EuroComply
Créer un compte
Back to blog
NIS2 10 min read

Directive NIS2 : Exigences Essentielles pour les Opérateurs

What you need to know: Directive NIS2 : Exigences Essentielles pour les Opérateurs

La directive NIS2 a considérablement élargi les obligations de cybersécurité de l'UE en 2024. Ce guide présente les 10 mesures de sécurité minimales, les délais de notification des incidents et les règles de responsabilité des organes de direction.

Source: EuroComply Editorial (2025-01-20)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

La directive NIS2 (directive 2022/2555) a remplacé la directive NIS originale en octobre 2024, élargissant considérablement à la fois le champ des obligations de cybersécurité de l'UE et les conséquences du non-respect. Là où la directive NIS initiale s'appliquait à un nombre limité d'opérateurs de services essentiels, NIS2 couvre un éventail de secteurs bien plus large, introduit une responsabilité directe des organes de direction et harmonise les exigences de notification des incidents à l'échelle de l'Union.

Si votre organisation opère dans l'un des 18 secteurs couverts, ce guide explique ce que vous êtes tenu de mettre en œuvre, dans quels délais les incidents doivent être notifiés, et ce que la responsabilité des organes de direction signifie concrètement.

Champ d'application : Entités essentielles et entités importantes

NIS2 crée deux catégories d'entités régulées soumises à des régimes de surveillance distincts :

Les entités essentielles font l'objet d'une supervision ex ante (proactive). Les autorités nationales compétentes peuvent procéder à des inspections et des audits sans attendre qu'un incident survienne. Les sanctions applicables aux entités essentielles peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Les entités importantes font l'objet d'une supervision ex post — les autorités peuvent enquêter après avoir constaté des éléments de non-conformité ou à la suite d'un incident. Les sanctions sont moins élevées : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.

Les 18 secteurs couverts comprennent : l'énergie, les transports, les services bancaires, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques (notamment les fournisseurs DNS, les registres TLD, les centres de données, les fournisseurs de services en nuage, les opérateurs CDN), la gestion des services TIC (fournisseurs de services gérés B2B), l'administration publique, l'espace, les services postaux et de messagerie, la gestion des déchets, les produits chimiques, l'alimentation, la fabrication (dispositifs médicaux, ordinateurs, machines, véhicules), les fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux) et les organismes de recherche.

La classification en entité essentielle ou importante dépend du secteur et de la taille de l'organisation. La plupart des organisations de taille moyenne et grande dans les secteurs listés entrent automatiquement dans le champ d'application. Les autorités compétentes peuvent également désigner des entités plus petites comme essentielles ou importantes si elles sont critiques pour leur secteur.

Les 10 mesures de sécurité minimales (Article 21)

L'article 21 de NIS2 oblige toutes les entités concernées à mettre en œuvre des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » couvrant au minimum ces 10 domaines :

  1. Politiques d'analyse des risques et de sécurité des systèmes d'information — politiques documentées couvrant l'analyse des risques et la sécurité des systèmes d'information, avec des rôles et des responsabilités définis.

  2. Gestion des incidents — processus et procédures établis pour détecter les incidents de sécurité, y répondre et s'en remettre, incluant des rôles clairs, des plans de communication et la préservation des preuves.

  3. Continuité des activités — gestion des sauvegardes, reprise après sinistre et procédures de gestion de crise garantissant la restauration des opérations après une perturbation majeure.

  4. Sécurité de la chaîne d'approvisionnement — évaluation des pratiques de sécurité des fournisseurs directs et des prestataires de services, ainsi que des exigences de sécurité contractuelles applicables tout au long de la chaîne d'approvisionnement.

  5. Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information — incluant les politiques de gestion et de divulgation des vulnérabilités des systèmes exploités.

  6. Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité — tests réguliers, audits et révisions des contrôles de sécurité.

  7. Pratiques de base en matière de cyber-hygiène et formation à la cybersécurité — formation régulière de l'ensemble du personnel et politiques documentées couvrant les mesures d'hygiène fondamentales : calendriers de correctifs, gestion des accès, authentification multifacteur, configuration sécurisée.

  8. Politiques et procédures relatives à l'utilisation de la cryptographie — et, le cas échéant, du chiffrement, y compris la gestion des clés.

  9. Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs — procédures de sécurité du personnel, gestion des privilèges et inventaire des actifs tenu à jour.

  10. Utilisation de l'authentification multifacteur, de solutions d'authentification continue, de communications vocales, vidéo et textuelles sécurisées, et de systèmes de communication d'urgence sécurisés — dans la mesure appropriée au sein de l'organisation.

Les mesures doivent être proportionnées au risque, à la taille de l'entité et à l'impact sociétal et économique potentiel d'un incident. Cela ne signifie pas que les petites organisations peuvent ignorer les exigences — cela signifie qu'elles s'appliquent en proportion du paysage des menaces.

Notification des incidents : Calendrier en trois étapes

L'article 23 de NIS2 introduit un processus de notification harmonisé en trois étapes pour les incidents significatifs. Un incident significatif est un incident qui a causé ou est susceptible de causer de graves perturbations opérationnelles ou des pertes financières, ou qui a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales.

Étape 1 — Alerte précoce (dans les 24 heures) : Notifiez le CSIRT national ou l'autorité de contrôle compétente qu'un incident significatif s'est produit ou est suspecté. À ce stade, une évaluation complète n'est pas nécessaire — l'objectif est d'informer les autorités au plus tôt.

Étape 2 — Notification de l'incident (dans les 72 heures) : Fournissez une notification d'incident comprenant une première évaluation de la gravité et de l'impact de l'incident, les éventuels indicateurs de compromission, ainsi que des informations indiquant si l'incident est suspecté d'impliquer une activité criminelle ou malveillante.

Étape 3 — Rapport final (dans un délai d'un mois) : Soumettez un rapport final détaillé comprenant une description de l'incident avec sa gravité et son impact, le type de menace ou la cause profonde, les mesures d'atténuation appliquées et en cours, et, lorsque l'incident a un impact transfrontalier, les informations requises par les autres États membres concernés.

Le non-respect de ces délais — en particulier les fenêtres de 24 heures et de 72 heures — constitue un manquement direct aux obligations de conformité et fonde des mesures de surveillance.

Responsabilité des organes de direction (Article 20)

L'une des modifications les plus significatives introduites par NIS2 est la responsabilité personnelle directe des organes de direction. L'article 20 oblige les États membres à s'assurer que les organes de direction des entités essentielles et importantes approuvent et supervisent les mesures de gestion des risques de cybersécurité de l'entité, et que les membres des organes de direction peuvent être tenus personnellement responsables des infractions.

En pratique, cela signifie que : les conseils d'administration et la direction générale doivent être formés aux fondamentaux de la cybersécurité, approuver formellement les politiques de sécurité et les procédures de réponse aux incidents de l'organisation, et recevoir des rapports réguliers sur la posture de sécurité de l'organisation. La responsabilité des organes de direction n'est pas délégable — la désignation d'un RSSI ne dégage pas le conseil d'administration de sa responsabilité.

Transition depuis NIS1

Si votre organisation était soumise à la directive NIS initiale, vous ne repartez pas de zéro — mais des lacunes importantes sont probables. NIS2 ajoute des exigences plus strictes en matière de sécurité de la chaîne d'approvisionnement, une obligation formelle d'approbation par les organes de direction qui n'existait pas sous NIS1, des obligations de formation plus spécifiques et un cadre de 10 mesures plus prescriptif. Le délai de transposition d'octobre 2024 est dépassé et les autorités nationales compétentes supervisent activement la conformité.

Les organisations nouvellement soumises à NIS2 devraient commencer par une analyse des écarts par rapport aux 10 mesures de l'article 21, cartographier leurs capacités de détection et de notification des incidents par rapport au calendrier en trois étapes, et s'assurer que la direction a formellement approuvé les politiques de sécurité et reçu une formation appropriée.


Dernière mise à jour : mai 2026.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Questions fréquemment posées

Comment déterminer si notre organisation est une entité essentielle ou importante au titre de NIS2 ?

La classification dépend de votre secteur et des seuils de taille définis dans la législation nationale de transposition. La directive NIS2 elle-même utilise la définition européenne des moyennes et grandes entreprises (50 salariés ou plus, ou chiffre d'affaires annuel supérieur à 10 millions d'euros). Les organisations dans les secteurs listés qui remplissent ces seuils doivent supposer qu'elles entrent dans le champ d'application et évaluer si elles sont essentielles ou importantes en fonction de leur catégorie sectorielle spécifique. Les autorités compétentes de chaque État membre publient des orientations sectorielles et peuvent notifier directement les organisations de leur classification. En cas de doute, l'approche la plus prudente consiste à traiter votre organisation comme une entité importante et à mettre en œuvre les mesures de l'article 21 en conséquence dans l'attente d'une classification formelle.

NIS2 s'applique-t-elle aux filiales de sociétés non européennes opérant dans l'UE ?

Oui. Le champ d'application territorial de NIS2 couvre les entités qui fournissent des services ou exercent des activités au sein de l'UE, quel que soit le lieu d'établissement de la société mère. Une filiale ou succursale opérant dans un État membre de l'UE et remplissant les seuils sectoriels et de taille est soumise à NIS2 dans cet État membre. Si l'entité opère dans plusieurs États membres, elle est généralement supervisée par l'État membre où elle a son établissement principal, avec une coordination entre les autorités nationales compétentes pour les incidents transfrontaliers.

Quelle est la relation entre NIS2 et le RGPD en matière de notification des incidents ?

NIS2 et le RGPD imposent tous deux des obligations de notification des incidents, mais ils reposent sur des déclencheurs et des délais différents. L'article 33 du RGPD exige la notification d'une violation de données à caractère personnel à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance — une norme qui s'applique aux violations portant sur des données à caractère personnel. L'article 23 de NIS2 exige la notification des incidents significatifs affectant les réseaux et systèmes d'information, qu'ils impliquent ou non des données à caractère personnel. Un incident peut déclencher simultanément les deux obligations. Dans ce cas, les notifications doivent être adressées à la fois au CSIRT ou à l'autorité compétente NIS2 et à l'autorité de contrôle en matière de protection des données, les délais respectifs courant en parallèle.

Sources

  • EUR-Lex, Directive (UE) 2022/2555 (directive NIS2) : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555
  • Agence de l'Union européenne pour la cybersécurité (ENISA), orientations sur la mise en œuvre de NIS2 : https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
  • Commission européenne, transposition de NIS2 et autorités nationales compétentes : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
  • ENISA, Bonnes pratiques pour la sécurité de l'IoT et des technologies associées : https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot

Key takeaways: Directive NIS2 : Exigences Essentielles pour les Opérateurs

This article covers: Champ d'application : Entités essentielles et entités importantes, Les 10 mesures de sécurité minimales (Article 21), Notification des incidents : Calendrier en trois étapes.

  • Champ d'application : Entités essentielles et entités importantes
  • Les 10 mesures de sécurité minimales (Article 21)
  • Notification des incidents : Calendrier en trois étapes
  • Responsabilité des organes de direction (Article 20)
  • Transition depuis NIS1
Source: EuroComply Editorial (2025-01-20)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.