Tout ce que vous devez savoir sur la directive NIS2 : qui est concerné, les exigences, les sanctions jusqu'à 10 M€, les échéances et comment préparer votre organisation à la conformité.
La directive NIS2 (Directive (UE) 2022/2555) représente la refonte la plus importante de la réglementation européenne en matière de cybersécurité depuis une décennie. Si votre organisation opère en Europe, cette législation va fondamentalement changer votre approche de la cybersécurité — et les sanctions en cas de non-conformité sont sévères.
Ce guide couvre tout ce que vous devez savoir : ce qu'est NIS2, qui est concerné, les exigences spécifiques, les échéances, les sanctions et une feuille de route claire pour atteindre la conformité.
La directive NIS2 est le cadre actualisé de l'Union européenne visant à garantir un niveau commun élevé de cybersécurité dans tous les États membres. Elle remplace la directive NIS originale (2016/1148), largement critiquée pour sa mise en œuvre incohérente et un périmètre trop étroit face au paysage actuel des menaces.
Adoptée par le Parlement européen le 28 novembre 2022, NIS2 élargit considérablement le nombre d'organisations soumises à des obligations obligatoires de cybersécurité. La Commission européenne a estimé que la directive NIS originale couvrait environ 15 000 entités dans l'UE. Avec NIS2, ce nombre passe à plus de 160 000 organisations — une multiplication par dix.
La directive NIS originale laissait trop de lacunes :
NIS2 corrige toutes ces lacunes avec des exigences harmonisées, un périmètre élargi et des mécanismes d'application réellement dissuasifs.
NIS2 utilise une règle de seuil de taille combinée à une classification sectorielle. Les organisations sont classées en entités essentielles ou entités importantes.
Ces secteurs sont considérés comme vitaux pour le fonctionnement de la société et de l'économie :
NIS2 s'applique aux organisations des secteurs ci-dessus qui remplissent au moins un de ces critères :
Exceptions importantes : certaines entités sont couvertes quelle que soit leur taille, notamment : - Les fournisseurs de services DNS - Les registres de noms de TLD - Les fournisseurs de réseaux de communications électroniques publics - Les prestataires de services de confiance - Les fournisseurs uniques d'un service dans un État membre qui est essentiel aux activités sociétales/économiques
Même si votre organisation ne relève pas directement de NIS2, vous pouvez être affecté par les exigences relatives à la chaîne d'approvisionnement. Les entités essentielles et importantes doivent mettre en œuvre des mesures de gestion des risques de cybersécurité pour leurs chaînes d'approvisionnement, ce qui signifie qu'elles répercuteront les exigences de conformité en aval sur les fournisseurs et partenaires.
L'article 21 de NIS2 définit dix mesures minimales de gestion des risques de cybersécurité que toutes les entités concernées doivent mettre en œuvre :
Établir des politiques complètes d'analyse des risques et de sécurité des systèmes d'information. Cela inclut des évaluations régulières des risques, des politiques de sécurité documentées et un cadre de gouvernance de la cybersécurité.
Mettre en place des procédures de prévention, de détection et de réponse aux incidents de cybersécurité. Cela comprend : - Des plans de réponse aux incidents - Des capacités de détection d'incidents - Des procédures de communication pendant les incidents
Assurer la résilience opérationnelle par : - La gestion des sauvegardes - Des plans de reprise après sinistre - Des procédures de gestion de crise - Des tests réguliers des plans de continuité
Adresser les risques de sécurité dans les relations avec les fournisseurs directs et les prestataires de services. Réaliser une due diligence sur les pratiques de cybersécurité des fournisseurs et inclure des exigences de sécurité dans les contrats.
Mettre en place des mesures de sécurité couvrant l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, y compris la gestion et la divulgation des vulnérabilités.
Établir des politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité. Des audits et évaluations réguliers sont requis.
Mettre en place des pratiques de cyberhygiène et fournir une formation régulière de sensibilisation à la cybersécurité pour l'ensemble du personnel, y compris la direction.
Établir des politiques et procédures concernant l'utilisation de la cryptographie et, le cas échéant, du chiffrement pour protéger les données en transit et au repos.
Mettre en place des politiques de contrôle d'accès appropriées, des procédures de gestion des actifs et des solutions d'authentification multifacteur ou d'authentification continue.
Utiliser des communications vocales, vidéo et textuelles sécurisées, ainsi que des systèmes de communication d'urgence sécurisés au sein de l'organisation.
NIS2 introduit une obligation de notification d'incidents en plusieurs étapes nettement plus contraignante que son prédécesseur :
| Étape | Délai | Exigence |
|---|---|---|
| Alerte précoce | Dans les 24 heures | Notifier le CSIRT ou l'autorité compétente d'un incident significatif |
| Notification d'incident | Dans les 72 heures | Fournir une évaluation initiale incluant gravité, impact et indicateurs de compromission |
| Rapport intermédiaire | Sur demande | Mise à jour de l'état de l'incident et des mesures de réponse |
| Rapport final | Dans le mois | Description détaillée, analyse des causes, mesures d'atténuation et impact transfrontalier |
Un incident significatif est défini comme un incident qui : - A causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière - A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un préjudice matériel ou immatériel considérable
Les dispositions d'application de NIS2 représentent un changement radical par rapport à la directive originale :
L'une des dispositions les plus lourdes de conséquences de NIS2 est l'article 20, qui exige : - Que les organes de direction approuvent les mesures de gestion des risques de cybersécurité - Que les organes de direction supervisent la mise en œuvre de ces mesures - Que les membres des organes de direction suivent une formation en cybersécurité - Que la direction puisse être tenue personnellement responsable en cas d'infraction
Cela signifie que la cybersécurité ne peut plus être entièrement déléguée au service informatique. Les administrateurs et les dirigeants portent une responsabilité directe.
La directive est entrée en vigueur le 16 janvier 2023, et les États membres devaient la transposer en droit national avant le 17 octobre 2024.
Allemagne — Le NIS2-Umsetzungsgesetz (NIS2UmsuCG) a été retardé mais est entré en vigueur en 2025. Il affectera environ 29 000 organisations en Allemagne — contre environ 2 000 sous la réglementation KRITIS originale. La mise en œuvre allemande va au-delà des exigences minimales de la directive dans plusieurs domaines.
Autriche — Le NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) est en phase avancée. L'Autriche devrait couvrir environ 4 000 organisations.
Suisse — Bien que n'étant pas membre de l'UE, la Suisse aligne son cadre de cybersécurité sur les principes de NIS2. La loi révisée sur la sécurité de l'information (ISG) intègre des exigences similaires, et les entreprises suisses faisant affaire dans l'UE doivent se conformer directement à NIS2.
France — La France a transposé la directive largement dans les délais, en s'appuyant sur son cadre ANSSI déjà robuste. La loi de transposition renforce les pouvoirs de l'ANSSI et étend le périmètre des opérateurs régulés.
Pays-Bas — La Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) est en cours de finalisation, étendant la couverture à environ 10 000 organisations néerlandaises.
Utilisez les listes sectorielles et les seuils de taille ci-dessus pour évaluer si votre organisation est qualifiée d'entité essentielle ou importante. N'oubliez pas les obligations liées à la chaîne d'approvisionnement — même si vous n'êtes pas directement concerné, vos clients peuvent exiger des pratiques de sécurité alignées sur NIS2.
Comparez votre posture de cybersécurité actuelle avec les dix mesures minimales de l'article 21. Identifiez les lacunes dans : - Les processus de gestion des risques - Les capacités de détection et de réponse aux incidents - La planification de la continuité d'activité - Les pratiques de sécurité de la chaîne d'approvisionnement - La formation et la sensibilisation des employés
On ne peut pas protéger ce qu'on ne connaît pas. Réalisez une évaluation approfondie de votre surface d'attaque externe, incluant : - Applications web et API - Services et infrastructure cloud - Intégrations tierces - Systèmes hérités exposés à Internet
KENSAI fournit un scan automatisé de la surface d'attaque alimenté par l'IA qui cartographie l'ensemble de votre empreinte externe et identifie les vulnérabilités avant les attaquants. Contrairement aux évaluations ponctuelles traditionnelles, KENSAI offre un scan continu aligné sur l'exigence NIS2 de gestion continue des risques.
Sur la base de votre analyse des écarts, déployez les contrôles techniques nécessaires : - Segmentation et surveillance du réseau - Détection et réponse sur les points de terminaison (EDR) - Authentification multifacteur - Chiffrement des données en transit et au repos - Gestion des vulnérabilités avec scan régulier - Pare-feu applicatif web et sécurité des API
NIS2 exige des politiques et procédures documentées. Au minimum, vous avez besoin de : - Politique de sécurité de l'information - Méthodologie et rapports d'évaluation des risques - Plan de réponse aux incidents - Plans de continuité d'activité et de reprise après sinistre - Politique de sécurité de la chaîne d'approvisionnement - Registres de formation
L'exigence d'alerte précoce à 24 heures signifie que vous avez besoin de : - Capacités de surveillance 24h/24 7j/7 (ou services SOC externalisés) - Critères prédéfinis de classification des incidents - Modèles de communication pour la notification au CSIRT (CERT-FR en France) - Équipe de réponse aux incidents désignée avec des rôles clairs
NIS2 impose une formation en cybersécurité pour les organes de direction et le personnel. Mettez en place : - Une formation régulière de sensibilisation à la sécurité pour tous les employés - Une formation spécifique pour la direction sur ses responsabilités de supervision - Une formation technique pour le personnel IT et sécurité - Des simulations d'hameçonnage et des exercices de sécurité
Examinez vos relations fournisseurs et : - Évaluez la posture de cybersécurité des fournisseurs critiques - Incluez des exigences de sécurité dans les critères d'achat et les contrats - Établissez des mécanismes de partage d'information avec les fournisseurs clés - Surveillez la sécurité des fournisseurs de manière continue
L'un des moyens les plus efficaces de répondre aux exigences de gestion continue des risques de NIS2 est le test de sécurité automatisé. La directive exige explicitement la gestion des vulnérabilités et l'évaluation régulière des mesures de cybersécurité — les tests d'intrusion manuels annuels ne suffisent plus.
La plateforme de scan automatisé des vulnérabilités de KENSAI permet aux organisations de :
Pour les organisations se préparant à NIS2, le scan automatisé n'est pas optionnel — il est essentiel pour démontrer les mesures techniques « appropriées et proportionnées » exigées par la directive.
Oui. Si votre organisation fournit des services au sein de l'UE ou à des entités basées dans l'UE dans des secteurs couverts, NIS2 s'applique. Les entreprises hors UE doivent désigner un représentant dans l'UE.
NIS2 et le RGPD sont complémentaires. Le RGPD se concentre sur la protection des données personnelles ; NIS2 se concentre sur la cybersécurité des réseaux et systèmes d'information. Une violation de données peut déclencher des obligations au titre des deux réglementations. NIS2 précise même que les amendes RGPD doivent être prises en compte lors de l'évaluation des sanctions NIS2.
ISO 27001 fournit une base solide, mais ne signifie pas automatiquement la conformité NIS2. NIS2 comporte des exigences spécifiques (comme la notification d'incident à 24 heures) qui vont au-delà d'ISO 27001. Cependant, les organisations certifiées ISO 27001 trouveront la transition nettement plus facile.
Même si la transposition nationale est retardée, les exigences de la directive sont claires. Les organisations doivent commencer à se préparer dès maintenant. Une fois le droit national en vigueur, l'application peut commencer immédiatement — il pourrait ne pas y avoir de période de grâce.
NIS2 inclut une disposition de lex specialis : lorsque la législation sectorielle de l'UE impose des exigences de cybersécurité au moins équivalentes à NIS2, les règles sectorielles prévalent. C'est le cas par exemple de DORA pour le secteur financier.
NIS2 n'est pas une menace réglementaire lointaine — elle est là, et l'application s'intensifie à travers l'Europe. Les organisations qui tardent à se préparer risquent non seulement des amendes réglementaires, mais aussi les dommages réputationnels et opérationnels liés à une cybersécurité inadéquate.
Les exigences de la directive sont complètes mais réalisables, surtout avec les bons outils et la bonne approche. Commencez par comprendre votre périmètre, évaluez vos lacunes et mettez en œuvre des mesures de sécurité systématiques et continues.
N'attendez pas le début des actions d'application. La plateforme de sécurité alimentée par l'IA de KENSAI vous aide à identifier les vulnérabilités, évaluer votre surface d'attaque et démontrer la surveillance continue de la sécurité exigée par NIS2.
👉 Obtenez votre scan de sécurité gratuit sur kensai.app/free-scan — visualisez votre exposition en quelques minutes, pas en mois.
Scannez votre infrastructure à la recherche de vulnérabilités en quelques minutes — sans carte bancaire.
Lancer un scan gratuit →Publié par KENSAI Security Research — Plateforme de cybersécurité alimentée par l'IA
Get a free security scan of your website in 60 seconds
Free Security Scan →