NIS2 : Guide Pratique de Mise en Conformite pour les ETI

NIS2 s'applique aux entites essentielles (energie, transport, sante, banque, infrastructure digitale) et aux entites importantes (fabrication, gestion des dechets, services postaux, chimie, agroalimentaire, et surtout — les fournisseurs de services numeriques). Le critere est simple : plus de 50 salaries OU plus de 10M de CA, dans l'un de ces secteurs. Attention : la chaine de sous-traitance est egalement concernee.

1. Analyse de risques et politique de securite du SI. 2. Gestion des incidents (detection, reponse, notification sous 24h). 3. Continuite d'activite et gestion de crise. 4. Securite de la chaine d'approvisionnement. 5. Securite dans l'acquisition et le developpement de systemes. 6. Evaluation de l'efficacite des mesures de securite. 7. Pratiques de cyberhygiene et formation. 8. Cryptographie et chiffrement. 9. Securite des ressources humaines et controle d'acces. 10. Authentification multi-facteur et communication securisee.

Mois 1-2 : Gap analysis — evaluation de l'ecart entre l'existant et les exigences NIS2. Cartographie des actifs critiques et analyse de risques (methode EBIOS RM recommandee par l'ANSSI). Mois 3-4 : Remediations prioritaires — mise en place du MFA, durcissement des acces, deploiement d'un SIEM/SOC, procedures de gestion des incidents. Mois 5-6 : Documentation et gouvernance — politiques de securite formalisees, plans de continuite, formation des equipes, et mise en place du reporting reglementaire.