Inspections NIS2 en 2026 : ce que vérifient les auditeurs
Inspections NIS2 en 2026 : ce que les auditeurs vérifient réellement.
Les autorités compétentes commencent à exercer leurs pouvoirs de supervision prévus par NIS2, à mesure que les États membres finalisent leur cadre national. La conversation est passée de « sommes-nous concernés ? » à « pouvons-nous montrer des preuves ? ». Ce guide opérationnel reprend ce que nous voyons sur le terrain : ce que l'autorité demande en premier, les documents à garder prêts et les pièges qui déclenchent un audit approfondi.
NIS2 n'est plus un exercice de planification — c'est un régime d'inspection. La Directive (UE) 2022/2555 est entrée en vigueur en janvier 2023 et la date limite de transposition était le 17 octobre 2024 ; le cadre de supervision décrit aux articles 31–33 est devenu applicable dans chaque État membre via les mesures nationales de transposition. Ce qui passait pour « nous préparons » en 2024 doit désormais devenir « voici les preuves » en 2026.
Ce n'est ni un article juridique (je ne suis pas juriste et ne joue pas à l'être) ni une pièce de marketing par la peur. C'est la check-list opérationnelle que nous parcourons avec nos clients lorsqu'ils ont reçu une notification de leur autorité — ou qu'ils veulent simplement être audit-ready avant qu'elle n'arrive. Si vous cherchez plutôt le panorama « qu'est-ce que NIS2 et comment Wazuh y répond », notre article Conformité NIS2 avec Wazuh couvre ce terrain. Celui-ci porte sur la visite elle-même.
Une inspection NIS2 se concentre sur les preuves, pas sur l'intention. Attendez-vous à ce que l'autorité compétente demande : (1) la politique de sécurité approuvée par l'organe de direction (art. 20), (2) l'analyse de risques, (3) l'inventaire des actifs et fournisseurs, (4) la télémétrie SIEM et la chronologie d'un incident réel montrant les étapes 24h / 72h / 1 mois (art. 23), et (5) les preuves de formation des dirigeants. Documents non datés, MFA absente sur les accès privilégiés ou notifications hors délais : voilà les signaux d'alarme qui déclenchent un audit approfondi.
article 21(2)
article 23
entités essentielles
(art. 34 + transposition nat.)
De la préparation à la preuve
2024, c'était le cadrage. 2025, la construction. 2026, c'est la démonstration. Une fois les lois nationales de transposition entrées en vigueur, le régime de supervision décrit aux articles 31 à 33 de NIS2 est devenu opérationnel. Les autorités compétentes peuvent désormais demander des informations, effectuer des inspections sur site et appliquer les mesures administratives de l'article 32 — y compris, en cas grave pour les entités essentielles, l'interdiction temporaire pour une personne physique d'exercer des fonctions de direction (art. 32.5).
La bonne nouvelle : les critères n'ont pas changé. L'article 21 reste l'article 21. La moins bonne : on ne répond plus « nous mettons en œuvre » avec un sourire. Les inspecteurs veulent des artefacts documentés, datés et versionnés.
L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui regroupe les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Il n'est pas obligatoire au départ, mais les entités qui choisissent de l'appliquer pourront s'en prévaloir lors d'un contrôle de l'ANSSI. L'ANSSI met également à disposition MonEspaceNIS2, un simulateur pour déterminer si une entité est concernée.
Pour mémoire, les dix domaines de mesures minimales exigés par la directive (formulation courte) : analyse des risques et politiques de sécurité · gestion des incidents · continuité d'activité (sauvegardes, reprise, gestion de crise) · sécurité de la chaîne d'approvisionnement · sécurité dans l'acquisition, le développement et la maintenance des SI (y compris gestion des vulnérabilités) · politiques d'évaluation de l'efficacité des mesures · pratiques de cyberhygiène et formation · cryptographie et, le cas échéant, chiffrement · sécurité des RH, contrôle d'accès et gestion des actifs · authentification multifactorielle ou continue et communications sécurisées.
Identifier votre autorité compétente
L'article 8 impose à chaque État membre de désigner une ou plusieurs autorités compétentes pour la supervision NIS2. En pratique, le modèle varie : certains pays disposent d'une agence unique pour tous les secteurs, d'autres répartissent la supervision entre l'agence nationale de cybersécurité, le régulateur financier, le régulateur de l'énergie, etc. En France, l'ANSSI est l'autorité nationale chargée de la cybersécurité et joue un rôle central dans le dispositif NIS2 ; en Belgique, le CCB (Centre pour la Cybersécurité Belgique) tient ce rôle. Les entités bancaires et de marchés financiers croisent aussi DORA (Règlement (UE) 2022/2554), qui prévaut en général comme lex specialis pour ce qu'il couvre.
Avant toute chose : confirmez qui vous supervise et par quel canal. La plupart des autorités ont publié un portail d'entrée — trouvez-le maintenant, pas le jour où l'e-mail arrive.
Les cinq vérifications prioritaires d'un inspecteur
Si les pratiques de supervision varient selon l'État membre et le secteur, voici les artefacts les plus fréquemment demandés lors des revues de readiness et des audits réglementaires — et ceux qui, d'expérience, allègent considérablement la conversation pour la suite lorsqu'ils sont en ordre.
Comment se déroule concrètement une inspection NIS2 ?
Les modalités précises varient selon l'État membre et l'autorité compétente, mais le schéma général d'une mission de supervision est assez stable. En six étapes — de la notification initiale au rapport final — voici ce à quoi vous attendre.
Le scénario complet n'est pas systématique. Pour les entités importantes, le contrôle peut se limiter aux étapes 1 à 3 si le dossier documentaire est solide. Pour les entités essentielles, les étapes 4 et 5 sont nettement plus probables. Dans tous les cas, l'autorité dispose du pouvoir d'effectuer des contrôles inopinés (art. 32).
La chronologie 24 / 72 / 1 que vous devrez démontrer
L'article 23 fixe trois étapes de notification pour un incident significatif. Les inspecteurs ne demandent pas seulement si la procédure existe — ils demandent une chronologie réelle : quand l'incident a été détecté, quand l'alerte précoce a été déposée, quand la notification a été déposée, et comment vous y êtes arrivé. Sans télémétrie centralisée, cette chronologie est introuvable. Les délais exacts et le format de notification peuvent être précisés par la législation nationale de transposition ou par l'autorité compétente.
La détection sans analystes, c'est du théâtre. Nous combinons typiquement le déploiement de Wazuh (SIEM/XDR open source avec tableaux de bord mappés NIS2, zéro coût de licence) et un support d'urgence 24/7 assuré en français, anglais et espagnol — c'est cette combinaison qui soutient matériellement les délais de l'article 23. Si vous avez besoin d'une plateforme SIEM commerciale avec intégrations avancées, nous déployons aussi IBM QRadar.
Le dossier « audit-ready »
À ranger dans un dépôt unique et contrôlé — pas dans la messagerie personnelle d'un collaborateur. Daté, versionné, propriétaire assigné.
Politique de sécurité de l'information (approuvée par le conseil)
Analyse de risques et plan de traitement
Inventaire des actifs avec criticité
Registre des fournisseurs TIC critiques + clauses NIS2
Procédure de réponse aux incidents + runbooks
Plans de continuité et de reprise (PCA/PRA)
Stratégie de sauvegarde + dernier test de restauration
Politique de gestion des vulnérabilités et rapports
Preuves d'application de la MFA sur les accès privilégiés
Registres de formation des dirigeants (art. 20.2)
Notifications d'incidents récentes déposées
Dernier rapport d'audit interne ou externe
Mappé sur les domaines de mesures de l'article 21(2) de la Directive (UE) 2022/2555.
Êtes-vous prêt pour une inspection ? Trois questions
Un auto-diagnostic rapide basé sur les trois points où nous voyons le plus souvent les organisations trébucher lors d'une revue pré-audit. C'est indicatif, pas une évaluation formelle.
Êtes-vous prêt pour une inspection ?
3 questions · résultat instantané · aucun tracking
1. Votre organe de direction a-t-il formellement approuvé la politique de sécurité de l'information dans les 12 derniers mois — avec un PV ou une attestation au dossier ?
2. Si un incident significatif survenait aujourd'hui, pourriez-vous produire une chronologie SIEM avec horodatages pour les étapes 24h / 72h / 1 mois ?
3. La MFA est-elle appliquée sur tous les accès privilégiés et distants, avec preuves dans vos journaux IAM ou SSO ?
Vous semblez audit-ready sur l'essentiel.
Les trois points que les inspecteurs vérifient en premier sont en ordre. Prochaine étape utile : exercices de simulation, revue des clauses fournisseurs et affinage des modèles de chronologie d'incident.
Des écarts visibles à combler avant une inspection.
Les éléments sont là mais pas au niveau « audit-ready ». Un sprint focalisé de deux mois — formaliser l'approbation de la politique, répéter la chronologie d'incident et compléter la couverture MFA — suffit habituellement.
Risque matériel en cas d'inspection aujourd'hui.
Approbation conseil manquante, pas de chronologie SIEM et MFA partielle : c'est exactement la combinaison qui déclenche un audit approfondi. À prioriser absolument avant tout le reste — les autres artefacts comptent peu si la base n'est pas là.
Ce que SIXE met sur la table
Être audit-ready pour NIS2, c'est de l'instrumentation disciplinée et de l'opérationnel documenté. Chacun des sept piliers ci-dessous est associé à une brique concrète que nous déployons en mission :
- Évaluation des écarts contre l'article 21 — cartographie des contrôles existants (ISO 27001, NIST CSF, ReCyF en France) et production des artefacts audit-ready.
- Gouvernance et formation des dirigeants — formulation du PV d'approbation par le conseil, contenu de formation pour l'organe de direction (preuves art. 20.2).
- SIEM / XDR. Le déploiement de Wazuh avec tableaux de bord mappés NIS2 est notre choix par défaut — open source, zéro coût de licence. Pour une plateforme commerciale d'entreprise avec intégrations profondes, nous déployons aussi IBM QRadar.
- Réponse aux incidents 24/7. La détection sans analystes ne tient pas le délai de 24h. Support d'urgence 24/7 en français, anglais et espagnol — sans intermédiaires.
- Application de la MFA. Particulièrement délicate sur les environnements IBM Power — PowerSC pour AIX et IBM i couvre cette couche avec intégration de la conformité.
- Registre des fournisseurs et clauses contractuelles. Inventaire des prestataires TIC critiques et clauses alignées NIS2 — la mesure 4 (chaîne d'approvisionnement) est celle où la majorité des équipes décrochent.
- Exercices de simulation et répétition de chronologie d'incident. La première fois où vous reconstruisez une chronologie 24h / 72h ne devrait pas être pendant un incident réel.
Pour les secteurs industriels (énergie, eau, transport, fabrication, environnements OT), une couche supplémentaire qui n'apparaît pas dans les référentiels ISO génériques : la visibilité OT. Nous utilisons Claroty pour la supervision réseau OT et l'audit des dispositifs industriels avec Tenable.
Questions rapides
Qui est mon autorité compétente sous NIS2 ?
Chaque État membre désigne une ou plusieurs autorités compétentes par secteur (article 8). En France, l'ANSSI est l'autorité nationale chargée de la cybersécurité et joue un rôle central dans le dispositif NIS2 ; elle a publié MonEspaceNIS2 pour aider à déterminer l'éligibilité. En Belgique, c'est le CCB (Centre pour la Cybersécurité Belgique). Vérifiez la loi nationale de transposition de votre pays ou le site du CSIRT national. ENISA publie également des informations consolidées sur les autorités et points de contact nationaux.
Comment commence une inspection NIS2 ?
Pour les entités essentielles, la supervision est proactive (art. 32) : l'autorité peut déclencher une inspection sans indice préalable de non-conformité. Pour les entités importantes, la supervision est réactive (art. 33), généralement déclenchée par un signalement d'incident ou une plainte. Dans les deux cas, l'autorité envoie une notification écrite, demande un dossier initial et peut planifier des visites sur site.
Quels documents préparer avant une inspection ?
Au minimum : politique de sécurité approuvée par l'organe de direction, analyse de risques, inventaire des actifs et des fournisseurs, procédures de gestion d'incident, plans PCA/PRA, preuves de formation des dirigeants, registres d'incidents récents et leurs notifications, dernier rapport d'audit. Tout daté, versionné et signé là où c'est requis.
L'inspecteur demande-t-il des preuves du SIEM ?
Oui. Attendez-vous à des demandes sur : liste des actifs supervisés, échantillons d'alertes et leur traitement, configuration de rétention des journaux, intégrité des pistes d'audit, tableaux de bord mappés aux contrôles NIS2, et la chronologie d'un incident réel montrant les étapes 24h/72h de l'article 23. Wazuh couvre cela avec des tableaux de bord alignés NIS2.
Quels sont les signaux d'alarme déclenchant un audit approfondi ?
Pas de cadre documenté de gestion des risques. Organe de direction qui n'a pas formellement approuvé la politique (violation directe de l'art. 20). Pas de MFA sur les accès privilégiés. Notifications d'incident hors délai 24h/72h. Aucun exercice d'incident dans les 12 derniers mois. Inventaire des fournisseurs sans les prestataires TIC critiques. Preuves d'audit dans une messagerie personnelle.
ISO 27001 suffit-il pour passer une inspection NIS2 ?
ISO 27001 est une base solide — la plupart des mesures de l'article 21 sont couvertes — mais ce n'est pas une équivalence automatique. Il faut mapper les contrôles existants à l'art. 21, documenter les écarts (typiquement notification 24h/72h, clauses chaîne d'approvisionnement, formation des dirigeants) et produire des preuves audit-ready pour chacun.
Évaluez votre niveau de préparation avant un contrôle NIS2
De la revue de préparation contre l'article 21, aux preuves SIEM qui tiennent les délais 24/72h, à une équipe joignable 24/7 quand quelque chose lâche à trois heures du matin. Plus de 15 ans en cybersécurité d'infrastructures critiques, IBM Business Partner, suivi en français, anglais et espagnol — sans intermédiaires.
