Première étape critique : déterminer si l'entité est concernée par NIS2. Le réflexe « on est petits, on n'est pas concernés » est l'erreur la plus fréquente — l'auto-évaluation doit être faite rigoureusement et documentée.

Critère taille (au moins l'un des deux) :

• ≥ 50 salariés ETP (équivalent temps plein).
• ≥ 10 M€ de CA annuel OU ≥ 10 M€ de total de bilan.

Critère secteur : opérer dans l'un des secteurs des annexes I (entités essentielles) ou II (entités importantes). Quelques exemples concrets fréquents :

• Entreprise de plasturgie 80 salariés, fournisseur automobile → entité importante (annexe II, fabrication automobile).
• PME alimentaire 60 salariés → entité importante (annexe II, production agroalimentaire).
• Cabinet d'expertise comptable 90 salariés → généralement non concerné (sauf si gère des services « critiques »).
• SSII 200 salariés → potentiellement entité importante si elle est fournisseur numérique au sens annexe II.
• Hôpital privé 300 salariés → entité essentielle (annexe I, santé).

Documentation de l'auto-évaluation :

• Note interne signée par le dirigeant motivant la décision.
• Référence à l'annexe applicable.
• Calcul détaillé des seuils (effectif ETP, CA, bilan).
• Description de l'activité justifiant le rattachement à un secteur.

Déclaration à l'ANSSI : le dispositif et le calendrier de déclaration sont fixés par les décrets d'application de la loi REIA. À surveiller en 2025-2026 — l'ANSSI publie progressivement les modalités sur son site (cyber.gouv.fr).

L'analyse de risque est la pierre angulaire de NIS2. C'est elle qui justifie le niveau et la nature des mesures déployées. NIS2 demande une analyse documentée, proportionnée et mise à jour régulièrement.

En France, la méthode de référence est EBIOS Risk Manager (RM), publiée par l'ANSSI en 2018, mise à jour 2022. Elle est compatible avec les normes ISO 27005 et IEC 62443-3-2.

EBIOS RM en 5 ateliers :

1. Cadrage et socle de sécurité : périmètre, valeurs métier, biens supports, écosystème, conformité réglementaire, état socle.
2. Sources de risque et objectifs visés : qui peut nous attaquer, pour quoi faire (matrice SROV — Sources de Risque / Objectifs Visés).
3. Scénarios stratégiques : chemins d'attaque écosystémiques, parties prenantes critiques.
4. Scénarios opérationnels : modes opératoires techniques détaillés.
5. Traitement du risque : plan de traitement, mesures de sécurité, risque résiduel.

Spécificités OT à intégrer dans l'analyse :

• Valeurs métier OT : production, sûreté humaine et environnementale, conformité (HACCP, ATEX, GMP, etc.), continuité.
• Biens supports : automates, SCADA, DCS, RTU, SIS, SCADA cloud, IIoT.
• Sources de risque spécifiques OT : APT, ransomware, insiders, sabotage industriel, espionnage technologique.
• Scénarios opérationnels OT : prise de contrôle d'un automate, manipulation des SIS, ransomware sur Historian, déni de service sur SCADA, vol de programme automate.
• Conséquences : accident humain, environnemental, pertes de production, image, conformité, juridique.

L'analyse de risque doit aboutir à une cartographie des risques avec hiérarchisation (matrice probabilité × impact), validée par la direction, qui sert de base au programme de remédiation.

Le régime de sanctions NIS2 est calqué sur le RGPD — c'est ce qui en fait la nouveauté la plus dissuasive par rapport à NIS1.

Point capital : la responsabilité personnelle des dirigeants. L'article 20 de NIS2 impose explicitement que l'organe de direction (conseil d'administration, comité de direction) approuve les mesures de gestion des risques et en supervise l'application. En cas de manquement grave, ils peuvent être :

• Suspendus temporairement de leurs fonctions (entités essentielles).
• Tenus personnellement responsables (action civile, action en responsabilité).
• Soumis à formation obligatoire dans certains cas.

Cette dimension change la donne en COMEX : la cybersécurité n'est plus une affaire de RSSI, mais un sujet auquel le PDG est exposé personnellement. Cela explique l'accélération des investissements cyber 2024-2026 dans les ETI industrielles françaises.

« Le passage de NIS1 à NIS2 ressemble à celui de la directive 95/46 au RGPD. Tant que les sanctions étaient symboliques, les programmes cyber restaient sous-financés. Avec NIS2, l'argument économique est inversé : ne pas se conformer coûte plus cher que se conformer. »

— Wavestone, observatoire NIS2 2024

Une mise en conformité NIS2 OT réussie repose sur une gouvernance claire. Le modèle recommandé :

• Sponsor exécutif : un membre du COMEX (DG ou DGA), avec responsabilité explicite. Article 20 NIS2 oblige.
• Comité cybersécurité OT trimestriel : sponsor + RSSI + DSI + directeur industriel + directeur HSE + responsable conformité. Décisions stratégiques et arbitrages budgétaires.
• RSSI ou OT Security Officer : opérationnel quotidien. Profil rare combinant cyber et automatisme.
• Comité opérationnel mensuel : RSSI + équipes IT + équipes OT + sites pilotes. Suivi du plan.
• Référents cyber locaux par site : 1 contact unique sur chaque usine, idéalement en interne (responsable automatismes, conducteur de travaux QHSE) plutôt que sous-traité.

Matrice RACI minimale pour les activités clés NIS2 OT :

• Analyse de risque : R = RSSI ; A = COMEX cyber ; C = direction industrielle ; I = ANSSI.
• Programme de mise en conformité : R = RSSI ; A = COMEX cyber ; C = directions métiers ; I = COMEX général.
• Détection et alerte : R = SOC ; A = RSSI ; C = production, RH, juridique ; I = COMEX, ANSSI.
• Réponse à incident OT : R = SOC + équipe IR ; A = RSSI ou directeur industriel selon contexte ; C = juridique, RH, com ; I = COMEX, ANSSI, assurance.
• Audits annuels : R = audit interne ou prestataire externe ; A = COMEX cyber ; C = RSSI ; I = COMEX général.

Indicateurs de pilotage (KPI) à présenter trimestriellement au COMEX :

• % d'actifs OT inventoriés et caractérisés.
• % de sites couverts par segmentation conforme.
• % de comptes admin OT avec MFA.
• Nombre d'incidents détectés / traités / délais de résolution.
• Couverture des 10 mesures NIS2 (en % de complétude).
• Taux d'achèvement du programme global et budget consommé.
• Résultat des exercices de crise.