NIS2ConformitéRapport d'audit

Comment rédiger un rapport de conformité NIS2 ? (Guide 2026)

Structure type, mesures de l'article 21, preuves techniques attendues : le guide complet pour rédiger un rapport de conformité NIS2 clair et exploitable.

par Thibaud Robin8 min de lecture
Comment rédiger un rapport de conformité NIS2 ? (Guide 2026)

Introduction

La directive NIS2 (Network and Information Security 2) est entrée dans sa phase d'application concrète : des dizaines de milliers d'entreprises françaises et européennes doivent désormais démontrer leur niveau de sécurité, et plus seulement le déclarer. Au cœur de cette démonstration : le rapport de conformité NIS2.

Mais concrètement, comment rédiger ce rapport ? Que doit-il contenir ? Quelles preuves techniques faut-il joindre ? À travers ce guide, nous vous donnons une structure type, les pièges à éviter, et une méthode pour produire un rapport exploitable par votre direction comme par l'ANSSI.

Rappel : qui est concerné par NIS2 ?

La directive NIS2 élargit massivement le périmètre de son prédécesseur NIS1. Elle distingue deux catégories d'organisations :

  • Les entités essentielles (EE) : énergie, transport, banque, santé, eau, infrastructures numériques, administration publique… généralement plus de 250 salariés ou 50 M€ de chiffre d'affaires.
  • Les entités importantes (EI) : services postaux, gestion des déchets, agroalimentaire, industrie manufacturière, fournisseurs numériques… généralement plus de 50 salariés ou 10 M€ de chiffre d'affaires.

Que doit contenir un rapport NIS2 ?

Le cœur de la directive est l'article 21, qui impose dix familles de mesures de gestion des risques cyber. Votre rapport doit documenter chacune d'elles, avec des preuves à l'appui.

Mesure (article 21)Ce que le rapport doit démontrer
Analyse des risques et sécurité des SIMéthodologie d'analyse, cartographie des actifs, risques identifiés
Gestion des incidentsProcédure de détection, qualification et notification (24h / 72h)
Continuité d'activitéSauvegardes, PRA/PCA, gestion de crise
Sécurité de la chaîne d'approvisionnementÉvaluation des fournisseurs et sous-traitants critiques
Sécurité des acquisitions et du développementGestion des vulnérabilités et processus de divulgation
Évaluation de l'efficacité des mesuresAudits de sécurité, scans de vulnérabilités, tests d'intrusion
Hygiène informatique et formationSensibilisation des équipes et des dirigeants
Cryptographie et chiffrementPolitiques de chiffrement des données sensibles
Sécurité des ressources humaines et contrôle d'accèsGestion des identités, des comptes et des habilitations
Authentification multifacteur et communications sécuriséesDéploiement du MFA, sécurisation des communications

Les 6 étapes pour rédiger votre rapport NIS2

Étape 1 : cartographier votre périmètre

Impossible de protéger ce que l'on ne connaît pas. La première section de votre rapport doit présenter une cartographie complète de votre système d'information : domaines, sous-domaines, adresses IP publiques, services exposés, actifs cloud et Shadow IT.

C'est souvent l'étape la plus sous-estimée : la plupart des organisations découvrent 20 à 30 % d'actifs exposés dont elles ignoraient l'existence lors de leur première cartographie. Nous avons consacré un guide complet à ce sujet : comment cartographier le système d'information de son entreprise.

Étape 2 : évaluer les risques

Sur la base de cette cartographie, documentez votre analyse de risques : menaces pertinentes pour votre secteur, vulnérabilités identifiées, impacts potentiels (financiers, opérationnels, réputationnels) et probabilité d'occurrence. Utilisez une méthode reconnue (EBIOS Risk Manager, ISO 27005) et indiquez-la explicitement dans le rapport.

Étape 3 : documenter les mesures en place

Pour chacune des dix mesures de l'article 21, décrivez :

  1. La politique ou procédure en vigueur.
  2. Les moyens techniques déployés (MFA, chiffrement, EDR, sauvegardes…).
  3. Le niveau de couverture réel (quel pourcentage du périmètre est protégé ?).
  4. Les écarts résiduels et leur justification.

Étape 4 : apporter des preuves techniques

C'est ce qui distingue un rapport crédible d'une déclaration d'intention. Les auditeurs et régulateurs attendent des preuves datées et reproductibles :

  • Résultats de scans de vulnérabilités récents sur l'ensemble du périmètre exposé.
  • Rapports de tests d'intrusion ou d'audits de sécurité.
  • Journaux de traitement des vulnérabilités : détection → qualification → correction → re-test.
  • Indicateurs de délai de remédiation (MTTR) par niveau de criticité CVSS.

Étape 5 : formaliser le plan de remédiation

Listez les écarts identifiés, priorisés par criticité, avec pour chacun : un responsable, une échéance, et un budget si nécessaire. Un rapport qui montre des failles et un plan d'action crédible inspire bien plus confiance qu'un rapport qui prétend que tout va bien.

Étape 6 : décrire votre processus de notification d'incidents

NIS2 impose des délais stricts en cas d'incident significatif :

  • 24 heures : alerte précoce auprès du CSIRT national (l'ANSSI en France).
  • 72 heures : notification détaillée avec évaluation initiale.
  • 1 mois : rapport final d'incident.

Votre rapport de conformité doit décrire qui détecte, qui qualifie, qui notifie, et avec quels outils et idéalement référencer un exercice de crise réalisé dans l'année.

Structure type d'un rapport NIS2

Voici un plan que vous pouvez réutiliser directement :

  1. Synthèse pour la direction (1-2 pages, non techniques)
  2. Périmètre et classification (EE ou EI, secteurs, filiales)
  3. Cartographie du système d'information
  4. Analyse de risques (méthode, résultats, risques majeurs)
  5. État des mesures de l'article 21 (les 10 familles, avec preuves)
  6. Résultats des évaluations techniques (scans, pentests, audits)
  7. Plan de remédiation priorisé
  8. Processus de gestion et de notification des incidents
  9. Annexes : rapports de scan, registres, politiques

Les erreurs les plus courantes

  • Le rapport déclaratif : décrire des politiques sans aucune preuve technique mesurable.
  • Le périmètre incomplet : oublier les filiales, les actifs cloud ou le Shadow IT un sous-domaine oublié reste votre responsabilité.
  • Le rapport illisible : 200 pages de sorties d'outils brutes que personne ne lit. La direction doit pouvoir comprendre et arbitrer.
  • La photo unique : un audit annuel figé, alors que NIS2 attend une démarche continue.
  • L'absence de suivi : des vulnérabilités détectées en N-1 toujours présentes en N, sans justification.

Automatiser son rapport NIS2 avec Flawfence

Produire ces preuves manuellement représente des semaines de travail, à refaire en continu. C'est exactement le problème que Flawfence résout :

  • Cartographie automatique de votre périmètre exposé : sous-domaines, IP, services, Shadow IT 100 % du périmètre découvert sans configuration.
  • Scan de vulnérabilités continu avec validation par IA : zéro faux positif, uniquement des failles réellement exploitables.
  • Rapport prêt pour NIS2 en 5 minutes : scoring CVSS v4, priorisation, recommandations de remédiation rédigées en langage clair pour la direction comme pour les équipes techniques.
  • Solution souveraine, hébergée en France.

FAQ : rapport de conformité NIS2

Le rapport NIS2 est-il obligatoire ?

La directive n'impose pas un « rapport » au format unique, mais elle impose de démontrer la mise en œuvre des mesures de l'article 21, de notifier les incidents, et de se soumettre aux contrôles du régulateur. Dans la pratique, un rapport de conformité structuré est le moyen standard de répondre à ces obligations.

À quelle fréquence faut-il le mettre à jour ?

Au minimum une fois par an, et après tout changement majeur du SI ou incident significatif. Les preuves techniques (scans de vulnérabilités) devraient être renouvelées mensuellement ou en continu.

Quelles sanctions en cas de non-conformité ?

Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les entités importantes), ainsi que des mesures d'interdiction temporaire d'exercice pour les dirigeants en cas de manquements graves.

Quelle différence entre un rapport NIS2 et un rapport ISO 27001 ?

L'ISO 27001 est une norme de certification volontaire centrée sur le système de management (SMSI) ; NIS2 est une obligation réglementaire centrée sur les mesures concrètes et la notification d'incidents. Les deux se recouvrent largement : si vous êtes certifié ISO 27001, vous avez déjà une grande partie des éléments. Voir notre guide sur l'automatisation des scans pour l'ISO 27001.

Conclusion

Un bon rapport NIS2 repose sur trois piliers : une cartographie exhaustive, des preuves techniques récurrentes, et une lisibilité qui permet à la direction d'assumer ses nouvelles responsabilités. En automatisant la cartographie et les scans avec une solution comme Flawfence, vous transformez une corvée réglementaire en un véritable outil de pilotage de votre sécurité.

Demandez votre premier rapport dès aujourd'hui il ne vous faudra que 5 minutes.

Discutons de votre exposition externe

Demandez une démo personnalisée de Flawfence et découvrez votre niveau d’exposition réel.