← Retour au blog
CONFORMITÉ NIS2
12 min de lecture
Checklist de conformité NIS2 : 10 étapes que chaque entreprise DACH doit accomplir avant 2027
L'Allemagne, l'Autriche et la Suisse mettent en œuvre NIS2 différemment. Cette checklist spécifique DACH vous donne les 10 étapes exactes avec les exigences par pays, les délais réels et les montants des sanctions.
Pourquoi les entreprises DACH ont besoin d'une checklist NIS2 spécifique
La directive NIS2 de l'UE (2022/2555) devait être transposée avant le 17 octobre 2024. La réalité est différente : le NIS2UmsuCG allemand est encore en cours d'examen parlementaire, l'Autriche a adopté son NISG 2024 mi-2025, et la Suisse a aligné son ISG sur les principes NIS2.
L'application arrive en 2026-2027, avec des amendes allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial.
Étape 1 : Déterminer votre classification NIS2
- Entités essentielles : Énergie, transport, banque, santé, infrastructure numérique (250+ employés OU 50M€+ CA)
- Entités importantes : Services postaux, déchets, chimie, alimentation, fabrication (50+ employés OU 10M€+ CA)
- Vérifier les critères spécifiques à chaque pays DACH
Étape 2 : S'enregistrer auprès de l'autorité nationale
- Allemagne : BSI — enregistrement sous 3 mois
- Autriche : Ministère de l'Intérieur
- Suisse : BACS pour les secteurs d'infrastructure critique
Étape 3 : Établir une gouvernance cybersécurité
- Nommer un RSSI avec ligne hiérarchique directe vers la direction
- Responsabilité de la direction : Article 20 NIS2 — responsabilité personnelle des dirigeants
- §38 NIS2UmsuCG : responsabilité explicite de la Geschäftsleitung
Étape 4 : Mener une évaluation des risques complète
- Évaluation tous risques selon l'Article 21 NIS2
- Utiliser BSI IT-Grundschutz, ISO 27005 ou NIST CSF
- Inclure les risques liés à la chaîne d'approvisionnement
Étape 5 : Mettre en œuvre les mesures de sécurité techniques
- Les 10 sous-exigences de l'Article 21.2 : politiques de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, cryptographie, contrôle d'accès, MFA
Étape 6 : Établir les procédures de signalement d'incidents
- 24 heures : alerte précoce au CSIRT national
- 72 heures : notification d'incident avec évaluation initiale
- 1 mois : rapport final détaillé
Étape 7 : Gestion continue des vulnérabilités
- Scanning continu des vulnérabilités
- SLAs de gestion des correctifs : critiques sous 48h, élevées sous 7 jours
- Scan gratuit KENSAI pour visibilité immédiate
Étape 8 : Sécuriser la chaîne d'approvisionnement
- Inventorier les fournisseurs critiques
- Exigences de cybersécurité dans les contrats
- Demander ISO 27001 aux fournisseurs clés
Étape 9 : Se préparer aux audits
- Entités essentielles : supervision proactive avec audits réguliers
- Entités importantes : supervision réactive
- Amendes : jusqu'à 10M€ ou 2% du CA mondial
Étape 10 : Construire une culture de conformité continue
- Revues de sécurité trimestrielles avec la direction
- Exercices de simulation annuels
- Suivre les KPIs de conformité
N'attendez pas l'application
La fenêtre de conformité se ferme rapidement. Les entreprises qui commencent maintenant auront un chemin structuré vers la conformité.
Commencez votre parcours de conformité NIS2
Découvrez où en est votre organisation. Le scan externe gratuit de KENSAI vérifie votre surface d'attaque par rapport aux exigences NIS2.
Lancer le scan NIS2 gratuit →
Published by KENSAI Research Team · 2026-02-28