Qu'est-ce que NIS2 ? Tout ce que vous devez savoir sur la directive européenne en cybersécurité

NIS2 (Directive 2022/2555) est la directive révisée de l'Union européenne en matière de cybersécurité. Elle remplace la directive NIS originale de 2016 et s'applique aux organisations de 18 secteurs critiques dans chaque État membre de l'UE.

Dans cet article, nous expliquons ce qu'est NIS2, à qui elle s'applique, ce que vous devez faire et quelles sont les conséquences en cas de non-conformité.

Pourquoi NIS2 existe-t-elle ?

Les cyberattaques contre des hôpitaux, des fournisseurs d'énergie et des systèmes gouvernementaux ont démontré que les menaces numériques peuvent paralyser des sociétés entières. Une seule attaque par ransomware contre un fournisseur peut provoquer une réaction en chaîne transfrontalière et interrompre des services dont dépendent des millions de personnes.

L'UE a conclu que la cybersécurité ne peut plus être laissée aux organisations individuelles ou aux États membres. NIS2 établit un niveau minimum de cybersécurité que tous les États membres doivent faire respecter — afin qu'une vulnérabilité dans un pays ne compromette pas l'ensemble de l'Union.

Qu'est-ce qui a changé par rapport à la directive NIS originale ?

Champ d'application élargi — de quelques secteurs à 18
Exigences plus spécifiques — 10 catégories de mesures concrètes au lieu de directives vagues
Application plus stricte — amendes jusqu'à 10 millions d'euros et responsabilité personnelle des dirigeants
Signalement d'incidents plus strict — notification obligatoire dans les 24 heures

À qui s'applique NIS2 ?

NIS2 utilise un critère de taille comme condition principale. La directive s'applique à votre organisation si vous remplissez les deux conditions suivantes :

50 employés ou plus, ou un chiffre d'affaires annuel / total du bilan supérieur à 10 millions d'euros
Vous opérez dans l'un des 18 secteurs désignés

Secteurs hautement critiques (Annexe I)

Énergie (électricité, pétrole, gaz, hydrogène, réseaux de chaleur)
Transports (aérien, ferroviaire, fluvial/maritime, routier)
Secteur bancaire et infrastructures des marchés financiers
Santé
Eau potable et eaux usées
Infrastructure numérique (DNS, registres TLD, cloud, centres de données, CDN)
Gestion de services TIC (B2B — services gérés, sécurité gérée)
Administration publique
Espace

Autres secteurs critiques (Annexe II)

Services postaux et de courrier
Gestion des déchets
Industrie chimique
Production et distribution alimentaires
Industrie manufacturière (dispositifs médicaux, électronique, machines, véhicules)
Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
Organismes de recherche

À noter : Certaines organisations relèvent de NIS2 quelle que soit leur taille — notamment les prestataires de services de confiance qualifiés, les registres de noms de domaine de premier niveau et les fournisseurs de services DNS.

Entités essentielles vs. importantes

NIS2 distingue deux catégories :

Entités essentielles — grandes organisations dans les secteurs hautement critiques. Soumises à une supervision proactive : les autorités peuvent auditer et inspecter à tout moment.
Entités importantes — soumises à une supervision réactive : les autorités n'interviennent qu'après un incident ou un signal de non-conformité.

Les deux catégories doivent mettre en œuvre les mêmes mesures de sécurité. La différence réside dans le modèle de supervision et les amendes maximales.

Que demande NIS2 ? Les 3 obligations fondamentales

1. Devoir de diligence — les 10 mesures de l'article 21

Les organisations doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques de cybersécurité. L'article 21 énumère dix catégories de mesures spécifiques à mettre en œuvre au minimum.

Voici un aperçu visuel de l'organisation des 10 mesures :

Article 21 — 10 Mesures de Cybersécurité NIS2
🛡️
Article 21
10 Mesures de Cybersécurité
📊Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information
6Évaluation de l'efficacité des mesures de sécurité
🚨Incidents & Continuité
2Gestion des incidents & notification
3Continuité des activités & reprise après sinistre
🔗Chaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement
5Sécurité dans le développement des systèmes d'information
🔐Contrôles Techniques
8Cryptographie & chiffrement
10Authentification multifacteur & communications sécurisées
👥Personnel & Actifs
7Cyber-hygiène & formation
9Sécurité RH & contrôle d'accès

Chaque mesure en détail :

Analyse des risques et politiques de sécurité de l'information — évaluations documentées des risques et politiques de sécurité pour vos systèmes d'information
Gestion des incidents — processus de détection, de réponse et de rétablissement en cas d'incidents de sécurité
Continuité des activités et gestion de crise — stratégies de sauvegarde, reprise après sinistre et procédures de gestion de crise
Sécurité de la chaîne d'approvisionnement — exigences de sécurité envers vos fournisseurs et prestataires, y compris les dispositions contractuelles
Acquisition, développement et maintenance sécurisés — sécurité dans le cycle de vie de vos réseaux et systèmes d'information, y compris la gestion des vulnérabilités
Évaluation de l'efficacité — politiques et procédures pour évaluer si vos mesures de cybersécurité fonctionnent réellement
Cyberhygiène et formation — pratiques de base en cybersécurité pour l'ensemble du personnel, ainsi que des programmes de formation ciblés
Cryptographie et chiffrement — politiques sur l'utilisation des mesures cryptographiques et du chiffrement
Sécurité des ressources humaines, contrôle d'accès et gestion des actifs — vérification du personnel, contrôles d'accès basés sur les rôles et inventaire actualisé de vos actifs
Authentification multifacteur et communications sécurisées — MFA pour les systèmes critiques, communications internes chiffrées et canaux de communication d'urgence sécurisés

2. Obligation de notification (Article 23)

En cas d'incident significatif, vous devez le signaler en trois étapes :

Délai	Ce que vous devez transmettre
Dans les 24 heures	Notification initiale à l'autorité de surveillance et au CSIRT national — était-ce malveillant ? Un impact transfrontalier est-il possible ?
Dans les 72 heures	Rapport de suivi avec une évaluation initiale de la gravité, de l'impact et des indicateurs de compromission
Dans un délai d'1 mois	Rapport final avec description détaillée, analyse des causes et mesures correctives appliquées

3. Obligation d'enregistrement

Les organisations relevant de NIS2 doivent s'enregistrer auprès de leur autorité nationale de surveillance. Les délais et portails d'enregistrement varient selon les pays.

Que se passe-t-il en cas de non-conformité ?

Les conséquences sont significatives — tant pour l'organisation que pour les dirigeants individuellement.

Sanctions financières

Entités essentielles : amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé)
Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial

Responsabilité personnelle des dirigeants

C'est là que NIS2 va plus loin que la plupart des réglementations. L'article 20 place la responsabilité de la cybersécurité explicitement au niveau de l'organe de direction :

Les dirigeants doivent approuver les mesures de gestion des risques
Les dirigeants doivent superviser leur mise en œuvre
Les dirigeants peuvent être tenus personnellement responsables en cas de manquement
Les dirigeants sont tenus de suivre une formation en cybersécurité

Il ne s'agit pas simplement de signer un document de politique. NIS2 attend que la direction comprenne activement le paysage des risques de l'organisation et prenne des décisions éclairées.

Calendrier de mise en œuvre de NIS2 dans l'UE

NIS2 est entrée en vigueur au niveau de l'UE en janvier 2023. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer en droit national. Cependant, les calendriers varient considérablement :

Pays	Statut
Belgique	Pleinement en vigueur depuis octobre 2024 — parmi les premiers
Allemagne	NIS2UmsuCG adopté en novembre 2025 ; inscription au BSI requise d'ici avril 2026
Pays-Bas	Cyberbeveiligingswet soumise au parlement en juin 2025 ; prévue T2 2026
France	Transposition en cours ; loi nationale attendue en 2026
Italie	Décret législatif adopté ; mise en œuvre en cours
Espagne	Transposition en cours
Pologne	Projet de loi en examen parlementaire

À retenir : Quel que soit le calendrier spécifique de votre pays, la direction est claire. Les organisations qui commencent à se préparer maintenant auront un avantage significatif.

Comment démarrer votre conformité NIS2 ?

Se préparer à NIS2 n'a pas besoin d'être accablant. Suivez ces cinq étapes :

Déterminez si NIS2 s'applique à vous — vérifiez le critère de taille (50+ employés ou 10M€+ de CA) et confirmez votre secteur
Évaluez votre situation actuelle — cartographiez vos mesures existantes par rapport aux 10 catégories de l'article 21 et identifiez les lacunes
Priorisez et mettez en œuvre — traitez d'abord les lacunes les plus risquées ; n'essayez pas de tout faire en même temps
Documentez tout — NIS2 exige une conformité démontrable. Ce que vous ne pouvez pas prouver ne compte pas
Impliquez votre direction — assurez-vous que le management comprend sa responsabilité personnelle et approuve l'approche de gestion des risques

Commencez par un quickscan NIS2 gratuit

Vous ne savez pas où en est votre organisation ? Notre quickscan NIS2 gratuit vous donne une première évaluation de votre état de préparation en quelques minutes.

Le scan couvre les 10 catégories de mesures de l'article 21 et vous montre exactement où vous devez agir — sans engagement.