Checklist 10 Mesures Article 21 NIS 2 : Auto-Évaluation [PDF]

La checklist des 10 mesures de l'article 21 NIS 2 est l'instrument d'auto-évaluation fondamental de toute démarche de conformité à la directive européenne sur la cybersécurité des réseaux et systèmes d'information. La directive NIS 2 (UE 2022/2555), transposée en France par la Loi Résilience, impose aux entités essentielles et importantes de mettre en place dix catégories de mesures de gestion des risques de cybersécurité. Ces mesures, définies à l'article 21, couvrent l'ensemble du spectre de la sécurité des systèmes d'information : de la gouvernance et des politiques de sécurité jusqu'à la cryptographie et la sécurité de la chaîne d'approvisionnement. Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, détaille les exigences techniques et organisationnelles précises associées à chacune de ces mesures. Cette checklist PDF, développée par des experts certifiés ISO 27001 Lead Implementer et spécialistes du droit de la cybersécurité, vous permet de réaliser une auto-évaluation structurée de votre niveau de conformité actuel face au ReCyF ANSSI. Elle identifie pour chaque mesure les critères d'évaluation, le niveau de maturité attendu selon votre statut (EE ou EI), et les preuves documentaires à préparer en vue d'un audit ANSSI. Elle s'adresse en priorité aux RSSI, DSI, DPO et dirigeants d'ETI et PME françaises soumises à NIS 2 en 2026.

Pourquoi une checklist plutôt qu'un audit complet pour démarrer

Un audit de conformité NIS 2 complet, réalisé par un prestataire externe qualifié, nécessite généralement plusieurs semaines de travail et mobilise des ressources internes significatives. La checklist d'auto-évaluation remplit un rôle différent et complémentaire : elle permet une première lecture rapide du niveau de maturité, l'identification des zones de risque prioritaires, et la préparation des équipes à un audit formel.

En pratique, la checklist des 10 mesures NIS 2 est utilisée dans trois contextes principaux :

• Diagnostic initial : pour établir la photographie du niveau de maturité actuel avant de lancer une démarche de conformité structurée. Durée typique : 2 à 4 heures avec le RSSI et la DSI.
• Préparation à l'audit ANSSI : dans les semaines précédant un contrôle ANSSI, pour identifier et combler les non-conformités résiduelles et préparer les preuves documentaires requises.
• Revue annuelle de conformité : pour maintenir à jour l'évaluation de maturité et piloter l'amélioration continue, conformément aux exigences du ReCyF ANSSI qui impose une revue annuelle des politiques et mesures.

Complémentaire à la checklist, le mapping ReCyF ANSSI vs NIS 2 fournit la correspondance détaillée avec ISO 27001:2022 pour les organisations multi-référentiels.

Présentation des 10 mesures NIS 2 : ce que vérifie l'ANSSI

Voici une présentation synthétique de chacune des 10 mesures de l'article 21, avec les critères d'évaluation clés et les preuves documentaires attendues lors d'un audit ANSSI.

Comment utiliser la checklist PDF : méthode recommandée

La checklist est organisée en dix sections correspondant aux dix mesures de l'article 21. Pour chaque section, une série de questions fermées (Oui / Partiel / Non) permet d'évaluer rapidement le niveau de conformité, complétée par un champ de commentaires pour documenter les preuves disponibles et les actions correctives planifiées.

1. Préparez votre session : rassemblez avant la session les documents clés (PSSI, politique IAM, contrats fournisseurs, rapport du dernier audit de sécurité, PCA/PRA) pour pouvoir répondre aux questions de manière factuelle plutôt que déclarative.
2. Constituez un groupe de travail représentatif : la checklist doit être remplie par le RSSI avec le concours de la DSI, d'un représentant de la direction générale (pour les questions de gouvernance), et du DPO (pour les questions d'incidents impliquant des données personnelles).
3. Évaluez chaque critère avec honnêteté : la tentation de surévaluer le niveau de maturité est réelle lors d'une auto-évaluation. Rappellez-vous que l'objectif n'est pas d'obtenir un bon score, mais d'identifier les vraies zones de risque avant qu'un auditeur ANSSI ne les découvre.
4. Documentez les preuves disponibles : pour chaque critère évalué "Oui" ou "Partiel", notez la référence du document de preuve (titre, date, emplacement). Cette liste de preuves constituera l'ossature de votre dossier de conformité.
5. Formalisez un plan d'action : pour chaque critère évalué "Non", définissez immédiatement une action corrective, un responsable, et une échéance. Exportez ces actions vers le plan de mise en conformité NIS 2 sur 12 mois.

Les preuves documentaires à préparer pour un audit ANSSI

L'une des fonctions essentielles de la checklist est de vous préparer à produire les preuves documentaires que l'ANSSI demande lors d'un audit. Voici les catégories de preuves les plus fréquemment demandées, par mesure NIS 2.

• Pour la gouvernance (M1) : politique de sécurité signée par la direction, procès-verbal du COMEX d'approbation daté, organigramme de la fonction RSSI, délégations de signature en matière de cybersécurité.
• Pour la gestion des risques (M2) : rapport d'analyse de risques daté et signé, registre des risques avec niveaux résiduels, plan de traitement des risques avec avancement.
• Pour la formation (M3) : plan annuel de formation cybersécurité, émargements des sessions de formation, supports de formation dirigeants, résultats des campagnes de phishing simulé.
• Pour les incidents (M6) : procédure de notification d'incidents ANSSI 24h/72h, journal des incidents de l'année, rapport(s) de notification si des incidents significatifs ont eu lieu, rapport de l'exercice de crise cyber annuel.
• Pour la continuité (M7) : plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA) datés, résultats du dernier test de reprise, RTO/RPO documentés par service critique.

Notre checklist PDF inclut un tableau récapitulatif des preuves attendues par mesure, avec des exemples de titres de documents et les durées de conservation recommandées.

Interprétation des résultats : niveaux de maturité NIS 2

La checklist utilise une échelle de maturité en cinq niveaux, inspirée du modèle CMMI et adaptée au contexte NIS 2 / ReCyF ANSSI :

• Niveau 0 — Inexistant : aucune mesure formalisée. Risque de non-conformité critique. Action immédiate requise.
• Niveau 1 — Initial : des pratiques existent mais de manière informelle et non documentée. Non conforme au ReCyF, actions prioritaires à planifier.
• Niveau 2 — Répétable : des procédures existent et sont suivies, mais sans mesure ni amélioration systématique. Partiellement conforme, des améliorations ciblées sont nécessaires.
• Niveau 3 — Défini : les processus sont documentés, approuvés, et suivis systématiquement. Conforme aux exigences de base du ReCyF pour les EI. Pour les EE, un niveau 3 renforcé est attendu.
• Niveau 4 — Géré et mesuré : les processus sont mesurés via des KPI et font l'objet d'une amélioration continue documentée. Conforme aux exigences ReCyF pour les EE. Ce niveau est celui attendu lors d'un audit ANSSI d'une entité essentielle.

Pour piloter votre évolution vers les niveaux cibles, utilisez le tableau de bord conformité NIS 2 avec 20 KPI Excel qui permet un suivi mensuel de votre progression mesure par mesure.

Mesures NIS 2 prioritaires : par où commencer ?

Face à dix mesures à mettre en œuvre, la question de la priorisation est légitime et stratégique. Le ReCyF ANSSI et notre expérience de terrain convergent vers une séquence recommandée pour les organisations qui démarrent leur démarche de conformité NIS 2.

Phase 1 — Fondations (mois 1-3) : réaliser l'auto-diagnostic d'applicabilité, formaliser la politique de gouvernance NIS 2, s'inscrire sur le portail MonEspaceNIS2, et constituer l'équipe projet NIS 2 (RSSI ou RSSI externalisé, sponsor COMEX).

Phase 2 — Risques et incidents (mois 3-6) : réaliser l'analyse de risques formelle, déployer la procédure de notification d'incidents, activer la surveillance de sécurité de base (journalisation, alertes), et initier la cartographie des sous-traitants critiques.

Phase 3 — Durcissement et formation (mois 6-12) : déployer le MFA pour tous les accès distants et comptes à privilèges, lancer le programme de formation et sensibilisation, réaliser le premier pentest NIS 2, et formaliser le PCA/PRA.

Les erreurs les plus fréquentes dans l'auto-évaluation NIS 2

• Évaluer uniquement les mesures techniques (M4, M8, M10) en ignorant les mesures organisationnelles (M1, M2, M3) : les auditeurs ANSSI accordent autant d'importance à la gouvernance et à la formation qu'aux contrôles techniques. Un bon score sur les mesures techniques avec des manquements sur la gouvernance ne satisfera pas les exigences du ReCyF.
• Confondre la rédaction d'une procédure avec sa mise en œuvre effective : avoir une procédure de notification d'incidents sur papier ne suffit pas — l'ANSSI vérifiera qu'elle a été testée, que les équipes la connaissent, et qu'elle a été appliquée lors des incidents réels.
• Ne pas quantifier les niveaux de maturité : une auto-évaluation binaire (conforme / non conforme) ne permet pas de prioriser les actions. L'utilisation de l'échelle de maturité 0-4 permet d'identifier les mesures qui nécessitent une attention urgente versus celles qui sont en bonne voie.
• Effectuer l'auto-évaluation seul : la checklist doit être remplie de manière collégiale. La vision du seul RSSI est insuffisante : les responsables métiers, la DRH (pour la formation), et la direction générale (pour la gouvernance) doivent être impliqués.

FAQ — Checklist 10 mesures article 21 NIS 2

La checklist NIS 2 suffit-elle pour déclarer la conformité à l'ANSSI ?

Non. La checklist est un outil d'auto-évaluation et de préparation, pas un document de conformité au sens réglementaire. La conformité NIS 2 se démontre par la mise en œuvre effective des mesures, documentée par des preuves tangibles (politiques approuvées, rapports d'audit, journaux de formation, rapports de test). La checklist vous aide à identifier ce qu'il faut produire et à vérifier que vous l'avez. L'ANSSI peut demander à tout moment la production des preuves documentaires correspondant aux obligations NIS 2, et peut réaliser des audits de vérification sur site ou à distance. La checklist est donc un outil de préparation et de pilotage, complémentaire d'une démarche de conformité réelle.

À quelle fréquence doit-on réaliser l'auto-évaluation NIS 2 avec la checklist ?

Le ReCyF ANSSI recommande une revue annuelle des politiques et mesures de sécurité. L'auto-évaluation avec la checklist devrait donc être réalisée au minimum une fois par an, en amont de la révision annuelle de la politique de sécurité. Des révisions plus fréquentes (semestrielles) sont recommandées pour les organisations en phase initiale de mise en conformité, ou après tout incident significatif, changement organisationnel majeur, ou modification importante du système d'information.

Comment faire valider les résultats de la checklist par la direction ?

La présentation des résultats de la checklist à la direction générale et au COMEX est une bonne pratique que le ReCyF ANSSI encourage. Préparez une synthèse exécutive d'une page présentant : le score global de maturité NIS 2 (note agrégée), les 3 à 5 mesures les plus défaillantes avec leur impact réglementaire, le plan d'action priorisé avec les investissements nécessaires, et les délais estimés pour atteindre la conformité. Cette présentation sert également à obtenir les arbitrages budgétaires nécessaires aux actions correctives. Notre plan de formation dirigeants NIS 2 inclut un module spécifique de présentation des résultats d'audit à un COMEX.

Quelle différence entre la checklist NIS 2 et un audit de conformité externe ?

La checklist d'auto-évaluation est réalisée en interne par vos propres équipes, sans validation externe. Elle peut être biaisée par la connaissance partielle ou la complaisance involontaire des évaluateurs. Un audit de conformité externe est réalisé par un prestataire indépendant qualifié (PrestaElec ANSSI ou auditeur accrédité), sur la base d'une grille structurée incluant des tests techniques et des interviews de vérification. L'audit externe produit un rapport opposable que vous pouvez présenter à l'ANSSI comme preuve de conformité. Pour les entités essentielles, l'ANSSI peut imposer des audits par des prestataires qu'elle aura préalablement qualifiés. La checklist prépare à ces audits externes en vous permettant d'identifier et de combler les non-conformités avant qu'un auditeur externe ne les relève.

Les micro-entreprises et TPE sont-elles concernées par les 10 mesures NIS 2 ?

En principe, NIS 2 ne s'applique qu'aux organisations dépassant les seuils de taille définis : plus de 50 salariés ou 10 M€ de chiffre d'affaires pour les entités importantes, plus de 250 salariés ou 50 M€ de CA pour les entités essentielles. Les micro-entreprises et TPE de moins de 50 salariés sont donc généralement hors périmètre NIS 2, sauf si elles sont désignées entités critiques par l'État (ex : certains opérateurs désignés OIV ou OIVS) ou si elles fournissent des services dans des secteurs spécifiques (DNS, TLD, registres de noms de domaine) pour lesquels des seuils distincts s'appliquent. En dehors du champ NIS 2, ces organisations restent soumises aux obligations RGPD et peuvent être contractuellement tenues par leurs clients EE/EI.

Les textes réglementaires de référence sont disponibles directement sur EUR-Lex (directive UE 2022/2555) et sur Legifrance pour la transposition française. L'ANSSI publie ses ressources NIS 2 sur cyber.gouv.fr/nis2, et le CERT-FR assure la veille sur les incidents et vulnérabilités sur cert.ssi.gouv.fr.

Conclusion — De la checklist au plan d'action : structurez votre conformité NIS 2

La checklist des 10 mesures NIS 2 est le point de départ structuré pour toute démarche de conformité sérieuse. Elle vous donne une photographie claire de votre situation actuelle et les bases pour construire un plan d'action priorisé. Utilisez-la en combinaison avec l'auto-diagnostic d'applicabilité NIS 2, le mapping ReCyF ANSSI pour les correspondances ISO 27001, et le plan de conformité NIS 2 sur 12 mois pour structurer et piloter votre feuille de route. Pour une vision complète des enjeux NIS 2, consultez notre guide complet NIS 2 pour les entreprises et notre analyse des obligations NIS 2.

Les exigences de cryptographie dans la checklist NIS 2 : standards et protocoles acceptables

La mesure 21.2.h de NIS 2 sur la cryptographie est l'une des mesures les plus techniques de la checklist et celle qui génère le plus de questions lors des auto-évaluations. Le ReCyF ANSSI 2026 est particulièrement précis sur les standards acceptables. Voici les points clés à vérifier lors de votre auto-évaluation :

• Protocoles TLS : seuls TLS 1.2 et TLS 1.3 sont acceptables pour les communications chiffrées. TLS 1.0, TLS 1.1, et SSL (toutes versions) doivent être désactivés sur tous les serveurs et équipements réseau exposés.
• Chiffrement symétrique : AES-128 minimum requis, AES-256 recommandé pour les données à haute sensibilité. DES et 3DES sont interdits.
• Algorithmes de hachage : SHA-256 minimum requis. MD5 et SHA-1 sont interdits pour toute fonction de sécurité.
• Gestion des clés : les clés cryptographiques doivent être générées, stockées, et révoquées selon un processus formalisé. L'utilisation d'un HSM (Hardware Security Module) est recommandée pour les clés les plus critiques (autorités de certification internes, clés de chiffrement de données de santé).
• Chiffrement des données au repos : les données sensibles stockées sur les serveurs, postes de travail nomades, et médias amovibles doivent être chiffrées. BitLocker, VeraCrypt, ou équivalent pour les postes Windows ; LUKS ou équivalent pour les serveurs Linux.

Notre checklist intègre un questionnaire spécifique sur la cryptographie permettant de vérifier le respect de chacun de ces points, avec des références aux commandes de vérification technique (ex : openssl s_client -connect [serveur]:443 pour vérifier la version TLS exposée).

Intégration de la checklist NIS 2 dans le processus d'audit interne

Pour les organisations dotées d'un service d'audit interne, la checklist des 10 mesures NIS 2 peut être intégrée dans le programme d'audit interne annuel comme un référentiel d'évaluation standardisé. Cette intégration présente plusieurs avantages : l'objectivité de l'évaluation (réalisée par des auditeurs internes indépendants de la DSI/RSSI), la traçabilité dans le système de suivi des audits internes, et la génération automatique de recommandations d'audit conformes aux exigences NIS 2. Le rapport d'audit interne NIS 2, produit par le service d'audit interne et présenté au Comité d'audit ou au Conseil d'administration, constitue une preuve de gouvernance particulièrement valorisée par l'ANSSI lors d'un contrôle. Il démontre que la supervision des mesures NIS 2 est exercée par une fonction indépendante de la production, conformément aux exigences de gouvernance de l'article 20. Pour les entités soumises à des obligations d'audit légal (commissariat aux comptes), les CAC sont de plus en plus amenés à intégrer des travaux sur la cybersécurité dans leurs missions, notamment pour les entités soumises à NIS 2 dans des secteurs régulés comme la finance ou la santé.

La checklist NIS 2 à l'ère du cloud et du télétravail généralisé

La transformation numérique accélérée depuis 2020 — adoption massive du cloud, généralisation du télétravail, multiplication des appareils mobiles personnels (BYOD) — a créé de nouveaux périmètres de risque que la checklist NIS 2 doit intégrer explicitement. Le ReCyF ANSSI 2026 tient compte de ces évolutions et intègre des exigences spécifiques aux environnements cloud et aux accès distants. Pour votre auto-évaluation, voici les points clés à vérifier en lien avec ces nouvelles réalités :

• Sécurité des environnements cloud : la gestion des identités cloud (IAM AWS/Azure/GCP) est-elle cohérente avec votre politique IAM on-premise ? Les buckets S3 ou équivalents contenant des données sensibles sont-ils protégés contre l'accès public non intentionnel ? Les services cloud sont-ils inventoriés et approuvés (Shadow IT cloud sous contrôle) ?
• Sécurité des accès distants : 100 % des accès VPN nécessitent-ils une authentification multifacteurs (MFA) ? Les postes de travail nomades sont-ils chiffrés intégralement (BitLocker, FileVault) ? Les sessions à privilèges sont-elles réalisées depuis des postes dédiés ou via une solution PAM (Privileged Access Management) ?
• Gestion du Shadow IT : disposez-vous d'un processus de découverte et de gestion du Shadow IT (applications cloud non approuvées utilisées par les métiers) ? Le ReCyF ANSSI 2026 intègre explicitement la gestion du Shadow IT dans la mesure 4 (Gestion des accès), considérant que les accès non maîtrisés aux services cloud sont un vecteur d'attaque majeur.

Notre checklist PDF intègre une section dédiée aux environnements hybrides (on-premise + cloud) et aux accès distants, avec des critères d'évaluation spécifiques et des références aux bonnes pratiques ANSSI applicables. Pour une approche complète de la sécurité des systèmes d'information dans votre contexte spécifique, notre guide sur la cartographie du système d'information couvre la dimension hybride on-premise / cloud / mobile.