← Retour au blog
RECHERCHE 22/02/2026 12 min de lecture

Directive NIS2 : Le guide complet pour les entreprises européennes

Tout ce que vous devez savoir sur la directive NIS2 : qui est concerné, les exigences, les sanctions jusqu'à 10 M€, les échéances et comment préparer votre organisation à la conformité.


Directive NIS2 : Le guide complet pour les entreprises européennes

La directive NIS2 (Directive (UE) 2022/2555) représente la refonte la plus importante de la réglementation européenne en matière de cybersécurité depuis une décennie. Si votre organisation opère en Europe, cette législation va fondamentalement changer votre approche de la cybersécurité — et les sanctions en cas de non-conformité sont sévères.

Ce guide couvre tout ce que vous devez savoir : ce qu'est NIS2, qui est concerné, les exigences spécifiques, les échéances, les sanctions et une feuille de route claire pour atteindre la conformité.

Qu'est-ce que la directive NIS2 ?

La directive NIS2 est le cadre actualisé de l'Union européenne visant à garantir un niveau commun élevé de cybersécurité dans tous les États membres. Elle remplace la directive NIS originale (2016/1148), largement critiquée pour sa mise en œuvre incohérente et un périmètre trop étroit face au paysage actuel des menaces.

Adoptée par le Parlement européen le 28 novembre 2022, NIS2 élargit considérablement le nombre d'organisations soumises à des obligations obligatoires de cybersécurité. La Commission européenne a estimé que la directive NIS originale couvrait environ 15 000 entités dans l'UE. Avec NIS2, ce nombre passe à plus de 160 000 organisations — une multiplication par dix.

Pourquoi NIS2 était-elle nécessaire ?

La directive NIS originale laissait trop de lacunes :

NIS2 corrige toutes ces lacunes avec des exigences harmonisées, un périmètre élargi et des mécanismes d'application réellement dissuasifs.

À qui s'applique NIS2 ?

NIS2 utilise une règle de seuil de taille combinée à une classification sectorielle. Les organisations sont classées en entités essentielles ou entités importantes.

Entités essentielles (Annexe I — « Secteurs hautement critiques »)

Ces secteurs sont considérés comme vitaux pour le fonctionnement de la société et de l'économie :

Entités importantes (Annexe II — « Autres secteurs critiques »)

La règle de seuil de taille

NIS2 s'applique aux organisations des secteurs ci-dessus qui remplissent au moins un de ces critères :

Exceptions importantes : certaines entités sont couvertes quelle que soit leur taille, notamment : - Les fournisseurs de services DNS - Les registres de noms de TLD - Les fournisseurs de réseaux de communications électroniques publics - Les prestataires de services de confiance - Les fournisseurs uniques d'un service dans un État membre qui est essentiel aux activités sociétales/économiques

Implications pour la chaîne d'approvisionnement

Même si votre organisation ne relève pas directement de NIS2, vous pouvez être affecté par les exigences relatives à la chaîne d'approvisionnement. Les entités essentielles et importantes doivent mettre en œuvre des mesures de gestion des risques de cybersécurité pour leurs chaînes d'approvisionnement, ce qui signifie qu'elles répercuteront les exigences de conformité en aval sur les fournisseurs et partenaires.

Exigences NIS2 : ce que vous devez faire

L'article 21 de NIS2 définit dix mesures minimales de gestion des risques de cybersécurité que toutes les entités concernées doivent mettre en œuvre :

1. Analyse des risques et politiques de sécurité des systèmes d'information

Établir des politiques complètes d'analyse des risques et de sécurité des systèmes d'information. Cela inclut des évaluations régulières des risques, des politiques de sécurité documentées et un cadre de gouvernance de la cybersécurité.

2. Gestion des incidents

Mettre en place des procédures de prévention, de détection et de réponse aux incidents de cybersécurité. Cela comprend : - Des plans de réponse aux incidents - Des capacités de détection d'incidents - Des procédures de communication pendant les incidents

3. Continuité d'activité et gestion de crise

Assurer la résilience opérationnelle par : - La gestion des sauvegardes - Des plans de reprise après sinistre - Des procédures de gestion de crise - Des tests réguliers des plans de continuité

4. Sécurité de la chaîne d'approvisionnement

Adresser les risques de sécurité dans les relations avec les fournisseurs directs et les prestataires de services. Réaliser une due diligence sur les pratiques de cybersécurité des fournisseurs et inclure des exigences de sécurité dans les contrats.

5. Sécurité des réseaux et des systèmes d'information

Mettre en place des mesures de sécurité couvrant l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, y compris la gestion et la divulgation des vulnérabilités.

6. Évaluation de la gestion des risques de cybersécurité

Établir des politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité. Des audits et évaluations réguliers sont requis.

7. Pratiques de cyberhygiène de base et formation

Mettre en place des pratiques de cyberhygiène et fournir une formation régulière de sensibilisation à la cybersécurité pour l'ensemble du personnel, y compris la direction.

8. Cryptographie et chiffrement

Établir des politiques et procédures concernant l'utilisation de la cryptographie et, le cas échéant, du chiffrement pour protéger les données en transit et au repos.

9. Sécurité des ressources humaines et contrôle d'accès

Mettre en place des politiques de contrôle d'accès appropriées, des procédures de gestion des actifs et des solutions d'authentification multifacteur ou d'authentification continue.

10. Communications sécurisées

Utiliser des communications vocales, vidéo et textuelles sécurisées, ainsi que des systèmes de communication d'urgence sécurisés au sein de l'organisation.

Exigences de notification d'incidents

NIS2 introduit une obligation de notification d'incidents en plusieurs étapes nettement plus contraignante que son prédécesseur :

Étape Délai Exigence
Alerte précoce Dans les 24 heures Notifier le CSIRT ou l'autorité compétente d'un incident significatif
Notification d'incident Dans les 72 heures Fournir une évaluation initiale incluant gravité, impact et indicateurs de compromission
Rapport intermédiaire Sur demande Mise à jour de l'état de l'incident et des mesures de réponse
Rapport final Dans le mois Description détaillée, analyse des causes, mesures d'atténuation et impact transfrontalier

Un incident significatif est défini comme un incident qui : - A causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière - A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un préjudice matériel ou immatériel considérable

Sanctions et application

Les dispositions d'application de NIS2 représentent un changement radical par rapport à la directive originale :

Pour les entités essentielles :

Pour les entités importantes :

Responsabilité de la direction

L'une des dispositions les plus lourdes de conséquences de NIS2 est l'article 20, qui exige : - Que les organes de direction approuvent les mesures de gestion des risques de cybersécurité - Que les organes de direction supervisent la mise en œuvre de ces mesures - Que les membres des organes de direction suivent une formation en cybersécurité - Que la direction puisse être tenue personnellement responsable en cas d'infraction

Cela signifie que la cybersécurité ne peut plus être entièrement déléguée au service informatique. Les administrateurs et les dirigeants portent une responsabilité directe.

Calendrier de transposition de NIS2

La directive est entrée en vigueur le 16 janvier 2023, et les États membres devaient la transposer en droit national avant le 17 octobre 2024.

État de la transposition dans les marchés clés

Allemagne — Le NIS2-Umsetzungsgesetz (NIS2UmsuCG) a été retardé mais est entré en vigueur en 2025. Il affectera environ 29 000 organisations en Allemagne — contre environ 2 000 sous la réglementation KRITIS originale. La mise en œuvre allemande va au-delà des exigences minimales de la directive dans plusieurs domaines.

Autriche — Le NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) est en phase avancée. L'Autriche devrait couvrir environ 4 000 organisations.

Suisse — Bien que n'étant pas membre de l'UE, la Suisse aligne son cadre de cybersécurité sur les principes de NIS2. La loi révisée sur la sécurité de l'information (ISG) intègre des exigences similaires, et les entreprises suisses faisant affaire dans l'UE doivent se conformer directement à NIS2.

France — La France a transposé la directive largement dans les délais, en s'appuyant sur son cadre ANSSI déjà robuste. La loi de transposition renforce les pouvoirs de l'ANSSI et étend le périmètre des opérateurs régulés.

Pays-Bas — La Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) est en cours de finalisation, étendant la couverture à environ 10 000 organisations néerlandaises.

Comment se préparer à la conformité NIS2

Étape 1 : Déterminer si vous êtes concerné

Utilisez les listes sectorielles et les seuils de taille ci-dessus pour évaluer si votre organisation est qualifiée d'entité essentielle ou importante. N'oubliez pas les obligations liées à la chaîne d'approvisionnement — même si vous n'êtes pas directement concerné, vos clients peuvent exiger des pratiques de sécurité alignées sur NIS2.

Étape 2 : Réaliser une analyse des écarts

Comparez votre posture de cybersécurité actuelle avec les dix mesures minimales de l'article 21. Identifiez les lacunes dans : - Les processus de gestion des risques - Les capacités de détection et de réponse aux incidents - La planification de la continuité d'activité - Les pratiques de sécurité de la chaîne d'approvisionnement - La formation et la sensibilisation des employés

Étape 3 : Évaluer votre surface d'attaque

On ne peut pas protéger ce qu'on ne connaît pas. Réalisez une évaluation approfondie de votre surface d'attaque externe, incluant : - Applications web et API - Services et infrastructure cloud - Intégrations tierces - Systèmes hérités exposés à Internet

KENSAI fournit un scan automatisé de la surface d'attaque alimenté par l'IA qui cartographie l'ensemble de votre empreinte externe et identifie les vulnérabilités avant les attaquants. Contrairement aux évaluations ponctuelles traditionnelles, KENSAI offre un scan continu aligné sur l'exigence NIS2 de gestion continue des risques.

Étape 4 : Mettre en œuvre les contrôles techniques

Sur la base de votre analyse des écarts, déployez les contrôles techniques nécessaires : - Segmentation et surveillance du réseau - Détection et réponse sur les points de terminaison (EDR) - Authentification multifacteur - Chiffrement des données en transit et au repos - Gestion des vulnérabilités avec scan régulier - Pare-feu applicatif web et sécurité des API

Étape 5 : Établir la gouvernance et la documentation

NIS2 exige des politiques et procédures documentées. Au minimum, vous avez besoin de : - Politique de sécurité de l'information - Méthodologie et rapports d'évaluation des risques - Plan de réponse aux incidents - Plans de continuité d'activité et de reprise après sinistre - Politique de sécurité de la chaîne d'approvisionnement - Registres de formation

Étape 6 : Préparer les capacités de réponse aux incidents

L'exigence d'alerte précoce à 24 heures signifie que vous avez besoin de : - Capacités de surveillance 24h/24 7j/7 (ou services SOC externalisés) - Critères prédéfinis de classification des incidents - Modèles de communication pour la notification au CSIRT (CERT-FR en France) - Équipe de réponse aux incidents désignée avec des rôles clairs

Étape 7 : Former vos collaborateurs

NIS2 impose une formation en cybersécurité pour les organes de direction et le personnel. Mettez en place : - Une formation régulière de sensibilisation à la sécurité pour tous les employés - Une formation spécifique pour la direction sur ses responsabilités de supervision - Une formation technique pour le personnel IT et sécurité - Des simulations d'hameçonnage et des exercices de sécurité

Étape 8 : Engager votre chaîne d'approvisionnement

Examinez vos relations fournisseurs et : - Évaluez la posture de cybersécurité des fournisseurs critiques - Incluez des exigences de sécurité dans les critères d'achat et les contrats - Établissez des mécanismes de partage d'information avec les fournisseurs clés - Surveillez la sécurité des fournisseurs de manière continue

NIS2 et tests de sécurité automatisés

L'un des moyens les plus efficaces de répondre aux exigences de gestion continue des risques de NIS2 est le test de sécurité automatisé. La directive exige explicitement la gestion des vulnérabilités et l'évaluation régulière des mesures de cybersécurité — les tests d'intrusion manuels annuels ne suffisent plus.

La plateforme de scan automatisé des vulnérabilités de KENSAI permet aux organisations de :

Pour les organisations se préparant à NIS2, le scan automatisé n'est pas optionnel — il est essentiel pour démontrer les mesures techniques « appropriées et proportionnées » exigées par la directive.

Questions fréquemment posées

NIS2 s'applique-t-elle aux entreprises hors UE ?

Oui. Si votre organisation fournit des services au sein de l'UE ou à des entités basées dans l'UE dans des secteurs couverts, NIS2 s'applique. Les entreprises hors UE doivent désigner un représentant dans l'UE.

Quelle est la relation entre NIS2 et le RGPD ?

NIS2 et le RGPD sont complémentaires. Le RGPD se concentre sur la protection des données personnelles ; NIS2 se concentre sur la cybersécurité des réseaux et systèmes d'information. Une violation de données peut déclencher des obligations au titre des deux réglementations. NIS2 précise même que les amendes RGPD doivent être prises en compte lors de l'évaluation des sanctions NIS2.

Peut-on utiliser une certification ISO 27001 existante pour la conformité NIS2 ?

ISO 27001 fournit une base solide, mais ne signifie pas automatiquement la conformité NIS2. NIS2 comporte des exigences spécifiques (comme la notification d'incident à 24 heures) qui vont au-delà d'ISO 27001. Cependant, les organisations certifiées ISO 27001 trouveront la transition nettement plus facile.

Que faire si notre État membre n'a pas encore transposé NIS2 ?

Même si la transposition nationale est retardée, les exigences de la directive sont claires. Les organisations doivent commencer à se préparer dès maintenant. Une fois le droit national en vigueur, l'application peut commencer immédiatement — il pourrait ne pas y avoir de période de grâce.

Comment NIS2 interagit-elle avec les réglementations sectorielles ?

NIS2 inclut une disposition de lex specialis : lorsque la législation sectorielle de l'UE impose des exigences de cybersécurité au moins équivalentes à NIS2, les règles sectorielles prévalent. C'est le cas par exemple de DORA pour le secteur financier.

L'essentiel

NIS2 n'est pas une menace réglementaire lointaine — elle est là, et l'application s'intensifie à travers l'Europe. Les organisations qui tardent à se préparer risquent non seulement des amendes réglementaires, mais aussi les dommages réputationnels et opérationnels liés à une cybersécurité inadéquate.

Les exigences de la directive sont complètes mais réalisables, surtout avec les bons outils et la bonne approche. Commencez par comprendre votre périmètre, évaluez vos lacunes et mettez en œuvre des mesures de sécurité systématiques et continues.


Commencez votre parcours de conformité NIS2 dès aujourd'hui

N'attendez pas le début des actions d'application. La plateforme de sécurité alimentée par l'IA de KENSAI vous aide à identifier les vulnérabilités, évaluer votre surface d'attaque et démontrer la surveillance continue de la sécurité exigée par NIS2.

👉 Obtenez votre scan de sécurité gratuit sur kensai.app/free-scan — visualisez votre exposition en quelques minutes, pas en mois.

Essayez KENSAI gratuitement

Scannez votre infrastructure à la recherche de vulnérabilités en quelques minutes — sans carte bancaire.

Lancer un scan gratuit →

Publié par KENSAI Security Research — Plateforme de cybersécurité alimentée par l'IA

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home