Qu'est-ce que NIS2 ? Guide complet pour les entreprises
What you need to know: Qu'est-ce que NIS2 ? Guide complet pour les entreprises
NIS2 (directive 2022/2555) a remplacé NIS1 en octobre 2024. Ce guide couvre les entités essentielles et importantes, les mesures de sécurité de l'article 21, les délais de notification des incidents, la responsabilité des dirigeants et les sanctions.
La directive NIS2 (directive 2022/2555) est la loi de l'Union européenne sur la cybersécurité applicable aux secteurs critiques et importants. Elle a remplacé la directive NIS1 d'origine (2016/1148) et son délai de transposition était fixé au 17 octobre 2024 — ce qui signifie que les États membres de l'UE devaient transposer ses exigences en droit national avant cette date.
NIS2 élargit considérablement le périmètre des obligations de cybersécurité obligatoires, introduit une responsabilité directe des dirigeants, harmonise la notification des incidents et relève les montants maximaux des sanctions. Ce guide couvre tout ce que les organisations concernées doivent comprendre.
Qu'est-ce que NIS2 ?
NIS2 établit des normes minimales de cybersécurité pour les opérateurs des secteurs critiques et importants dans toute l'UE. Là où NIS1 ne couvrait qu'une liste restreinte d'opérateurs de services essentiels et de fournisseurs de services numériques, NIS2 s'applique à un ensemble bien plus large de secteurs et de tailles d'entités.
Le changement fondamental de NIS2 réside dans le passage de l'auto-identification (NIS1 reposait sur la désignation des entités par les États membres) à une règle de seuil fondée sur la taille : la plupart des entités des secteurs couverts qui atteignent le seuil de l'entreprise moyenne entrent automatiquement dans le champ d'application.
NIS2 est une directive, et non un règlement — elle a nécessité une transposition en droit national. Début 2026, la plupart des États membres de l'UE ont achevé ou pratiquement achevé la transposition, même si la qualité de la mise en œuvre et la capacité de supervision varient.
À qui s'applique NIS2 ?
Champ d'application sectoriel
NIS2 répartit les secteurs couverts entre l'annexe I (entités essentielles) et l'annexe II (entités importantes) :
| Classification | Secteurs | |---------------|---------| | Entités essentielles (annexe I) | Énergie (électricité, pétrole, gaz, chauffage/refroidissement urbain, hydrogène), Transports (aérien, ferroviaire, maritime, routier), Banque, Infrastructures des marchés financiers, Santé, Eau potable, Eaux usées, Infrastructure numérique (IXP, DNS, registres de domaines de premier niveau, informatique en nuage, centres de données, CDN, services de confiance, réseaux de communications électroniques), Gestion des services TIC (MSP, MSSP), Administration publique (administration centrale), Espace | | Entités importantes (annexe II) | Services postaux et de messagerie, Gestion des déchets, Fabrication et distribution de produits chimiques, Production et distribution de denrées alimentaires, Fabrication (dispositifs médicaux, ordinateurs/produits électroniques, machines, véhicules automobiles, autres matériels de transport), Fournisseurs numériques (places de marché en ligne, moteurs de recherche en ligne, plateformes de réseaux sociaux), Organismes de recherche |
Seuils de taille
La règle par défaut prévoit que les entités des secteurs couverts doivent atteindre au moins le seuil de l'entreprise moyenne pour entrer dans le champ d'application :
- Entreprise moyenne : 50 salariés ou plus ou chiffre d'affaires annuel/bilan d'au moins 10 M€
- Grande entreprise : 250 salariés ou plus ou chiffre d'affaires annuel d'au moins 50 M€ ou bilan d'au moins 43 M€
Les entités situées en deçà du seuil de l'entreprise moyenne sont généralement hors champ, sauf si elles sont spécifiquement désignées comme critiques par les États membres, indépendamment de leur taille (art. 2, par. 2) — par exemple, l'unique fournisseur d'un service essentiel dans un État membre, ou une entité dont la perturbation aurait un impact significatif sur la sécurité publique.
Les entités essentielles sont généralement de grandes entreprises des secteurs de l'annexe I. Les entités importantes sont généralement des entreprises moyennes relevant de l'une ou l'autre annexe. Cette distinction est déterminante pour l'intensité de la supervision et le montant maximal des sanctions.
Mesures de sécurité de l'article 21
L'article 21 constitue le cœur opérationnel de NIS2. Il impose aux entités essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur leurs réseaux et systèmes d'information. Ces mesures doivent reposer sur une approche tous risques et couvrir au moins les dix domaines suivants :
| Obligation | Description | |-----------|-------------| | 1. Politiques de gestion des risques | Politiques écrites relatives à l'analyse des risques et à la sécurité des systèmes d'information | | 2. Gestion des incidents | Procédures de détection, de classification, de réponse et de rétablissement | | 3. Continuité des activités | Plans de continuité d'activité couvrant la gestion des sauvegardes, la reprise après sinistre et la gestion de crise | | 4. Sécurité de la chaîne d'approvisionnement | Sécurité dans les relations d'achat — évaluation des pratiques de sécurité des fournisseurs et de leurs pratiques de divulgation des vulnérabilités | | 5. Sécurité de l'acquisition, du développement et de la maintenance | Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, y compris le traitement et la divulgation des vulnérabilités | | 6. Divulgation des vulnérabilités | Politiques et procédures permettant d'évaluer l'efficacité des mesures de cybersécurité, y compris la divulgation coordonnée des vulnérabilités | | 7. Cyberhygiène et formation | Pratiques de base en matière de cyberhygiène et formation à la cybersécurité du personnel et des dirigeants | | 8. Cryptographie et chiffrement | Politiques relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement | | 9. Sécurité des ressources humaines et contrôle d'accès | Gestion des actifs, politiques de sécurité des ressources humaines et mesures de contrôle d'accès | | 10. Authentification multifacteur (MFA) | Recours à la MFA ou à des solutions d'authentification continue, ainsi qu'à des communications vocales, vidéo et textuelles sécurisées et à des communications d'urgence sécurisées, le cas échéant |
Les mesures doivent être proportionnées au risque — une grande infrastructure de marché financier est soumise à des obligations différentes de celles d'un fabricant de produits alimentaires de taille moyenne, même si tous deux relèvent du champ d'application.
Les entités doivent également traiter la sécurité de leurs chaînes d'approvisionnement. L'article 21, paragraphe 3, exige explicitement que les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services directs, ainsi que de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs.
Notification des incidents (article 23)
NIS2 introduit une obligation de notification structurée en trois étapes pour les incidents importants — les incidents ayant ou susceptibles d'avoir un impact significatif sur la fourniture des services. Un incident est important s'il cause une perturbation opérationnelle grave, des pertes financières, ou un dommage matériel ou immatériel à des tiers.
| Étape | Délai | Contenu | |-------|----------|---------| | Alerte précoce | Dans les 24 heures suivant la prise de connaissance | Indication de la suspicion que l'incident soit malveillant ou transfrontalier ; brève caractérisation | | Notification de l'incident | Dans les 72 heures suivant la prise de connaissance | Évaluation actualisée de l'incident, y compris la gravité et l'impact initiaux ; indicateurs de compromission lorsqu'ils sont disponibles | | Rapport final | Dans le mois suivant la notification de l'incident | Description complète, type de menace ou cause profonde, mesures d'atténuation appliquées et en cours, impact transfrontalier |
Pour les incidents toujours en cours à l'échéance d'un mois, un rapport d'avancement est soumis à la place, le rapport final devant être remis un mois après le traitement de l'incident.
Les incidents importants doivent être signalés au CSIRT national (équipe de réponse aux incidents de sécurité informatique) et, le cas échéant, à l'autorité nationale compétente. Les entités peuvent également informer sans retard injustifié les destinataires de services concernés lorsque l'incident est susceptible de les affecter.
Responsabilité des dirigeants (article 20)
NIS2 introduit une exigence de responsabilité directe au niveau de la gouvernance. L'article 20 prévoit que :
- Les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques de cybersécurité prises au titre de l'article 21
- Les organes de direction doivent superviser la mise en œuvre de ces mesures
- Les membres des organes de direction peuvent être tenus personnellement responsables des manquements aux obligations de NIS2
L'article 20, paragraphe 4, va plus loin : les autorités compétentes peuvent interdire temporairement à une personne physique exerçant des responsabilités dirigeantes au niveau de directeur général ou de représentant légal d'exercer des fonctions de direction si l'entité concernée a fait la preuve de manquements répétés.
Il s'agit d'un écart notable par rapport au modèle réglementaire habituel, où les sanctions sont prononcées à l'encontre de l'organisation. NIS2 crée une responsabilité individuelle qui remonte jusqu'à la direction générale et au conseil.
L'implication pratique est que la cybersécurité n'est plus une fonction purement technique — elle doit être traitée comme une question de gouvernance. Les conseils et les équipes de direction doivent disposer d'une compréhension suffisante du risque de cybersécurité pour approuver et superviser les mesures de manière effective.
Supervision et application
NIS2 distingue deux régimes de supervision :
- Les entités essentielles sont soumises à une supervision ex ante — un contrôle de supervision proactif et continu comprenant des inspections sur place, une supervision à distance, des audits de sécurité ciblés et des analyses de sécurité.
- Les entités importantes sont soumises à une supervision ex post — une action de supervision déclenchée par des éléments attestant d'un manquement, par des plaintes ou par des incidents.
Les autorités compétentes peuvent exiger des entités qu'elles fournissent des informations, mettent en œuvre des mesures de sécurité, informent les destinataires concernés et désignent un auditeur de sécurité indépendant.
Sanctions (article 34)
NIS2 fixe des plafonds minimaux de sanctions que les États membres doivent mettre en œuvre. Comme pour le RGPD, les sanctions sont évaluées au plus élevé des deux montants — le chiffre absolu ou le pourcentage du chiffre d'affaires annuel mondial.
| Type d'entité | Sanction maximale | |-------------|-------------| | Entités essentielles | 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial total | | Entités importantes | 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial total |
Les États membres peuvent fixer des plafonds plus élevés dans leur législation nationale de mise en œuvre. Les sanctions sont prononcées au niveau national par l'autorité de supervision compétente.
Outre les sanctions financières, les autorités compétentes peuvent émettre des instructions contraignantes, des injonctions de mise en conformité et des interdictions temporaires de fourniture de services en cas de manquements répétés ou graves.
Articulation avec d'autres réglementations de l'UE
NIS2 s'applique en complément, et non à la place, d'autres instruments de l'UE en matière de cybersécurité et de protection des données :
- RGPD — Une violation de données à caractère personnel peut déclencher simultanément la notification de violation au titre du RGPD (72 h, art. 33 RGPD) et la notification d'incident au titre de NIS2. Les deux obligations de notification s'exécutent en parallèle.
- DORA (règlement sur la résilience opérationnelle numérique, règl. 2022/2554) — S'applique aux entités financières (banques, assureurs, entreprises d'investissement, prestataires de services sur crypto-actifs, établissements de paiement). Lorsque DORA s'applique, il prime sur NIS2 pour ces entités (lex specialis).
- CRA (règlement sur la cyberrésilience) — S'applique aux fabricants de produits comportant des éléments numériques. Il traite de la sécurité des produits plutôt que de la sécurité opérationnelle.
- Réglementations sectorielles — Les entités des secteurs de la santé, de l'énergie et des transports sont soumises à des exigences sectorielles supplémentaires qui se superposent à NIS2.
Étapes de mise en œuvre pour les PME et les ETI
Pour les organisations nouvellement concernées par NIS2 (dont beaucoup n'étaient pas couvertes par NIS1), la mise en œuvre s'étend généralement sur trois phases :
Phase 1 — Cadrage et évaluation des écarts (mois 1 à 2)
Confirmez si votre organisation entre dans le champ d'application : vérifiez le secteur (annexe I ou II) et le seuil de taille. Identifiez l'autorité compétente de l'État membre qui vous supervise (généralement l'État où vous êtes établi, ou celui où vous fournissez le service). Enregistrez-vous auprès de l'autorité compétente si nécessaire — plusieurs États membres exigent un auto-enregistrement pour les entités concernées. Réalisez une évaluation des écarts au regard des dix obligations de l'article 21.
Phase 2 — Contrôles fondamentaux (mois 3 à 6)
Mettez en œuvre ou formalisez les mesures prioritaires : procédures de gestion des incidents, plans de continuité d'activité et de reprise après sinistre, contrôle d'accès et MFA, évaluation de la chaîne d'approvisionnement, gestion des vulnérabilités et formation du personnel. Documentez tout — la supervision NIS2 repose largement sur des preuves écrites.
Phase 3 — Gouvernance et assurance continue (à partir du mois 6)
Intégrez la cybersécurité à la gouvernance du conseil et de la direction. Établissez des processus d'approbation et de supervision par la direction (art. 20). Mettez en place une surveillance continue pour la détection des incidents. Testez les procédures de continuité d'activité et de réponse aux incidents au moins une fois par an. Élaborez un programme d'évaluation de la sécurité de la chaîne d'approvisionnement pour les fournisseurs critiques.
Questions clés à poser aux fournisseurs : Disposent-ils d'un système de management de la sécurité de l'information documenté (ISO 27001 ou équivalent) ? Comment gèrent-ils la divulgation des vulnérabilités ? Quelles sont leurs obligations de notification d'incident à votre égard ? Quelles sont leurs capacités de continuité d'activité ?
Synthèse
NIS2 représente un changement d'échelle dans la réglementation européenne de la cybersécurité. Elle est plus large que NIS1 dans son champ d'application, plus prescriptive dans ses obligations de sécurité, plus rapide dans ses exigences de notification des incidents et plus directe dans ses dispositions relatives à la responsabilité des dirigeants. Pour les organisations nouvellement concernées, la priorité pratique est la suivante : confirmer le champ d'application, s'enregistrer là où c'est requis, réaliser une évaluation des écarts au regard de l'article 21 et bâtir l'infrastructure de gouvernance qu'exige l'article 20. Les dispositions relatives à la responsabilité des dirigeants signifient que la conformité en matière de cybersécurité n'est plus une fonction informatique délégable — elle requiert l'engagement actif de la direction générale.
Dernière mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un avis juridique.
Foire aux questions
Comment savoir si mon entreprise est une entité essentielle ou importante au sens de NIS2 ?
Le cadrage au titre de NIS2 dépend de deux facteurs : le fait que votre secteur figure à l'annexe I (essentiel) ou à l'annexe II (important) de la directive 2022/2555, et le fait que votre organisation atteigne le seuil de taille de l'entreprise moyenne, à savoir 50 salariés ou plus, ou un chiffre d'affaires annuel ou un total de bilan d'au moins 10 millions d'euros. Si vous opérez dans un secteur couvert et que vous atteignez ce seuil, vous entrez dans le champ d'application par défaut — vous n'avez pas à attendre une notification gouvernementale. Les entités essentielles sont généralement de grandes entreprises (250 salariés ou plus ou un chiffre d'affaires supérieur à 50 M€) des secteurs de l'annexe I. Les entités importantes sont des entreprises moyennes ou grandes relevant de l'une ou l'autre annexe. L'article 2, paragraphe 2, permet également aux États membres de désigner de plus petites entités comme entrant dans le champ d'application si elles sont critiques pour la sécurité publique, la sûreté ou l'économie, indépendamment de leur taille.
Qu'exige NIS2 en matière de notification des incidents ?
L'article 23 de NIS2 fixe un processus de notification en trois étapes pour les incidents importants. Dans les 24 heures suivant la prise de connaissance d'un incident important, l'entité doit transmettre une alerte précoce au CSIRT national, en indiquant si l'incident semble résulter d'une action malveillante et s'il est susceptible d'avoir un impact transfrontalier. Dans les 72 heures, une notification d'incident plus complète doit suivre, accompagnée d'une évaluation initiale de la gravité et d'indicateurs de compromission. Un rapport final décrivant la cause profonde, les mesures d'atténuation appliquées et les éventuels effets transfrontaliers doit être remis dans le mois suivant la notification initiale. Un incident est important s'il cause une perturbation opérationnelle grave ou des pertes financières, ou s'il affecte d'autres organisations — les lignes directrices de l'ENISA sur la classification des incidents fournissent des exemples concrets pour calibrer les seuils.
Quelles sont les sanctions en cas de non-conformité à NIS2 ?
L'article 34 de NIS2 fixe des plafonds minimaux de sanctions que les États membres doivent inscrire dans leur droit national. Pour les entités essentielles, la sanction maximale est de 10 millions d'euros ou de 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Pour les entités importantes, le maximum est de 7 millions d'euros ou de 1,4 % du chiffre d'affaires mondial. Les États membres peuvent fixer des plafonds plus élevés. Outre les sanctions financières, les autorités compétentes peuvent émettre des instructions contraignantes, exiger des audits de sécurité indépendants et — en cas de manquements répétés ou graves — interdire temporairement à la direction générale d'exercer ses fonctions au titre de l'article 32. Les dispositions relatives à la responsabilité des dirigeants, prévues à l'article 20, signifient que les dirigeants individuels, et non seulement l'organisation, peuvent être tenus responsables de défaillances persistantes.
Sources
- Directive (UE) 2022/2555 — texte intégral de NIS2 — Le texte législatif officiel de la directive NIS2 tel que publié au Journal officiel de l'Union européenne.
- Guide de mise en œuvre de NIS2 par l'ENISA — Ressources d'orientation de l'ENISA pour les organisations mettant en œuvre NIS2, y compris des boîtes à outils sectorielles et des modèles de notification d'incident.
- Suivi de la transposition de NIS2 par la Commission européenne — Vue d'ensemble de la Commission sur la politique NIS2, l'état de la transposition dans les États membres et les actes d'exécution.
- ENISA — lignes directrices sur la notification des incidents au titre de NIS2 — Lignes directrices techniques sur les mesures de sécurité minimales et les seuils de notification des incidents pour les entités concernées.
Key takeaways: Qu'est-ce que NIS2 ? Guide complet pour les entreprises
This article covers: Qu'est-ce que NIS2 ?, À qui s'applique NIS2 ?, Mesures de sécurité de l'article 21.
- Qu'est-ce que NIS2 ?
- À qui s'applique NIS2 ?
- Mesures de sécurité de l'article 21
- Notification des incidents (article 23)
- Responsabilité des dirigeants (article 20)
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.
Related Regulation
NIS2 Directive
Official EuroComply guide to NIS2 Directive