Plan de Mise en Conformité NIS 2 sur 12 Mois : Excel

Le plan de mise en conformité NIS 2 sur 12 mois est l'outil de pilotage central de toute démarche de mise en conformité à la directive NIS 2 (UE 2022/2555). La conformité NIS 2 implique la mise en œuvre des dix mesures de l'article 21, l'inscription sur le portail MonEspaceNIS2, la mise en place d'une gouvernance formalisée, et la préparation à l'audit de l'ANSSI. Sans une feuille de route structurée définissant les jalons, les ressources, les responsabilités et le budget, ces démarches restent dispersées et inefficaces. Le Référentiel Cyber France (ReCyF ANSSI, mars 2026) recommande explicitement l'adoption d'un plan de projet formalisé comme première action de mise en conformité, car il démontre la volonté et la diligence raisonnable de l'organisation en cas de contrôle précoce. Ce template Excel, développé par des experts en gestion de projet cybersécurité certifiés ISO 27001 Lead Implementer, fournit un plan de projet complet et directement opérationnel : un planning Gantt sur 12 mois couvrant les 10 mesures NIS 2, un budget prévisionnel détaillé avec hypothèses de coûts, une matrice RACI des acteurs, et les jalons officiels liés aux délais réglementaires NIS 2. Il s'adresse aux RSSI, DSI, DPO et directeurs généraux d'entités essentielles et importantes françaises qui souhaitent structurer leur démarche NIS 2 de manière professionnelle et traçable. Il constitue également la réponse attendue par l'ANSSI à la question "quel est votre plan de mise en conformité ?" lors d'un premier contrôle.

Pourquoi une feuille de route sur 12 mois est la bonne approche NIS 2

La mise en conformité NIS 2 est un projet de transformation organisationnelle et technique qui dépasse largement le périmètre d'une mise à jour de politique ou d'un investissement technologique ponctuel. Les organisations qui sous-estiment cette réalité échouent généralement à atteindre la conformité dans les délais, souvent parce qu'elles ont abordé NIS 2 comme une liste de cases à cocher plutôt que comme un programme de changement.

La planification sur 12 mois est la durée minimale recommandée pour une organisation de maturité moyenne (niveau 1-2 sur l'échelle ReCyF). Les organisations plus matures (niveau 2-3, notamment celles certifiées ISO 27001) peuvent viser 9 à 12 mois. Les organisations partant de zéro doivent prévoir 18 à 24 mois pour une conformité complète EE.

La planification sur 12 mois structure le projet en trois grandes phases qui correspondent aux priorités définies par le ReCyF ANSSI :

• Phase 1 (mois 1-3) — Cadrage et fondations : auto-diagnostic, gouvernance, inscription MonEspaceNIS2, constitution de l'équipe projet.
• Phase 2 (mois 3-9) — Déploiement des mesures prioritaires : analyse de risques, gestion des incidents, MFA, cartographie SI et fournisseurs, PCA/PRA.
• Phase 3 (mois 9-12) — Consolidation et audit : pentest, exercice de crise, documentation du dossier de conformité, préparation à l'audit ANSSI.

La structure du plan : description des 8 onglets du template Excel

Le template Excel est organisé en huit onglets distincts, chacun correspondant à un aspect clé du pilotage de la conformité NIS 2.

1. Onglet Dashboard : vue synthétique du projet avec indicateurs d'avancement global, score de maturité NIS 2 courant, jalons critiques prochains, et alertes sur les actions en retard. C'est la page d'accueil du reporting COMEX mensuel.
2. Onglet Gantt 12 mois : planning graphique sur 12 mois de l'ensemble des actions de conformité NIS 2, organisées par mesure de l'article 21. Chaque action est associée à un responsable, une durée, des dépendances, et un statut de réalisation.
3. Onglet Actions détaillées : liste exhaustive des actions de conformité avec description, objectif, livrables attendus, ressources nécessaires (internes / externes), coût estimé, et critère de validation.
4. Onglet Matrice RACI : tableau de responsabilité pour chacune des actions, avec identification du Responsible, Accountable, Consulted, et Informed parmi les acteurs clés (DG, RSSI, DSI, DPO, DAF, RH, Juridique, Conseil d'administration).
5. Onglet Budget prévisionnel : budget détaillé par mesure NIS 2 et par nature de dépense (consulting externe, logiciels, formation, audit, ressources internes), avec le budget alloué, le consommé, et le reste à dépenser.
6. Onglet Jalons réglementaires : liste des échéances réglementaires NIS 2 applicables (inscription MonEspaceNIS2, délai de notification incidents, révision annuelle obligatoire) avec les dates cibles et les actions préparatoires associées.
7. Onglet Registre des risques projet : identification des risques pouvant impacter le plan de conformité (absence de RSSI, dépassement budgétaire, résistance au changement, priorisation insuffisante par la direction) avec leurs mitigants.
8. Onglet Suivi des preuves : registre des documents de preuve à produire pour chaque mesure NIS 2, avec le statut de production (à créer / en cours / disponible) et la date de dernière mise à jour.

Le planning Gantt NIS 2 sur 12 mois : les jalons clés

Voici les jalons principaux que votre plan de conformité NIS 2 doit impérativement inclure, dans l'ordre chronologique recommandé par le ReCyF ANSSI.

Budget prévisionnel : les postes de coûts de la conformité NIS 2

Le budget de mise en conformité NIS 2 varie significativement selon la taille de l'organisation, son niveau de maturité initial, et les choix de sous-traitance. Le template inclut un budget prévisionnel basé sur des hypothèses de coûts constatés en 2025-2026 pour les ETI françaises.

Postes de coûts typiques pour une ETI de 200-500 salariés (EE) :

• Consulting et accompagnement : gap analysis (5-15 k€), accompagnement à la mise en conformité (30-80 k€), préparation à l'audit ANSSI (10-20 k€). Total : 45-115 k€.
• Audit et certification : pentest annuel (8-20 k€), audit interne NIS 2 ou pré-audit (5-15 k€), exercice de crise cyber (5-10 k€). Total : 18-45 k€.
• Technologies : SIEM (si absent) : 20-60 k€/an. MFA : 5-15 k€. Gestionnaire de vulnérabilités : 5-15 k€/an. EDR/XDR (si absent) : 15-40 k€/an. Total estimé nouvelles technologies : 20-80 k€.
• Formation : formation RSSI/DSI NIS 2 : 3-8 k€. Formation dirigeants : 2-5 k€. Sensibilisation salariés : 2-10 k€. Total : 7-23 k€.
• Ressources internes : temps RSSI (si existant) : 20-40 % du temps sur 12 mois. Si RSSI externalisé : 25-60 k€/an selon niveau de service.

Budget total indicatif pour une ETI EE partant d'une maturité niveau 1-2 : 150 000 à 400 000 € sur 18 mois, dont 60-70 % en OPEX et 30-40 % en CAPEX. Pour une ETI EI avec maturité ISO 27001 existante : 60 000 à 150 000 €.

Comment prioriser les actions du plan NIS 2 avec des ressources limitées

La réalité des ETI et PME françaises est que les ressources (budget, temps RSSI, bande passante DSI) sont limitées. Le plan de conformité NIS 2 doit donc intégrer une logique de priorisation rigoureuse, permettant de maximiser le niveau de conformité atteint avec les ressources disponibles.

Le ReCyF ANSSI lui-même reconnaît cette contrainte et adopte une approche progressive : une entité qui démontre une démarche structurée avec un plan documenté, même si elle n'a pas encore atteint la conformité complète, sera traitée différemment d'une entité qui n'a pris aucune initiative.

Notre méthode de priorisation recommandée pour les organisations à ressources limitées :

1. Actions obligatoires et immédiates : inscription MonEspaceNIS2, auto-diagnostic d'applicabilité, désignation d'un responsable NIS 2 (RSSI interne ou RSSI externalisé). Ces actions sont gratuites ou de faible coût et démontrent immédiatement la bonne volonté.
2. Actions à impact réglementaire maximum : procédure de notification ANSSI 24h/72h (risque de sanction immédiate en cas d'incident), politique de gouvernance NIS 2 (signature et responsabilité dirigeants), MFA sur les accès distants (vecteur d'attaque numéro 1). Ces actions ont un impact direct sur l'exposition aux sanctions en cas d'incident.
3. Actions à impact opérationnel : analyse de risques, cartographie SI, PCA/PRA. Ces actions réduisent directement le risque d'incident majeur.
4. Actions de durcissement et de mesure : pentest, programme de formation, tableau de bord KPI. Ces actions consolident la conformité et démontrent l'amélioration continue.

Intégration du plan NIS 2 avec votre gestion de projet existante

Le plan de conformité NIS 2 ne doit pas fonctionner en silo par rapport aux autres projets de transformation de l'organisation. Pour les organisations qui ont déjà un projet ISO 27001 en cours, il est impératif d'aligner les deux feuilles de route pour éviter les doublons et capitaliser sur les travaux communs.

Les synergies à exploiter entre ISO 27001 et NIS 2 dans votre plan de projet :

• L'analyse de risques ISO 27001 (clause 6.1.2) peut directement satisfaire la mesure 21.2.f NIS 2 si elle utilise une méthodologie reconnue (EBIOS RM recommandée par le ReCyF).
• La revue de direction ISO 27001 peut intégrer le reporting NIS 2 au COMEX exigé par l'article 20 de la directive.
• Les audits internes ISO 27001 peuvent être étendus pour couvrir les exigences ReCyF spécifiques, réduisant les coûts d'audit.
• La gestion documentaire ISO 27001 (politiques, procédures, enregistrements) peut intégrer les documents NIS 2 requis dans le même système.

Pour les organisations sans ISO 27001, notre guide sur l'audit de sécurité ISO 27001 et notre guide complet ISO 27001 expliquent comment intégrer ces deux démarches pour un coût global optimisé.

Les risques projet à anticiper dans votre plan NIS 2

Tout plan de conformité NIS 2 doit intégrer une gestion des risques projet. Voici les cinq risques les plus fréquents identifiés dans notre expérience de mise en conformité d'ETI françaises.

• Manque de sponsor COMEX : sans un sponsor au niveau de la direction générale, le projet NIS 2 sera systématiquement déprioritisé par rapport aux projets business. Mitigation : désigner un membre du COMEX comme sponsor officiel dès le lancement du plan.
• Sous-estimation des ressources RSSI : la mise en conformité NIS 2 représente 20 à 40 % du temps d'un RSSI à plein temps pendant 12 à 18 mois. Si votre RSSI est à 100 % sur d'autres projets, la conformité NIS 2 sera impossible sans RSSI externalisé ou renfort.
• Résistance des métiers aux nouvelles contraintes : le déploiement du MFA, les nouvelles procédures de gestion des fournisseurs, et les formations obligatoires peuvent générer des résistances. Un plan de communication interne est indispensable.
• Dépassement du budget : les coûts de consulting et les investissements technologiques sont souvent sous-estimés lors de la planification initiale. Prévoyez une réserve de 20-30 % sur le budget initial.
• Modification du référentiel en cours de projet : le ReCyF ANSSI peut évoluer pendant la durée de votre plan. Intégrez une revue trimestrielle de l'adéquation de votre plan avec la version en vigueur du référentiel.

Les erreurs les plus fréquentes dans la planification de la conformité NIS 2

• Planifier uniquement les actions technologiques : les actions organisationnelles (gouvernance, formation, gestion des incidents, fournisseurs) représentent plus de 50 % des exigences NIS 2 et sont souvent les premières vérifiées lors d'un audit ANSSI.
• Ne pas planifier les tests et exercices : les tests du PCA/PRA, l'exercice de crise cyber, et le pentest sont des obligations NIS 2, pas des options. Ils doivent être planifiés et budgétés dès le début du plan.
• Ignorer le délai de contractualisation des fournisseurs : l'ajout de clauses NIS 2 dans les contrats fournisseurs nécessite des négociations qui prennent 3 à 6 mois. Commencez cette démarche dès le mois 3-4 du plan.
• Planifier sur 12 mois sans prévoir le maintien en condition : la conformité NIS 2 n'est pas un projet avec une date de fin — c'est un processus continu. Le plan doit intégrer les activités récurrentes (audit annuel, révision de la PSSI, exercice de crise) pour les années suivantes.

FAQ — Plan de mise en conformité NIS 2 sur 12 mois

Par quelle mesure NIS 2 commencer quand on part de zéro ?

La séquence recommandée par le ReCyF ANSSI pour une organisation démarrant sa conformité NIS 2 est : (1) auto-diagnostic d'applicabilité et inscription MonEspaceNIS2, (2) désignation d'un responsable NIS 2 (RSSI ou RSSI externalisé), (3) politique de gouvernance NIS 2 approuvée par la direction, (4) gap analysis avec la checklist des 10 mesures, (5) procédure de notification d'incidents (risque de sanction immédiate en cas d'incident non notifié). Ces cinq actions fondatrices, réalisables en 2 à 3 mois, établissent les fondations sur lesquelles les mesures techniques seront construites. La tentation de commencer par les actions technologiques (SIEM, MFA) avant d'avoir établi la gouvernance est une erreur classique : sans cadre de gouvernance, les investissements techniques restent non intégrés dans une démarche cohérente.

Est-il possible d'atteindre la conformité NIS 2 en moins de 12 mois ?

Pour les organisations déjà certifiées ISO 27001 et dotées d'un RSSI expérimenté, une mise en conformité NIS 2 en 6 à 9 mois est réaliste. Pour les organisations partant d'une maturité niveau 1-2 sans certification existante, 12 mois est un objectif ambitieux mais atteignable avec les ressources adéquates. La clé est de mobiliser suffisamment de ressources (budget, temps RSSI) et d'obtenir un vrai sponsorship de la direction générale. En dessous de 12 mois avec des ressources insuffisantes, on risque de produire des documents de conformité formels sans mise en œuvre réelle, ce qui sera détecté lors d'un audit ANSSI.

Comment démontrer à l'ANSSI l'avancement de mon plan de conformité ?

L'ANSSI peut demander, dans le cadre d'un contrôle préliminaire ou suite à un incident, à visualiser votre plan de conformité et son avancement. Les éléments que l'auditeur voudra voir : le plan documenté avec jalons et responsables, les livrables produits pour chaque jalon atteint (documents signés, rapports d'audit, preuves de formation), le tableau de bord KPI avec l'évolution du score de maturité, et les plans de remédiation pour les gaps identifiés. Notre template inclut un onglet "Dossier ANSSI" permettant de compiler et d'organiser ces éléments en vue d'un contrôle.

Comment financer la mise en conformité NIS 2 : existe-t-il des aides publiques ?

Plusieurs dispositifs publics peuvent contribuer au financement de la mise en conformité NIS 2. Bpifrance propose des prêts et garanties pour les projets de cybersécurité des PME et ETI, dans le cadre du plan Cyber PME. Certaines régions ont mis en place des chèques cyber permettant de financer des diagnostics et accompagnements à la conformité. Le dispositif MonAide Cyber de l'ANSSI permet aux PME et collectivités d'accéder à des prestations d'audit et de conseil cybersécurité à des tarifs conventionnés. Les opérateurs de compétences (OPCO) peuvent prendre en charge tout ou partie des coûts de formation cybersécurité NIS 2 dans le cadre des plans de développement des compétences.

Le plan de conformité NIS 2 doit-il être formellement validé par l'ANSSI ?

Non. L'ANSSI ne valide pas les plans de conformité des entités. Le plan est un document interne de pilotage que vous constituez et mettez à jour vous-même. En revanche, vous pouvez le présenter à l'ANSSI dans le cadre d'échanges volontaires ou lors d'un contrôle. La qualité de votre plan (rigueur, réalisme des délais, couverture des 10 mesures, traçabilité des jalons) sera prise en compte par l'ANSSI pour évaluer votre démarche globale de conformité. Un plan bien structuré et respecté est un signal positif fort dans la relation avec le régulateur.

Les textes réglementaires de référence sont disponibles directement sur EUR-Lex (directive UE 2022/2555) et sur Legifrance pour la transposition française. L'ANSSI publie ses ressources NIS 2 sur cyber.gouv.fr/nis2, et le CERT-FR assure la veille sur les incidents et vulnérabilités sur cert.ssi.gouv.fr.

Conclusion — Le plan de conformité NIS 2, fondation de votre démarche réglementaire

Le plan de mise en conformité NIS 2 sur 12 mois est le document fondateur de votre démarche. Il transforme une obligation réglementaire complexe en un projet manageable, avec des jalons clairs, des responsabilités définies, et un budget réaliste. Commencez par l'auto-diagnostic d'applicabilité NIS 2 pour confirmer votre statut, effectuez votre inscription sur MonEspaceNIS2, puis lancez votre plan avec notre template. Complétez le dispositif avec le tableau de bord KPI NIS 2 pour le suivi mensuel, et notre guide complet NIS 2 pour la vision d'ensemble.

La gouvernance du programme NIS 2 : comité de pilotage et reportings

Un plan de conformité NIS 2 sur 12 mois nécessite une structure de gouvernance de programme dédiée pour garantir son avancement. Le ReCyF ANSSI recommande la mise en place d'un comité de pilotage NIS 2 (COPIL) réunissant mensuellement les acteurs clés : sponsor COMEX, RSSI, DSI, DPO, et représentants des métiers concernés. Ce COPIL est le lieu où sont présentés l'avancement des jalons, les risques projet, et les décisions d'arbitrage nécessaires. Il produit un compte-rendu formalisé qui constitue une pièce de traçabilité de la démarche NIS 2. Notre template inclut un modèle de compte-rendu de COPIL NIS 2 et un tableau de bord de programme permettant de préparer ces réunions en moins de 30 minutes. Pour les organisations qui ne peuvent pas réunir un COPIL mensuel dédié, les points NIS 2 peuvent être intégrés dans un comité de direction ou de risques existant, avec un ordre du jour standardisé. L'essentiel est que l'avancement de la conformité NIS 2 soit discuté formellement au niveau de la direction au moins mensuellement, avec des comptes-rendus conservés. Utilisez le tableau de bord KPI NIS 2 pour alimenter ces réunions avec des données chiffrées objectives.