Checklist NIS2 pour PME : 20 Actions pour Se Mettre en Conformité
En résumé
- 20 actions concrètes classées en 4 phases sur 12 mois
- Budget estimé : 30 000 à 130 000 € la première année pour une PME
- 10 documents obligatoires à constituer pour les contrôles ANSSI
- Meldis vous accompagne dans votre mise en conformité NIS2
Votre PME est concernée par la directive NIS2 et vous cherchez un plan d’action concret ? L’article 21 de la directive impose 10 mesures minimales de cybersécurité, mais entre le texte réglementaire et la mise en pratique, le fossé est large. Cette checklist NIS2 traduit les obligations en 20 actions concrètes, classées par niveau de priorité. Pour chaque action : le niveau d’effort, le budget estimé et le délai recommandé. L’objectif : avancer méthodiquement, sans gaspiller de ressources sur des actions secondaires avant d’avoir traité l’essentiel.
Besoin d'un accompagnement structuré ?
Meldis aide les PME d’Occitanie à planifier et exécuter leur mise en conformité NIS2 étape par étape. Demandez votre diagnostic d’écart NIS2.
Étape préalable : vérifiez si vous êtes concerné par NIS2
Avant de lancer un chantier de conformité, confirmez que votre entreprise entre dans le périmètre NIS2. La directive vise les entités remplissant ces critères :
- Secteur : activité dans l’un des 18 secteurs couverts par NIS2 (énergie, santé, transports, numérique, agroalimentaire, industrie chimique, etc.).
- Taille : plus de 50 salariés ou plus de 10 millions d’euros de chiffre d’affaires.
- Statut : entité essentielle (EE) ou entité importante (EI), selon le secteur et la taille. Consultez notre page qui est concerné par NIS2 pour les critères détaillés.
Utilisez le simulateur officiel MonEspaceNIS2 de l’ANSSI pour vérifier gratuitement votre statut. Si vous êtes concerné, notre page conformité NIS2 vous aide à structurer votre démarche. Passez ensuite aux 20 actions ci-dessous.
Actions critiques : checklist NIS2 à traiter immédiatement
Ces 5 premières actions constituent le socle de votre conformité NIS2. Sans elles, rien de solide ne peut être construit.
1. Désigner un responsable cybersécurité
Nommez un référent interne chargé de piloter la mise en conformité NIS2. Ce peut être votre responsable IT, un RSSI externalisé ou un membre de la direction sensibilisé. Cette personne sera l’interlocuteur de l’ANSSI en cas de contrôle.
- Effort : faible
- Budget : 0 € (interne) à 1 000-2 000 €/mois (RSSI externalisé)
- Délai : immédiat
2. Réaliser un diagnostic de sécurité
Évaluez votre posture de sécurité actuelle par rapport aux 10 mesures de l’article 21. Un audit de sécurité informatique identifie les écarts entre votre situation et les exigences NIS2. Ce diagnostic est le point de départ de votre plan d’action.
- Effort : moyen
- Budget : 3 000 - 8 000 € (le Diagnostic Cybersécurité Bpifrance peut cofinancer jusqu’à 50 %, sous conditions d’éligibilité)
- Délai : 1 à 3 semaines
3. Cartographier vos actifs critiques
Identifiez et documentez les systèmes, applications, données et services dont l’interruption impacterait votre activité. Cette cartographie est le fondement de votre analyse des risques.
- Effort : moyen
- Budget : 0 € (interne) à 5 000 € (accompagné)
- Délai : 2 à 4 semaines
4. Former les dirigeants à la cybersécurité
L’article 20 de NIS2 impose aux organes de direction d’approuver les mesures de cybersécurité et de suivre une formation spécifique. Les dirigeants doivent comprendre les risques, les obligations et leur responsabilité personnelle.
- Effort : faible
- Budget : 500 - 2 000 € par personne
- Délai : 1 journée de formation
5. Déployer l’authentification multifacteur (MFA)
L’article 21 cite explicitement le MFA. Activez-le sur tous les accès critiques : messagerie, VPN, applications métier, accès administrateur, portails cloud. C’est la mesure technique au meilleur rapport coût/efficacité.
- Effort : moyen
- Budget : 3 - 8 €/utilisateur/mois (selon la solution)
- Délai : 2 à 4 semaines de déploiement
Actions prioritaires NIS2 : dans les 3 premiers mois
Ces 5 actions complètent le socle critique et structurent votre gouvernance.
6. Rédiger une politique de sécurité (PSSI)
Formalisez votre politique de sécurité des systèmes d’information. Ce document cadre définit les règles de sécurité applicables à l’entreprise : gestion des accès, classification des données, utilisation des équipements, télétravail.
- Effort : moyen
- Budget : 2 000 - 5 000 € (accompagné)
- Délai : 2 à 4 semaines
7. Mettre en place une procédure de notification d’incident
NIS2 impose une notification en trois temps auprès de l’ANSSI :
- Alerte précoce sous 24 heures.
- Notification détaillée sous 72 heures.
- Rapport final sous 1 mois.
Documentez qui déclenche l’alerte, qui rédige le rapport, par quel canal et avec quelles informations. Testez la procédure avec un exercice simulé.
- Effort : moyen
- Budget : 1 000 - 3 000 €
- Délai : 2 semaines
8. Conduire une analyse des risques formelle
Identifiez les menaces, évaluez leur probabilité et leur impact, et priorisez les mesures de traitement. Utilisez une méthodologie reconnue (EBIOS RM recommandée par l’ANSSI, ou ISO 27005). Documentez les résultats et les décisions de traitement.
- Effort : élevé
- Budget : 5 000 - 15 000 €
- Délai : 3 à 6 semaines
9. Sécuriser les sauvegardes (règle 3-2-1)
Appliquez la règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site. Chiffrez les sauvegardes. Testez la restauration au moins une fois par trimestre. Un ransomware ne laisse pas de seconde chance.
- Effort : moyen
- Budget : 2 000 - 8 000 €/an (stockage + outil)
- Délai : 2 à 4 semaines
10. Évaluer la sécurité de vos fournisseurs critiques
NIS2 exige d’évaluer les risques liés à votre chaîne d’approvisionnement. Identifiez vos fournisseurs critiques (hébergeur, éditeur ERP, prestataire IT, fournisseur cloud). Évaluez leur niveau de sécurité et intégrez des clauses cybersécurité dans vos contrats.
- Effort : moyen
- Budget : 0 € (questionnaire interne) à 5 000 € (audit fournisseur)
- Délai : 4 à 8 semaines
Actions importantes pour la conformité NIS2 : dans les 6 premiers mois
Ces actions renforcent votre posture et couvrent les exigences techniques de l’article 21.
11. Mettre en place un plan de continuité d’activité (PCA/PRA)
Documentez comment votre entreprise maintient ses fonctions critiques en cas d’incident (cyberattaque, panne, sinistre). Définissez les objectifs de temps de reprise (RTO) et de perte de données (RPO) pour chaque service critique.
- Effort : élevé
- Budget : 5 000 - 15 000 €
- Délai : 4 à 8 semaines
12. Déployer un outil de supervision de sécurité
Mettez en place une surveillance de votre SI : antivirus/EDR sur tous les postes, supervision réseau, centralisation des logs. Pour les PME, un SOC externalisé offre une surveillance 24/7 sans les coûts d’une équipe interne.
- Effort : moyen à élevé
- Budget : 5 000 - 15 000 €/an
- Délai : 2 à 6 semaines
13. Chiffrer les données sensibles
Identifiez les données sensibles (données personnelles, propriété intellectuelle, données métier critiques) et appliquez un chiffrement adapté : au repos (disques, bases de données) et en transit (TLS, VPN). L’article 21 mentionne explicitement les politiques de cryptographie.
- Effort : moyen
- Budget : 1 000 - 5 000 €
- Délai : 2 à 4 semaines
14. Sensibiliser l’ensemble du personnel
Organisez des sessions de sensibilisation cybersécurité pour tous les collaborateurs. Incluez des exercices pratiques (simulation de phishing, bonnes pratiques mots de passe). NIS2 exige des pratiques de cyberhygiène et une formation régulière.
- Effort : moyen
- Budget : 2 000 - 5 000 €/an
- Délai : sessions trimestrielles
15. Durcir la gestion des accès
Appliquez le principe du moindre privilège : chaque utilisateur n’accède qu’aux ressources nécessaires à son travail. Revoyez les droits d’accès au moins une fois par semestre. Désactivez les comptes inactifs. Imposez des mots de passe robustes ou passkeys en complément du MFA.
- Effort : moyen
- Budget : 0 - 3 000 €
- Délai : 2 à 4 semaines
Actions de consolidation NIS2 : 6 à 12 mois
Ces dernières actions complètent votre dispositif et vous préparent aux contrôles.
16. Sécuriser le développement et la maintenance des SI
Si vous développez des applications internes ou des produits logiciels, intégrez la sécurité dans le cycle de développement : revues de code, tests de sécurité (SAST/DAST), gestion des vulnérabilités des dépendances.
- Effort : moyen à élevé
- Budget : 3 000 - 10 000 €/an
- Délai : continu
17. Tester votre sécurité avec un pentest
Un test d’intrusion valide l’efficacité de vos mesures en conditions réelles. NIS2 exige d’évaluer l’efficacité des mesures mises en place. Le pentest apporte une preuve tangible pour les contrôles de l’ANSSI.
- Effort : moyen
- Budget : 5 000 - 15 000 € selon le périmètre
- Délai : 1 à 2 semaines (exécution)
18. Conduire un exercice de gestion de crise
Simulez un incident de sécurité (ransomware, fuite de données) pour tester vos procédures : notification ANSSI en 24h, communication interne et externe, activation du PCA, restauration des sauvegardes. Documentez les enseignements et corrigez les faiblesses.
- Effort : moyen
- Budget : 2 000 - 5 000 €
- Délai : 1 journée (exercice) + 1 semaine (retex)
19. Mettre en place un processus d’amélioration continue
NIS2 n’est pas une conformité ponctuelle. Planifiez des revues trimestrielles de votre posture de sécurité : suivi des indicateurs, mise à jour de l’analyse des risques, revue des incidents, ajustement des mesures.
- Effort : moyen
- Budget : intégré au fonctionnement
- Délai : continu
20. Préparer la documentation pour les contrôles
Constituez un dossier de conformité centralisé comprenant :
- Politique de sécurité (PSSI)
- Analyse des risques et plan de traitement
- Procédures de notification d’incident
- PCA/PRA
- Preuves de formation (dirigeants + collaborateurs)
- Rapports de tests (pentest, exercice de crise)
- Évaluations fournisseurs
- Registre des incidents
Ce dossier sera votre meilleur allié lors d’un contrôle de l’ANSSI.
- Effort : moyen
- Budget : 0 € (compilation)
- Délai : continu (alimenté au fil des actions)
Timeline de mise en conformité NIS2 pour PME
Voici un calendrier réaliste pour une PME de 50 à 250 salariés partant d’un niveau de maturité faible à moyen.
| Phase | Période | Actions | Budget estimé |
|---|---|---|---|
| Phase 1 — Fondations | Mois 1-2 | Actions 1 à 5 (diagnostic, cartographie, MFA, formation dirigeants) | 5 000 - 15 000 € |
| Phase 2 — Gouvernance | Mois 2-4 | Actions 6 à 10 (PSSI, notification, analyse risques, sauvegardes, fournisseurs) | 10 000 - 30 000 € |
| Phase 3 — Renforcement | Mois 4-8 | Actions 11 à 15 (PCA, supervision, chiffrement, sensibilisation, accès) | 13 000 - 40 000 € |
| Phase 4 — Consolidation | Mois 8-12 | Actions 16 à 20 (dev sécurisé, pentest, exercice, amélioration, documentation) | 10 000 - 30 000 € |
| Total | 12 mois | 20 actions | 30 000 - 130 000 € |
Le budget total est cohérent avec les estimations marché de 30 000 à 130 000 € la première année pour une PME de 50 à 250 salariés. Pour une estimation détaillée par poste de dépenses, consultez notre guide pour estimer le budget de mise en conformité NIS2. Ces estimations s’entendent hors aides publiques. Le Diagnostic Cybersécurité Bpifrance peut cofinancer le diagnostic initial (sous conditions d’éligibilité). Des dispositifs régionaux peuvent aussi réduire la facture.
Documents NIS2 obligatoires : récapitulatif
| Document | Obligatoire | Lié à l'action |
|---|---|---|
| Politique de sécurité (PSSI) | Oui | Action 6 |
| Analyse des risques | Oui | Action 8 |
| Procédure de notification d'incident | Oui | Action 7 |
| Plan de continuité d'activité (PCA/PRA) | Oui | Action 11 |
| Registre des incidents | Oui | Action 7 |
| Preuves de formation dirigeants | Oui | Action 4 |
| Plan de sensibilisation personnel | Oui | Action 14 |
| Évaluations fournisseurs | Oui | Action 10 |
| Politique de contrôle d'accès | Oui | Action 15 |
| Politique de cryptographie | Oui | Action 13 |
| Rapport de pentest | Recommandé | Action 17 |
| Compte-rendu exercice de crise | Recommandé | Action 18 |
FAQ : checklist NIS2 pour PME
Questions Fréquentes
Par où commencer la mise en conformité NIS2 ?
Par le diagnostic. Évaluez votre posture de sécurité actuelle par rapport aux 10 mesures de l'article 21. Un audit d'écart identifie les lacunes et permet de construire un plan d'action priorisé. En parallèle, désignez un responsable cybersécurité et formez vos dirigeants.
Combien de temps faut-il pour se mettre en conformité NIS2 ?
Pour une PME partant d'un niveau de maturité faible à moyen, comptez 9 à 12 mois. Les actions critiques (diagnostic, MFA, formation) se traitent en 1 à 2 mois. La gouvernance et les mesures techniques nécessitent 3 à 6 mois supplémentaires. La consolidation (pentest, exercice de crise, documentation) prend 2 à 4 mois.
Quel budget prévoir pour la conformité NIS2 d'une PME ?
Le budget se situe entre 30 000 et 130 000 € la première année selon la taille et la maturité de l'entreprise. Des aides publiques (Bpifrance, dispositifs régionaux) peuvent réduire la facture. Commencez par les actions à fort impact et faible coût (MFA, sensibilisation) pour maximiser le retour sur investissement.
Quels documents sont obligatoires pour NIS2 ?
Les documents clés : politique de sécurité (PSSI), analyse des risques, procédure de notification d'incident, plan de continuité d'activité (PCA/PRA), registre des incidents, preuves de formation des dirigeants, plan de sensibilisation, évaluations fournisseurs, politiques de contrôle d'accès et de cryptographie.
La checklist NIS2 est-elle la même pour les entités essentielles et importantes ?
Les 20 actions s'appliquent aux deux catégories. La différence réside dans le niveau d'exigence : les entités essentielles (EE) font l'objet de contrôles proactifs de l'ANSSI, tandis que les entités importantes (EI) sont contrôlées de manière réactive. Les EE doivent aussi se préparer à des audits plus approfondis et des sanctions plus lourdes (10 M€ ou 2 % du CA vs 7 M€ ou 1,4 % du CA).
Besoin d’un accompagnement pour structurer votre mise en conformité NIS2 ? Meldis accompagne les PME d’Occitanie avec une approche progressive et budgétisée. Demandez votre diagnostic d’écart NIS2.