Audit NIS2 : Comment Se Préparer (Guide PME 2026)

La directive NIS2 ne se contente pas d’imposer des mesures de sécurité à votre entreprise — elle vous oblige aussi à évaluer régulièrement leur efficacité. Autrement dit : l’audit NIS2 n’est pas une option, c’est une obligation légale inscrite dans le texte même de la directive (Article 21 §1 point f). Sur les quelque 15 000 entités concernées en France (ANSSI), beaucoup n’ont pas encore initié cette démarche — alors que les premiers contrôles sont déjà en cours.

Pourtant, la plupart des PME ne savent pas clairement distinguer deux réalités très différentes : l’audit interne qu’elles doivent conduire elles-mêmes, et les contrôles que l’ANSSI peut déclencher à tout moment. Confondre les deux, c’est risquer de se retrouver démuni face à une supervision qui s’intensifie.

Ce guide vous explique ce qu’est concrètement un audit NIS2, ce qu’il couvre selon votre catégorie (entité essentielle ou importante), et comment vous y préparer en cinq étapes structurées — avec l’appui d’un accompagnement conformité NIS2 si vous souhaitez sécuriser la démarche.

Qu’est-ce qu’un audit NIS2 et pourquoi est-il obligatoire ?

Un audit NIS2 est une évaluation de la conformité de votre organisation aux mesures de sécurité définies par la directive NIS2. Concrètement, il s’agit de vérifier que les politiques, procédures et dispositifs techniques mis en place correspondent bien aux exigences de l’Article 21 de la directive — et qu’ils fonctionnent réellement.

La base légale est explicite. L’Article 21, §1, point f de la directive (UE) 2022/2555 impose aux entités concernées de disposer de « politiques et procédures d’évaluation de l’efficacité des mesures de gestion des risques de cybersécurité ». En clair : vous devez non seulement mettre en place des mesures, mais aussi démontrer qu’elles sont efficaces — et cela de manière régulière.

Audit interne vs supervision ANSSI : deux réalités distinctes

Il est important de bien distinguer deux types d’évaluations :

• L’audit interne de conformité : c’est celui que votre entreprise doit organiser elle-même, proactivement, pour vérifier sa conformité aux exigences NIS2. C’est ce que ce guide vous aide à préparer.
• La supervision externe par l’ANSSI : l’Agence nationale de la sécurité des systèmes d’information (ANSSI) peut déclencher des contrôles sur pièces, des inspections sur place, voire imposer des audits indépendants. Cette supervision est régie par les Articles 32 et 33 de la directive, selon votre catégorie.

Pourquoi agir maintenant ? L’ANSSI est en phase de déploiement des premiers contrôles. Les entités essentielles font l’objet d’une supervision proactive — ce qui signifie que des contrôles peuvent intervenir sans incident préalable ni préavis. Attendre d’être contacté par l’ANSSI pour préparer votre audit serait une erreur stratégique.

Entité essentielle ou importante : quel audit préparer ?

Votre appartenance à la catégorie « entité essentielle » (EE) ou « entité importante » (EI) détermine directement le périmètre de votre audit et le niveau de supervision auquel vous êtes exposé.

Les seuils de classification

Certaines entités sont classées EE indépendamment de leur taille (fournisseurs DNS, registres de noms de domaine de premier niveau, prestataires de services de confiance qualifiés).

Ce que ça change pour l’audit

Pour une entité essentielle, l’audit NIS2 doit couvrir les 20 objectifs de sécurité ANSSI, structurés en domaines : gouvernance, gestion des risques, sécurité des systèmes d’information, continuité, chaîne d’approvisionnement et plus encore. La supervision de l’ANSSI est proactive : elle peut initier un contrôle sans qu’aucun incident ne soit survenu. Les sanctions en cas de manquement peuvent atteindre 10 M€ ou 2 % du chiffre d’affaires annuel mondial (Article 34).

Pour une entité importante, le périmètre se réduit à 15 objectifs de sécurité ANSSI. La supervision de l’ANSSI est réactive : un contrôle ne sera déclenché qu’après un incident ou un signalement. Les sanctions maximales sont fixées à 7 M€ ou 1,4 % du CA annuel mondial (Article 34). La préparation reste néanmoins fortement recommandée — la conformité est attendue dès la transposition définitive.

Les domaines évalués lors d’un audit NIS2 (Article 21)

L’Article 21 de la directive NIS2 liste dix mesures de sécurité que chaque entité concernée doit mettre en œuvre. Ces dix mesures constituent la grille d’évaluation de tout audit NIS2 — qu’il soit interne ou conduit par l’ANSSI.

Voici les dix domaines à couvrir :

1. Analyse des risques et politique de sécurité des SI — Votre organisation a-t-elle formalisé une analyse de risques ? Dispose-t-elle d’une Politique de Sécurité des Systèmes d’Information (PSSI) validée et appliquée ?
2. Gestion des incidents — Les procédures de détection, de réponse et de notification d’incident sont-elles en place et testées ?
3. Continuité des activités — Le Plan de Continuité d’Activité (PCA) et le Plan de Reprise d’Activité (PRA) existent-ils, sont-ils à jour et ont-ils été testés ?
4. Sécurité de la chaîne d’approvisionnement — Les risques liés à vos fournisseurs et prestataires informatiques sont-ils évalués et contractuellement encadrés ?
5. Sécurité dans l’acquisition et la maintenance des SI — Les exigences de sécurité sont-elles intégrées dans les processus d’achat et de développement ?
6. Évaluation de l’efficacité des mesures — C’est le point f, la base légale de l’audit lui-même. Des audits internes réguliers sont-ils organisés ?
7. Cyberhygiène et formation — Votre personnel reçoit-il des formations à la cybersécurité ? Les pratiques de base (mots de passe, phishing, mises à jour) sont-elles appliquées ?
8. Cryptographie — Les données sensibles sont-elles chiffrées en transit et au repos ? Une politique de cryptographie formalisée existe-t-elle ?
9. Sécurité des RH, contrôle d’accès et gestion des actifs — Les droits d’accès sont-ils gérés selon le principe du moindre privilège ? L’inventaire des actifs est-il maintenu ?
10. Authentification multi-facteur (MFA) et communications sécurisées — Le MFA est-il déployé pour les accès critiques ? Les communications administratives sont-elles sécurisées ?

Ces dix mesures forment le socle commun à toutes les entités. Pour les entités essentielles, les 20 objectifs ANSSI les déclinent en exigences plus granulaires — ce sont ces objectifs qui serviront de référentiel lors des inspections ANSSI.

Comment préparer votre audit NIS2 en 5 étapes

La préparation d’un audit NIS2 ne s’improvise pas la veille d’un contrôle. Voici une méthode en cinq étapes, conçue pour les PME qui partent de zéro ou qui veulent structurer leur démarche.

Étape 1 — S’enregistrer sur MonEspaceNIS2

Avant toute chose, votre entité doit être enregistrée sur le portail MonEspaceNIS2 (accessible depuis cyber.gouv.fr). Cet enregistrement est le premier document contrôlé lors d’une inspection ANSSI. Il vous permet de déclarer votre secteur d’activité, votre taille et vos services critiques. Pour vous guider pas à pas dans la procédure, consultez notre guide d’inscription MonEspaceNIS2.

Sans cet enregistrement, vous n’existez pas dans le registre officiel — et cela seul peut constituer un manquement sanctionnable.

Étape 2 — Réaliser un audit de sécurité initial (gap analysis)

La gap analysis — ou analyse d’écart — est le cœur de la préparation. Elle consiste à évaluer votre maturité actuelle sur chacune des dix mesures de l’Article 21 (ou des 20/15 objectifs ANSSI selon votre catégorie), et à identifier les écarts entre votre situation réelle et ce que la directive exige.

Un audit de sécurité informatique structuré produira un inventaire de vos actifs, une cartographie de votre système d’information, et une analyse de risques documentée. Ces livrables constituent le socle documentaire que vous devrez présenter lors de tout contrôle.

Documents à constituer en priorité :

• Inventaire des actifs informatiques
• Cartographie du système d’information (SI)
• Analyse de risques formalisée (méthodologie EBIOS RM ou équivalente)
• PSSI (Politique de Sécurité des Systèmes d’Information)
• Procédures de gestion des incidents (avec délais 24h/72h/1 mois conformes à l’Article 23)

Étape 3 — Construire le plan de remédiation

La gap analysis révèle des écarts. Il faut maintenant les traiter — mais pas tous à la fois. Un bon plan de remédiation priorise les actions selon deux axes : le niveau de risque et l’effort de correction.

Les écarts à fort impact et faible effort (déploiement du MFA, formation des équipes, révision des droits d’accès) s’adressent en priorité. Les chantiers lourds (refonte du PCA/PRA, intégration sécurité dans la chaîne d’approvisionnement) se planifient sur plusieurs mois avec des jalons clairs.

Ce plan doit être documenté, validé, et régulièrement mis à jour. Il devient l’une des preuves de votre démarche proactive lors d’un contrôle ANSSI.

Étape 4 — Impliquer les dirigeants

C’est la dimension la plus souvent négligée. L’Article 20 de la directive NIS2 est explicite : les organes de direction doivent approuver les mesures de cybersécurité, les superviser, et suivre des formations adaptées. La responsabilité personnelle des dirigeants face à NIS2 peut être engagée en cas de manquement — avec, pour les entités essentielles, une possibilité d’interdiction temporaire d’exercice (Article 32 §5).

Concrètement : le plan de remédiation doit être présenté et validé en CODIR. Les dirigeants doivent pouvoir démontrer qu’ils connaissent les enjeux et qu’ils ont pris des décisions éclairées. Un compte rendu de réunion suffit — mais il doit exister.

Étape 5 — Mettre en place des audits internes réguliers

L’Article 21 §1 point f n’impose pas un audit ponctuel, mais une évaluation régulière de l’efficacité des mesures. La conformité NIS2 est un processus continu, pas un projet à date fixe.

Mettez en place un cycle d’audit interne : annuel pour la plupart des entités, plus fréquent pour les domaines à fort risque (gestion des accès, tests de continuité). Chaque audit doit produire un rapport documenté, avec un suivi des actions correctives.

Vous n’avez pas encore réalisé votre gap analysis NIS2 ? Contactez nos experts pour un diagnostic de conformité adapté à votre situation.

Coût et durée d’un audit NIS2 pour une PME

Le coût est souvent la première question — et la première source de blocage. Voici ce que les données du marché indiquent.

Fourchettes indicatives

Les estimations sectorielles situent le coût d’un audit de conformité NIS2 initial pour une PME entre 5 000 et 20 000 €. Cette fourchette large s’explique par plusieurs facteurs :

• La complexité du système d’information : un SI avec une dizaine de serveurs et quelques applications métier ne demande pas le même périmètre d’audit qu’un SI distribué sur plusieurs sites avec des interconnexions cloud.
• La maturité documentaire existante : une entreprise qui dispose déjà d’une PSSI et d’une analyse de risques formalisée réduira significativement le temps de travail — et donc le coût.
• La catégorie EE ou EI : les 20 objectifs ANSSI pour une entité essentielle impliquent un périmètre plus étendu que les 15 objectifs pour une entité importante.
• Le nombre de sites et de prestataires : la sécurité de la chaîne d’approvisionnement implique d’évaluer vos fournisseurs IT, ce qui peut représenter un travail conséquent.

Durée typique

Un audit de conformité NIS2 initial s’étale généralement sur 2 à 6 semaines, selon le périmètre. La phase de gap analysis est la plus intensive ; la production du rapport et du plan de remédiation suivent.

Replacer dans le contexte

Le coût de l’audit doit être mis en perspective avec le budget global de conformité NIS2 — et surtout avec le coût de l’inaction. Selon Hiscox / CPME 2024, le coût moyen d’un incident cybersécurité pour une PME se situe entre 25 000 et 50 000 €. Une sanction ANSSI pour non-conformité peut atteindre bien davantage.

Autrement dit : un audit NIS2 initial à 10 000 € représente au pire 20 à 40 % du coût d’un seul incident — sans compter les sanctions réglementaires, l’atteinte à la réputation et les pertes d’exploitation. Les PME qui investissent dans la conformité en amont réduisent leur exposition globale et renforcent leur position auprès de leurs clients et partenaires, qui exigent de plus en plus des garanties de sécurité dans la chaîne d’approvisionnement.

Pour en savoir plus sur le budget global de mise en conformité NIS2, consultez notre guide dédié.

Vous souhaitez estimer le coût d’un audit NIS2 adapté à votre périmètre ? Demandez un diagnostic préalable — sans engagement.

FAQ — Audit NIS2

L'audit NIS2 est-il obligatoire ?

Oui. L'Article 21 §1 point f de la directive NIS2 impose aux entités essentielles et importantes d'évaluer régulièrement l'efficacité de leurs mesures de sécurité. Cette évaluation prend la forme d'un audit interne de conformité. De plus, l'ANSSI peut imposer des audits externes aux entités essentielles dans le cadre de sa supervision proactive (Art. 32).

Quelle est la différence entre un audit NIS2 pour une entité essentielle et une entité importante ?

Une entité essentielle (plus de 250 salariés ou plus de 50 M€ de CA) doit couvrir 20 objectifs de sécurité ANSSI et peut faire l'objet d'audits imposés par l'ANSSI sans incident préalable (supervision proactive, Art. 32). Une entité importante (50-250 salariés, 10-50 M€ de CA) couvre 15 objectifs et n'est auditée par l'ANSSI qu'après un incident ou signalement (supervision réactive, Art. 33).

Combien coûte un audit NIS2 pour une PME ?

Selon les données du marché, un audit de conformité NIS2 initial (gap analysis) pour une PME se situe entre 5 000 et 20 000 €, selon la complexité du système d'information et le périmètre à couvrir. Ce coût est une ligne du budget global de mise en conformité NIS2, estimé entre 30 000 et 130 000 € la première année pour une PME de 50 à 250 employés.

Que vérifie un audit NIS2 concrètement ?

Un audit NIS2 vérifie la mise en œuvre des 10 mesures de l'Article 21 de la directive : analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des acquisitions, évaluation des mesures, cyberhygiène et formation, cryptographie, gestion des accès et des actifs, authentification multi-facteur (MFA). Pour les entités essentielles, le cadre de référence est les 20 objectifs de sécurité ANSSI.

Conclusion

L’audit NIS2 est une obligation légale, ancrée dans la directive européenne (UE) 2022/2555. Il ne s’agit pas d’une démarche volontaire ou d’un label optionnel — c’est une exigence à laquelle les quelque 15 000 entités concernées en France (ANSSI) doivent répondre.

L’enjeu n’est pas de passer un contrôle ANSSI avec succès — c’est d’être réellement prêt avant qu’il ne soit déclenché. Les entités essentielles, soumises à une supervision proactive, ne peuvent pas se permettre d’attendre. Les entités importantes ont intérêt à se préparer avant tout incident, plutôt qu’après.

Les cinq étapes décrites dans ce guide — enregistrement MonEspaceNIS2, gap analysis, plan de remédiation, implication des dirigeants, cycle d’audits réguliers — constituent une méthode structurée et proportionnée pour les PME françaises.

Basé à Montpellier, Meldis accompagne les PME d’Occitanie dans leur mise en conformité NIS2. Contactez nos experts pour un premier diagnostic adapté à votre situation.