Services · Compliance & NIS2
La loi allemande de transposition NIS2 est en vigueur depuis le 6 décembre 2025. Environ 29 500 entreprises allemandes sont concernées par l'obligation pour la première fois. Nous amenons les entreprises du Mittelstand et les organisations KRITIS dans un cadre de conformité opérationnel — sur Microsoft Purview, Microsoft Entra ID et Microsoft Defender. Pragmatique, sans surenchère.
Pour les dirigeants · réduction du risque en euros
Nous traduisons NIS2 en euros : exposition aux amendes, exposition à la responsabilité des dirigeants, impact assurance, coût de l'action vs. coût de l'inaction. NIS2 Readiness à prix fixe avec analyse des écarts documentée et plan d'actions priorisé — défendable face aux actionnaires, au conseil de surveillance et lors d'audits BSI. Vous savez ce que vous pouvez opposer à la responsabilité — par écrit.
Pour les directions de département · défense d'audit NIS2
Nous livrons un rapport de résultats documenté : analyse d'écart NIS2 face à l'annexe II de la directive UE 2022/2555, plan d'actions priorisé avec charge et évaluation des risques, dossier de défense d'audit avec structures de preuves pour les demandes BSI. Discovery-Spike comme mission initiale typique, avec squelette de business case pour le directeur financier et les achats — prêt pour le prochain comité de pilotage et le rapport annuel de sécurité.
Pour les DSI · Defender XDR, Purview, Entra
Configuration concrète, pas de la théorie : Microsoft Defender XDR (endpoint, e-mail, cloud, identité) avec pipeline de reporting d'incident pour l'obligation de notification sous 24 heures, Microsoft Purview (classification des données, DLP, insider risk, audit), Conditional Access et Privileged Identity Management dans Microsoft Entra ID, intégration SIEM Sentinel. Cartographie annexe II de NIS2 par mesure. Vous parlez directement à l'architecte qui implémente aussi le stack.
NIS2 est là
La loi de mise en œuvre NIS2 et de renforcement de la cybersécurité (NIS2UmsuCG) est la transposition allemande de la directive UE 2022/2555. Elle est en vigueur depuis le 6 décembre 2025 et élargit considérablement le cercle des entreprises soumises à l'obligation. Environ 29 500 organisations allemandes relèvent de NIS2 pour la première fois — beaucoup d'entre elles sont des constructeurs de machines du Mittelstand, des producteurs alimentaires, des prestataires de services informatiques, des fournisseurs d'énergie régionaux.
Le changement central par rapport à la première directive NIS : NIS2 ne couvre plus seulement les secteurs KRITIS classiques mais aussi plus largement les secteurs essentiels et importants — de la production alimentaire aux fabricants de certaines machines en passant par les prestataires de services informatiques gérés. Si vous exploitez une entreprise du Mittelstand de 50+ collaborateurs et 10 millions d'euros de chiffre d'affaires dans l'un des 18 secteurs NIS2, vous êtes très probablement concernés.
Trois conséquences sont particulièrement marquantes : premièrement, une obligation de notification d'incident sous 24 heures auprès de l'Office fédéral allemand de la sécurité informatique (BSI). Deuxièmement, un système de gestion des risques documenté avec des mesures techniques et organisationnelles claires. Troisièmement — et ce point est souvent négligé — la responsabilité personnelle directe des dirigeants. Quiconque délègue le sujet puis ne le supervise pas de manière démontrable a un problème personnel au regard de NIS2.
Quatre briques de conformité
Microsoft a construit ces trois dernières années un stack de conformité cohérent. Quatre outils forment le socle — ils s'imbriquent mais constituent chacun leur propre objet de licence et de configuration.
Évaluation, analyse des écarts, feuille de route. Nous comparons votre état actuel aux exigences NIS2, identifions les écarts majeurs et priorisons les actions par risque et par charge. Résultat : un programme de mise en œuvre clairement formulé que la direction et l'IT portent ensemble.
Classification des données, Data Loss Prevention (DLP), gestion du risque interne, audit. Microsoft Purview répond à la question : quelles sont nos données critiques, qui les voit, qui peut faire quoi avec elles. Central pour le RGPD comme pour NIS2.
Gestion des identités et des accès. Authentification multifacteur, Conditional Access, Privileged Identity Management, Identity Protection. Quiconque veut la conformité NIS2 doit d'abord maîtriser les identités — l'action à plus fort levier au plus faible risque.
Sécurité des endpoints, sécurité e-mail, sécurité cloud, sécurité des identités. Microsoft Defender XDR unifie les différents produits Defender sur une plateforme de télémétrie. L'obligation de notification d'incident NIS2 devient opérationnellement remplissable — à condition que le stack soit configuré proprement et que l'équipe sache s'en servir.
Notre approche
NIS2 n'est pas un projet de 4 semaines. Mais ce n'est pas non plus un programme de 24 mois. Nous travaillons avec nos clients en quatre phases clairement séparées — chaque phase livre un résultat autonome qui a une valeur même si la phase suivante est différée.
Quatre semaines. Nous vérifions votre applicabilité (secteur, taille, classification KRITIS), inventorions les actifs critiques et capturons l'état actuel dans Microsoft 365, Entra ID et Defender. Résultat : une image claire de la situation de départ, sans enjolivement.
Trois à quatre semaines. Une évaluation d'écart par exigence NIS2 et par outil Microsoft. Ce qui est actuellement respecté, partiellement, pas du tout. Par écart une mesure, une charge, une contribution au risque. Résultat : un catalogue d'actions priorisé.
4 à 9 mois. Mise en œuvre des mesures priorisées — quick wins (MFA, Conditional Access, règles DLP de base) en premier, puis les sujets structurels (insider risk, SIEM, réponse à incident). Par vagues, avec des jalons clairs.
En continu. NIS2 n'est pas un état final de projet mais une discipline continue. Revue de conformité trimestrielle, audit annuel, ajustement continu des règles Defender. En option dans nos contrats Application Care.
Coûts de mise en œuvre — le chiffre honnête
Nous entendons souvent la question : « Combien va nous coûter NIS2 ? » Une réponse honnête a deux faces. Côté conseil et mise en œuvre, pour les entreprises du Mittelstand de 50 à 500 collaborateurs, nous cadrons un programme dont le coût est arrêté ensemble lors de l'échange initial. Cette enveloppe couvre l'évaluation, l'analyse des écarts, le déploiement des quick wins, la configuration de Microsoft Purview/Entra ID/Defender et la mise en place des processus de réponse à incident.
Côté licences, les montées de licence Microsoft viennent s'ajouter — typiquement de Microsoft 365 E3 vers E5 ou des paquets complémentaires Defender et Purview. Nous calculons cela en toute transparence via notre License Cost Calculator. Cela se traduit par un surcoût mensuel par collaborateur — la fourchette dépend fortement de la situation de départ.
Ce que les coûts ne couvrent pas : les renouvellements matériels (par ex. pour le durcissement des endpoints), les audits externes par des auditeurs certifiés, l'accompagnement juridique pour la déclaration de conformité. Nous incluons en option ces postes dans un budget global mais orientons typiquement vers des partenaires spécialisés.
Périmètre honnête
Nous traitons la conformité NIS2 sur le stack Microsoft. Trois domaines où nous faisons appel à des partenaires de manière délibérée :
Sécurité OT (technologie opérationnelle). Commandes de machines, systèmes SCADA, capteurs industriels — c'est sa propre discipline avec ses propres outils (Claroty, Nozomi, Microsoft Defender for IoT comme passerelle). Pour les clients industriels, nous mobilisons des partenaires OT spécialisés.
Sécurité physique. Contrôle d'accès, onduleurs, protection incendie, sites redondants — NIS2 l'exige, nous ne le livrons pas. Nous renvoyons ici vers des partenaires de facility management.
Audits de conformité. Le tampon juridique sur la déclaration de conformité est apposé par un cabinet d'audit certifié, pas par nous. Nous préparons l'audit, documentons les mesures et vous accompagnons dans l'évaluation — le tampon vient d'un tiers.
Questions fréquentes
NIS2 (directive UE 2022/2555) est la deuxième édition de la Network and Information Security Directive. En Allemagne, elle a été transposée par la loi de mise en œuvre NIS2 et de renforcement de la cybersécurité (NIS2UmsuCG), entrée en vigueur le 6 décembre 2025. Environ 29 500 entreprises allemandes sont concernées par l'obligation pour la première fois.
Trois critères déclenchent l'obligation : le secteur (18 secteurs nommés dans NIS2 comme l'énergie, le transport, la banque, la santé, les services informatiques, les fabricants de certains produits), la taille (entreprises de taille moyenne à partir de 50 collaborateurs et 10 millions d'euros de chiffre d'affaires) et la criticité (classification KRITIS). Nous vérifions l'applicabilité dès la première heure de l'échange initial.
NIS2 prévoit des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles. Pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires. À cela s'ajoute la responsabilité directe des dirigeants — la direction est personnellement engagée, pas seulement l'IT.
Pour les entreprises du Mittelstand, le budget de mise en œuvre se calcule individuellement. Il couvre l'évaluation, l'analyse des écarts, la configuration des outils Microsoft (Purview, Entra ID, Defender), la formation et la mise en place des obligations de reporting. Les coûts continus proviennent des licences et de la surveillance continue. Tarif sur demande.
Pour la plupart des exigences, oui. Microsoft Purview, Microsoft Entra ID, Microsoft Defender et Microsoft Sentinel couvrent la majorité des exigences NIS2. Des écarts subsistent dans la sécurité OT (technologie opérationnelle, commande de machines), les exigences sectorielles spécifiques et la protection physique. Nous traitons ces écarts via des partenaires.
Réalistiquement 6 à 12 mois pour les entreprises du Mittelstand — depuis la première évaluation jusqu'à l'exploitation productive des outils de conformité. Les quick wins (authentification multifacteur, Conditional Access, règles DLP de base) sont atteignables en 4 à 8 semaines. La maturité complète, y compris les processus de réponse à incident, prend plus de temps.
Le RGPD protège les données personnelles. NIS2 protège la disponibilité et l'intégrité des services critiques — la cybersécurité au sens large, avec des obligations claires sur la gestion des risques, le reporting d'incidents (délai de 24 heures !) et la responsabilité des dirigeants. Les deux réglementations s'imbriquent mais couvrent des objectifs de protection différents.
À emporter · deux supports
Deux profondeurs pour des besoins de lecture différents. La fiche synthétique est une référence rapide (3 à 5 min), immédiatement téléchargeable. Le livre blanc est un éclairage de marché avec méthodologie et données comparatives (15 à 30 min) — vous le recevez par e-mail après une courte demande.
Lecture 3 à 5 min · téléchargement direct · sans formulaire
Aperçu compact : périmètre, indicateurs clés, modèle tarifaire, processus — idéal à transmettre au directeur financier, aux achats ou à la direction métier.
Lecture 15 à 30 min · par e-mail sur demande
Méthodologie, données comparatives, cadre de recommandation — un support pour l'argumentation interne face aux parties prenantes.
Services connexes
Les structures QM sont la base d'une conformité durable — processus documentés, pistes d'audit.
Voir la page →
Obligation de conformité parallèle pour les systèmes d'IA — même mise en place de gouvernance.
Voir la page →
Architecture sécurisée comme prérequis — stratégie tenant, Conditional Access, DLP.
Voir la page →
Configuration du stack Microsoft alignée aux obligations NIS2 — identité, M365, Defender.
Voir la page →
Premier échange de 30 min ou architecture de 45 min
Nous vérifions applicabilité, maturité et écarts majeurs lors d'un premier échange. Pour les setups complexes avec plusieurs sites, parts OT ou structures de groupe, allez directement à l'échange d'architecture de 45 min.
