettre en œuvre des pratiques de base en matière de cyberhygiène auprès de l'ensemble du personnel, incluant les politiques de mots de passe, la sensibilisation au hameçonnage et l'usage sécurisé des appareils
  • Dispenser une formation à la cybersécurité adaptée aux rôles, dès l'intégration et de manière récurrente (au minimum chaque année)
  • Suivre les taux d'achèvement des formations et les scores d'évaluation en tant que preuves auditables
  • Veiller à ce que les membres de l'organe de direction suivent la formation à la cybersécurité imposée par l'article 20, paragraphe 2
11 / 11

Documentation de conformité et préparation aux audits

Référence : directive NIS2, articles 32 à 33 (surveillance et application)

  • Maintenir une documentation complète de toutes les mesures de gestion des risques, politiques et procédures dans un format prêt pour l'audit
  • Préparer des dossiers de preuves pour les inspections des autorités de surveillance, incluant les évaluations des risques, les journaux d'incidents, les registres de formation et les évaluations des fournisseurs
  • Établir des mécanismes d'audit ou d'examen interne pour vérifier l'efficacité des mesures mises en œuvre
  • Pour les groupes multi-entités : déployer des tableaux de bord de conformité centralisés offrant une visibilité à l'échelle du groupe tout en conservant une documentation par entité
  • Suivre l'évolution de la transposition nationale dans chaque État membre où vous opérez et adapter vos mesures de conformité en conséquence

Obtenez la checklist NIS2 complète au format PDF

Les 11 catégories d'exigences et plus de 40 actions dans un format imprimable que vous pouvez partager avec votre équipe, votre conseil ou votre auditeur. Aucun argumentaire commercial, juste la checklist.

Nous vous enverrons le PDF dans votre boîte de réception. Pas de spam, pas de séquences. Vos données restent en Suisse. Consultez notre politique de confidentialité.

Le PDF comprend :

  • Les 11 catégories d'exigences NIS2 avec les références aux articles
  • Plus de 40 actions individuelles présentées sous forme de checklist à suivre
  • Des conseils d'évaluation multi-entités pour une conformité à l'échelle du groupe
  • Une correspondance directe avec les articles et annexes de la directive NIS2

Cessez de gérer la confidentialité dans des tableurs

Récupérez vos vendredis après-midi

Découvrez comment Priverion automatise la recertification du registre des traitements, les flux d'AIPD et les évaluations du risque fournisseurs sur l'ensemble de vos filiales, avec toutes les données hébergées en Suisse. En 30 minutes, nous passerons en revue vos enjeux multi-entités spécifiques et vous montrerons à quoi ressemble vraiment « opérationnel en quelques semaines ».

60%
de temps administratif de conformité en moins

Constructeur aéronautique, 6 premiers mois

200+
heures économisées sur la préparation aux audits

Medtec, préparation à l'ISO 27001

100%
de recertification du registre des traitements automatisée

AXA, entièrement automatisé

Réservez une démonstration de 30 minutes

Aucun engagement requis. Nous nous concentrerons sur vos enjeux multi-entités, pas sur un script de démonstration générique.

Une tarification prévisible fondée sur le nombre et la taille des entreprises, sans surprises par utilisateur ou par module.

The Privacy Compliance Briefing

Des analyses mensuelles sur l'application du RGPD, les évolutions de la nLPD et les stratégies d'automatisation pour les DPD et les équipes de conformité.

Pas de spam. Désabonnement à tout moment.