Tout ce que vous devez savoir sur la Directive NIS2 : qui est concerné, exigences, sanctions jusqu'à 10 M€, délais et comment préparer votre organisation à la conformité.
La Directive NIS2 (Directive (UE) 2022/2555) représente la refonte la plus significative de la réglementation européenne en matière de cybersécurité depuis une décennie. Si votre organisation opère en Europe, cette législation va fondamentalement transformer votre approche de la cybersécurité — et les sanctions en cas de non-conformité sont sévères.
Ce guide couvre tout ce que vous devez savoir : ce qu'est NIS2, qui est concerné, les exigences spécifiques, les délais, les sanctions et une feuille de route claire pour atteindre la conformité.
La Directive NIS2 est le cadre actualisé de l'Union européenne visant à garantir un niveau commun élevé de cybersécurité dans tous les États membres. Elle remplace la Directive NIS originale (2016/1148), largement critiquée pour son application incohérente et un périmètre trop restreint face au paysage actuel des menaces.
Adoptée par le Parlement européen le 28 novembre 2022, NIS2 élargit considérablement le nombre d'organisations soumises à des obligations de cybersécurité. La Commission européenne estimait que la Directive NIS originale couvrait environ 15 000 entités dans l'UE. Avec NIS2, ce nombre passe à plus de 160 000 organisations — une multiplication par dix.
La Directive NIS originale présentait trop de lacunes :
NIS2 comble toutes ces lacunes avec des exigences harmonisées, un périmètre élargi et des mécanismes d'application réellement dissuasifs.
NIS2 utilise une règle de seuil de taille combinée à une classification sectorielle. Les organisations sont catégorisées comme Entités essentielles ou Entités importantes.
Ces secteurs sont considérés comme vitaux pour le fonctionnement de la société et de l'économie :
NIS2 s'applique aux organisations des secteurs ci-dessus qui atteignent au moins un de ces seuils :
Exceptions importantes : certaines entités sont couvertes indépendamment de leur taille, notamment : - Les fournisseurs de services DNS - Les registres de noms de domaine de premier niveau - Les fournisseurs de réseaux publics de communications électroniques - Les prestataires de services de confiance - Les fournisseurs uniques d'un service dans un État membre essentiel aux activités sociétales/économiques
Même si votre organisation ne relève pas directement de NIS2, vous pourriez être concerné par les exigences de la chaîne d'approvisionnement. Les entités essentielles et importantes doivent mettre en œuvre des mesures de gestion des risques de cybersécurité pour leurs chaînes d'approvisionnement, ce qui signifie qu'elles répercuteront les exigences de conformité sur leurs fournisseurs et partenaires.
L'article 21 de NIS2 définit dix mesures minimales de gestion des risques de cybersécurité que toutes les entités concernées doivent mettre en œuvre :
Établir des politiques complètes d'analyse des risques et de sécurité des systèmes d'information. Cela inclut des évaluations régulières des risques, des politiques de sécurité documentées et un cadre de gouvernance de la cybersécurité.
Mettre en œuvre des procédures de prévention, détection et réponse aux incidents de cybersécurité. Cela comprend : - Des plans de réponse aux incidents - Des capacités de détection des incidents - Des procédures de communication en cas d'incident
Assurer la résilience opérationnelle par : - La gestion des sauvegardes - Les plans de reprise après sinistre - Les procédures de gestion de crise - Des tests réguliers des plans de continuité
Traiter les risques de sécurité dans les relations avec les fournisseurs directs et les prestataires de services. Effectuer une diligence raisonnable sur les pratiques de cybersécurité des fournisseurs et inclure des exigences de sécurité dans les contrats.
Mettre en œuvre des mesures de sécurité couvrant l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, y compris la gestion et la divulgation des vulnérabilités.
Établir des politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité. Des audits et évaluations réguliers sont requis.
Mettre en œuvre des pratiques d'hygiène informatique et proposer des formations régulières de sensibilisation à la cybersécurité pour l'ensemble du personnel, y compris la direction.
Établir des politiques et procédures concernant l'utilisation de la cryptographie et, le cas échéant, du chiffrement pour protéger les données en transit et au repos.
Mettre en œuvre des politiques de contrôle d'accès appropriées, des procédures de gestion des actifs et des solutions d'authentification multi-facteurs ou d'authentification continue.
Utiliser des communications voix, vidéo et texte sécurisées, ainsi que des systèmes de communication d'urgence sécurisés au sein de l'organisation.
NIS2 introduit une obligation de notification des incidents en plusieurs étapes, nettement plus exigeante que la précédente :
| Étape | Délai | Exigence |
|---|---|---|
| Alerte précoce | Dans les 24 heures | Notifier le CSIRT ou l'autorité compétente d'un incident significatif |
| Notification d'incident | Dans les 72 heures | Fournir une évaluation initiale incluant la gravité, l'impact et les indicateurs de compromission |
| Rapport intermédiaire | Sur demande | Mise à jour de l'état de l'incident et des mesures de réponse |
| Rapport final | Dans le mois | Description détaillée, cause profonde, mesures d'atténuation et impact transfrontalier |
Un incident significatif est défini comme un incident qui : - A causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière - A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un préjudice matériel ou immatériel considérable
Les dispositions d'application de NIS2 représentent un changement majeur par rapport à la directive originale :
L'une des dispositions les plus lourdes de conséquences de NIS2 est l'article 20, qui exige que : - Les organes de direction approuvent les mesures de gestion des risques de cybersécurité - Les organes de direction supervisent la mise en œuvre de ces mesures - Les membres des organes de direction suivent des formations en cybersécurité - La direction peut être tenue personnellement responsable des infractions
Cela signifie que la cybersécurité ne peut plus être entièrement déléguée au service informatique. Les administrateurs et les dirigeants portent une responsabilité directe.
La directive est entrée en vigueur le 16 janvier 2023, et les États membres devaient la transposer en droit national avant le 17 octobre 2024.
Allemagne — Le NIS2-Umsetzungsgesetz (NIS2UmsuCG) a été retardé mais devrait entrer en vigueur en 2025. Il concernera environ 29 000 organisations en Allemagne — contre environ 2 000 sous la réglementation KRITIS d'origine. La transposition allemande va au-delà des exigences minimales de la directive dans plusieurs domaines.
Autriche — Le NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) est en phase avancée. L'Autriche devrait couvrir environ 4 000 organisations.
Suisse — Bien que non membre de l'UE, la Suisse aligne son cadre de cybersécurité sur les principes de NIS2. La révision de la Loi sur la sécurité de l'information (LSI) intègre des exigences similaires, et les entreprises suisses opérant dans l'UE doivent se conformer directement à NIS2.
France — La France a transposé la directive dans les délais, s'appuyant sur son cadre ANSSI déjà robuste.
Pays-Bas — La Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) est en cours de finalisation, étendant la couverture à environ 10 000 organisations néerlandaises.
Utilisez les listes de secteurs et les seuils de taille ci-dessus pour évaluer si votre organisation est une entité essentielle ou importante. N'oubliez pas les obligations de la chaîne d'approvisionnement — même si vous n'êtes pas directement concerné, vos clients peuvent exiger des pratiques de sécurité alignées sur NIS2.
Comparez votre posture de cybersécurité actuelle aux dix mesures minimales de l'article 21. Identifiez les lacunes dans : - Les processus de gestion des risques - Les capacités de détection et de réponse aux incidents - La planification de la continuité d'activité - Les pratiques de sécurité de la chaîne d'approvisionnement - La formation et la sensibilisation des employés
On ne peut pas protéger ce qu'on ignore. Réalisez une évaluation approfondie de votre surface d'attaque externe, incluant : - Applications web et API - Services et infrastructures cloud - Intégrations tierces - Systèmes legacy exposés à internet
KENSAI fournit un scan automatisé de surface d'attaque alimenté par l'IA qui cartographie l'ensemble de votre empreinte externe et identifie les vulnérabilités avant les attaquants. Contrairement aux évaluations ponctuelles traditionnelles, KENSAI offre un scan continu aligné sur l'exigence de gestion continue des risques de NIS2.
Sur la base de votre analyse d'écarts, déployez les contrôles techniques nécessaires : - Segmentation et surveillance réseau - Détection et réponse sur les terminaux (EDR) - Authentification multi-facteurs - Chiffrement des données en transit et au repos - Gestion des vulnérabilités avec scan régulier - Pare-feu applicatif web et sécurité des API
NIS2 exige des politiques et procédures documentées. Au minimum, vous avez besoin de : - Politique de sécurité de l'information - Méthodologie et rapports d'évaluation des risques - Plan de réponse aux incidents - Plans de continuité d'activité et de reprise après sinistre - Politique de sécurité de la chaîne d'approvisionnement - Registres de formation
L'exigence d'alerte précoce sous 24 heures nécessite : - Des capacités de surveillance 24h/24 7j/7 (ou services SOC externalisés) - Des critères de classification des incidents prédéfinis - Des modèles de communication pour la notification au CSIRT - Une équipe de réponse aux incidents désignée avec des rôles clairs
NIS2 impose une formation en cybersécurité pour les organes de direction et le personnel. Mettez en place : - Des formations régulières de sensibilisation à la sécurité pour tous les employés - Une formation spécifique pour la direction sur ses responsabilités de supervision - Une formation technique pour le personnel IT et sécurité - Des simulations de phishing et des exercices de sécurité
Revoyez vos relations fournisseurs et : - Évaluez la posture de cybersécurité des fournisseurs critiques - Incluez des exigences de sécurité dans les critères d'achat et les contrats - Établissez des mécanismes de partage d'information avec les fournisseurs clés - Surveillez la sécurité des fournisseurs de manière continue
L'un des moyens les plus efficaces de répondre aux exigences de gestion continue des risques de NIS2 est le test de sécurité automatisé. La directive exige explicitement la gestion des vulnérabilités et l'évaluation régulière des mesures de cybersécurité — les tests d'intrusion manuels annuels ne suffisent plus.
La plateforme de scan automatisé des vulnérabilités de KENSAI permet aux organisations de :
Pour les organisations se préparant à NIS2, le scan automatisé n'est pas optionnel — il est essentiel pour démontrer les mesures techniques « appropriées et proportionnées » exigées par la directive.
Oui. Si votre organisation fournit des services au sein de l'UE ou à des entités basées dans l'UE dans les secteurs couverts, NIS2 s'applique. Les entreprises hors UE doivent désigner un représentant dans l'UE.
NIS2 et le RGPD sont complémentaires. Le RGPD porte sur la protection des données personnelles ; NIS2 porte sur la cybersécurité des réseaux et systèmes d'information. Une violation de données peut déclencher des obligations au titre des deux réglementations. NIS2 précise même que les amendes RGPD doivent être prises en compte lors de l'évaluation des sanctions NIS2.
ISO 27001 offre une base solide, mais ne garantit pas automatiquement la conformité NIS2. NIS2 comporte des exigences spécifiques (comme la notification d'incident sous 24 heures) qui vont au-delà d'ISO 27001. Toutefois, les organisations certifiées ISO 27001 trouveront la transition nettement plus facile.
Même si la transposition nationale est retardée, les exigences de la directive sont claires. Les organisations devraient commencer à se préparer dès maintenant. Une fois la loi nationale en vigueur, l'application peut commencer immédiatement — il pourrait ne pas y avoir de période de grâce.
NIS2 inclut une disposition lex specialis : lorsqu'une législation sectorielle européenne impose des exigences de cybersécurité au moins équivalentes à NIS2, les règles sectorielles prévalent. Exemple : DORA pour le secteur financier.
NIS2 n'est pas une menace réglementaire lointaine — elle est là, et l'application s'intensifie dans toute l'Europe. Les organisations qui tardent à se préparer risquent non seulement des amendes réglementaires, mais aussi les dommages réputationnels et opérationnels liés à une cybersécurité insuffisante.
Les exigences de la directive sont complètes mais réalisables, surtout avec les bons outils et la bonne approche. Commencez par comprendre votre périmètre, évaluez vos lacunes et mettez en œuvre des mesures de sécurité systématiques et continues.
N'attendez pas que les actions d'application commencent. La plateforme de sécurité alimentée par l'IA de KENSAI vous aide à identifier les vulnérabilités, évaluer votre surface d'attaque et démontrer la surveillance continue de la sécurité exigée par NIS2.
👉 Obtenez votre scan de sécurité gratuit sur kensai.app/free-scan — visualisez votre exposition en minutes, pas en mois.
Scannez votre infrastructure à la recherche de vulnérabilités en quelques minutes — sans carte bancaire.
Lancer le Scan Gratuit →Publié par KENSAI Security Research — Plateforme de Cybersécurité Alimentée par l'IA
Get a free security scan of your website in 60 seconds
Free Security Scan →