Comment rédiger un rapport de conformité NIS2 ? (Guide 2026)
Structure type, mesures de l'article 21, preuves techniques attendues : le guide complet pour rédiger un rapport de conformité NIS2 clair et exploitable.

Introduction
La directive NIS2 (Network and Information Security 2) est entrée dans sa phase d'application concrète : des dizaines de milliers d'entreprises françaises et européennes doivent désormais démontrer leur niveau de sécurité, et plus seulement le déclarer. Au cœur de cette démonstration : le rapport de conformité NIS2.
Mais concrètement, comment rédiger ce rapport ? Que doit-il contenir ? Quelles preuves techniques faut-il joindre ? À travers ce guide, nous vous donnons une structure type, les pièges à éviter, et une méthode pour produire un rapport exploitable par votre direction comme par l'ANSSI.
Rappel : qui est concerné par NIS2 ?
La directive NIS2 élargit massivement le périmètre de son prédécesseur NIS1. Elle distingue deux catégories d'organisations :
- Les entités essentielles (EE) : énergie, transport, banque, santé, eau, infrastructures numériques, administration publique… généralement plus de 250 salariés ou 50 M€ de chiffre d'affaires.
- Les entités importantes (EI) : services postaux, gestion des déchets, agroalimentaire, industrie manufacturière, fournisseurs numériques… généralement plus de 50 salariés ou 10 M€ de chiffre d'affaires.
Que doit contenir un rapport NIS2 ?
Le cœur de la directive est l'article 21, qui impose dix familles de mesures de gestion des risques cyber. Votre rapport doit documenter chacune d'elles, avec des preuves à l'appui.
| Mesure (article 21) | Ce que le rapport doit démontrer |
|---|---|
| Analyse des risques et sécurité des SI | Méthodologie d'analyse, cartographie des actifs, risques identifiés |
| Gestion des incidents | Procédure de détection, qualification et notification (24h / 72h) |
| Continuité d'activité | Sauvegardes, PRA/PCA, gestion de crise |
| Sécurité de la chaîne d'approvisionnement | Évaluation des fournisseurs et sous-traitants critiques |
| Sécurité des acquisitions et du développement | Gestion des vulnérabilités et processus de divulgation |
| Évaluation de l'efficacité des mesures | Audits de sécurité, scans de vulnérabilités, tests d'intrusion |
| Hygiène informatique et formation | Sensibilisation des équipes et des dirigeants |
| Cryptographie et chiffrement | Politiques de chiffrement des données sensibles |
| Sécurité des ressources humaines et contrôle d'accès | Gestion des identités, des comptes et des habilitations |
| Authentification multifacteur et communications sécurisées | Déploiement du MFA, sécurisation des communications |
Les 6 étapes pour rédiger votre rapport NIS2
Étape 1 : cartographier votre périmètre
Impossible de protéger ce que l'on ne connaît pas. La première section de votre rapport doit présenter une cartographie complète de votre système d'information : domaines, sous-domaines, adresses IP publiques, services exposés, actifs cloud et Shadow IT.
C'est souvent l'étape la plus sous-estimée : la plupart des organisations découvrent 20 à 30 % d'actifs exposés dont elles ignoraient l'existence lors de leur première cartographie. Nous avons consacré un guide complet à ce sujet : comment cartographier le système d'information de son entreprise.
Étape 2 : évaluer les risques
Sur la base de cette cartographie, documentez votre analyse de risques : menaces pertinentes pour votre secteur, vulnérabilités identifiées, impacts potentiels (financiers, opérationnels, réputationnels) et probabilité d'occurrence. Utilisez une méthode reconnue (EBIOS Risk Manager, ISO 27005) et indiquez-la explicitement dans le rapport.
Étape 3 : documenter les mesures en place
Pour chacune des dix mesures de l'article 21, décrivez :
- La politique ou procédure en vigueur.
- Les moyens techniques déployés (MFA, chiffrement, EDR, sauvegardes…).
- Le niveau de couverture réel (quel pourcentage du périmètre est protégé ?).
- Les écarts résiduels et leur justification.
Étape 4 : apporter des preuves techniques
C'est ce qui distingue un rapport crédible d'une déclaration d'intention. Les auditeurs et régulateurs attendent des preuves datées et reproductibles :
- Résultats de scans de vulnérabilités récents sur l'ensemble du périmètre exposé.
- Rapports de tests d'intrusion ou d'audits de sécurité.
- Journaux de traitement des vulnérabilités : détection → qualification → correction → re-test.
- Indicateurs de délai de remédiation (MTTR) par niveau de criticité CVSS.
Étape 5 : formaliser le plan de remédiation
Listez les écarts identifiés, priorisés par criticité, avec pour chacun : un responsable, une échéance, et un budget si nécessaire. Un rapport qui montre des failles et un plan d'action crédible inspire bien plus confiance qu'un rapport qui prétend que tout va bien.
Étape 6 : décrire votre processus de notification d'incidents
NIS2 impose des délais stricts en cas d'incident significatif :
- 24 heures : alerte précoce auprès du CSIRT national (l'ANSSI en France).
- 72 heures : notification détaillée avec évaluation initiale.
- 1 mois : rapport final d'incident.
Votre rapport de conformité doit décrire qui détecte, qui qualifie, qui notifie, et avec quels outils et idéalement référencer un exercice de crise réalisé dans l'année.
Structure type d'un rapport NIS2
Voici un plan que vous pouvez réutiliser directement :
- Synthèse pour la direction (1-2 pages, non techniques)
- Périmètre et classification (EE ou EI, secteurs, filiales)
- Cartographie du système d'information
- Analyse de risques (méthode, résultats, risques majeurs)
- État des mesures de l'article 21 (les 10 familles, avec preuves)
- Résultats des évaluations techniques (scans, pentests, audits)
- Plan de remédiation priorisé
- Processus de gestion et de notification des incidents
- Annexes : rapports de scan, registres, politiques
Les erreurs les plus courantes
- Le rapport déclaratif : décrire des politiques sans aucune preuve technique mesurable.
- Le périmètre incomplet : oublier les filiales, les actifs cloud ou le Shadow IT un sous-domaine oublié reste votre responsabilité.
- Le rapport illisible : 200 pages de sorties d'outils brutes que personne ne lit. La direction doit pouvoir comprendre et arbitrer.
- La photo unique : un audit annuel figé, alors que NIS2 attend une démarche continue.
- L'absence de suivi : des vulnérabilités détectées en N-1 toujours présentes en N, sans justification.
Automatiser son rapport NIS2 avec Flawfence
Produire ces preuves manuellement représente des semaines de travail, à refaire en continu. C'est exactement le problème que Flawfence résout :
- Cartographie automatique de votre périmètre exposé : sous-domaines, IP, services, Shadow IT 100 % du périmètre découvert sans configuration.
- Scan de vulnérabilités continu avec validation par IA : zéro faux positif, uniquement des failles réellement exploitables.
- Rapport prêt pour NIS2 en 5 minutes : scoring CVSS v4, priorisation, recommandations de remédiation rédigées en langage clair pour la direction comme pour les équipes techniques.
- Solution souveraine, hébergée en France.
FAQ : rapport de conformité NIS2
Le rapport NIS2 est-il obligatoire ?
La directive n'impose pas un « rapport » au format unique, mais elle impose de démontrer la mise en œuvre des mesures de l'article 21, de notifier les incidents, et de se soumettre aux contrôles du régulateur. Dans la pratique, un rapport de conformité structuré est le moyen standard de répondre à ces obligations.
À quelle fréquence faut-il le mettre à jour ?
Au minimum une fois par an, et après tout changement majeur du SI ou incident significatif. Les preuves techniques (scans de vulnérabilités) devraient être renouvelées mensuellement ou en continu.
Quelles sanctions en cas de non-conformité ?
Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les entités importantes), ainsi que des mesures d'interdiction temporaire d'exercice pour les dirigeants en cas de manquements graves.
Quelle différence entre un rapport NIS2 et un rapport ISO 27001 ?
L'ISO 27001 est une norme de certification volontaire centrée sur le système de management (SMSI) ; NIS2 est une obligation réglementaire centrée sur les mesures concrètes et la notification d'incidents. Les deux se recouvrent largement : si vous êtes certifié ISO 27001, vous avez déjà une grande partie des éléments. Voir notre guide sur l'automatisation des scans pour l'ISO 27001.
Conclusion
Un bon rapport NIS2 repose sur trois piliers : une cartographie exhaustive, des preuves techniques récurrentes, et une lisibilité qui permet à la direction d'assumer ses nouvelles responsabilités. En automatisant la cartographie et les scans avec une solution comme Flawfence, vous transformez une corvée réglementaire en un véritable outil de pilotage de votre sécurité.
Demandez votre premier rapport dès aujourd'hui il ne vous faudra que 5 minutes.
Discutons de votre exposition externe
Demandez une démo personnalisée de Flawfence et découvrez votre niveau d’exposition réel.
