Parmi les 46 articles que compte la directive NIS2, l'article 21 est celui que les RSSI et les DSI ouvrent en premier. Et pour cause : il détaille les mesures concrètes à mettre en place, là où la plupart des autres articles traitent de périmètre, de gouvernance ou de supervision. Pourtant, sa lecture seule ne suffit pas. Le texte européen fixe un cadre volontairement général ; c'est le Référentiel Cyber France (ReCyF) publié par l'ANSSI en mars 2026 qui vient préciser les niveaux d'exigence concrets pour les entités françaises.
Ce guide décrypte chacune des 10 mesures, leur portée réelle, les points d'attention les plus fréquemment sous-estimés, et comment elles s'articulent avec le ReCyF et la future loi Résilience.
L'article 21 §1 précise que les mesures doivent être proportionnées aux risques et prendre en compte l'état de l'art. Cela ne signifie pas que les petites entités peuvent faire moins : cela signifie que le niveau de sophistication attendu est calibré selon la criticité et la taille. Une entité importante de 60 salariés dans le secteur alimentation n'est pas soumise aux mêmes exigences pratiques qu'un opérateur d'infrastructures numériques de 5 000 personnes - mais toutes deux doivent couvrir les 10 mesures.
Les 10 mesures de l'article 21 §2 : vue d'ensemble
La directive liste 10 catégories de mesures à l'article 21 §2, sous-paragraphes (a) à (j). Voici une cartographie rapide avant l'analyse détaillée.
Politique de sécurité et gestion des risques
Art. 21 §2(a) - Analyse de risques et politiques de sécurité des systèmes d'information.
Gestion des incidents
Art. 21 §2(b) - Détection, traitement et reporting des incidents de cybersécurité.
Continuité d'activité et PCA/PRA
Art. 21 §2(c) - Plans de continuité, sauvegardes, reprise après sinistre.
Sécurité de la chaîne d'approvisionnement
Art. 21 §2(d) - Évaluation et gestion des risques liés aux fournisseurs et prestataires.
Sécurité dans l'acquisition et le développement
Art. 21 §2(e) - Sécurité des systèmes SI, gestion des vulnérabilités, divulgation.
Évaluation de l'efficacité des mesures
Art. 21 §2(f) - Audits, tests d'intrusion, mesure de l'efficacité des politiques cyber.
Hygiène informatique et formation
Art. 21 §2(g) - Pratiques de base, sensibilisation du personnel, formation cybersécurité.
Cryptographie et chiffrement
Art. 21 §2(h) - Utilisation de la cryptographie et du chiffrement de bout en bout.
Sécurité des ressources humaines et contrôle d'accès
Art. 21 §2(i) - Habilitations, MFA, authentification forte, gestion des accès.
Sécurité des communications
Art. 21 §2(j) - Sécurité voix, données, systèmes de communication d'urgence.
Mesure 1 - Politique de sécurité et analyse des risques
Le sous-paragraphe (a) exige des entités qu'elles disposent de politiques de sécurité des systèmes d'information et d'une démarche formalisée d'analyse des risques. En pratique, cela recouvre deux livrables distincts :
- Une Politique de Sécurité du Système d'Information (PSSI) validée par la direction, documentant les objectifs, les responsabilités et les règles de sécurité applicables.
- Une analyse de risques cyber suivant une méthode reconnue - EBIOS Risk Manager pour les entités françaises, ou ISO 27005, qui est acceptée si elle couvre bien le périmètre NIS2.
L'erreur la plus fréquente est de produire une PSSI générique téléchargée sur internet et de cocher la case. Le ReCyF ANSSI est explicite : la politique doit être adaptée à la réalité des risques de l'entité, révisée au moins annuellement et soumise à l'approbation formelle des organes de direction au sens de l'article 20.
Confondre l'analyse de risques avec un simple inventaire d'actifs. L'article 21 §1 parle de risques pour "la sécurité des réseaux et des systèmes d'information utilisés par l'entité pour fournir ses services". L'analyse doit évaluer l'impact d'un incident sur la continuité du service, pas seulement la probabilité d'une compromission technique.
Mesure 2 - Gestion des incidents
Ne pas confondre l'article 21 §2(b) avec l'article 23. La mesure 2 concerne les capacités internes de détection et de traitement des incidents : avoir un processus documenté, une équipe ou un référent désigné, des outils de détection (SIEM, SOC interne ou externalisé). L'article 23 concerne lui la notification aux autorités une fois l'incident qualifié de significatif.
En pratique, le sous-paragraphe (b) impose de disposer d'une procédure de réponse aux incidents testée. Les entités qui n'ont jamais réalisé d'exercice de gestion de crise cyber sont d'emblée hors conformité sur ce point. Le plan de réponse aux incidents NIS2 doit couvrir les phases de détection, confinement, éradication, reprise et retour d'expérience.
Mesure 3 - Continuité d'activité et gestion de crise
Le sous-paragraphe (c) recouvre trois dimensions que les entités traitent souvent séparément alors qu'elles doivent être articulées :
- Sauvegardes : politique 3-2-1 minimum (3 copies, 2 supports différents, 1 hors site), sauvegardes testées régulièrement, délai de restauration documenté.
- Plan de Continuité d'Activité (PCA) : maintien des fonctions critiques en mode dégradé pendant un incident.
- Plan de Reprise d'Activité (PRA) : reprise des systèmes après sinistre, avec des objectifs RTO et RPO définis et testés.
L'article 21 exige aussi une gestion de crise - c'est-à-dire une cellule de crise identifiée, des rôles définis et des canaux de communication alternatifs en cas d'indisponibilité des systèmes habituels. Pour approfondir, notre guide sur PCA/PRA et NIS2 détaille les exigences concrètes.
Mesure 4 - Sécurité de la chaîne d'approvisionnement
C'est la mesure qui génère le plus de questions opérationnelles. L'article 21 §2(d) impose d'évaluer les risques liés aux fournisseurs et sous-traitants - en particulier ceux qui ont un accès physique ou logique aux systèmes d'information de l'entité. Concrètement :
- Cartographier les fournisseurs critiques (ceux dont la compromission affecterait directement le service).
- Inclure des clauses contractuelles de cybersécurité dans les contrats avec ces fournisseurs.
- Évaluer périodiquement le niveau de sécurité des prestataires stratégiques (questionnaire, audit, certification).
- Gérer le risque de dépendance à un fournisseur unique sur un composant critique.
Le règlement délégué (UE) 2024/2019 de la Commission précise les critères à prendre en compte pour évaluer les mesures de sécurité des fournisseurs - notamment pour les prestataires de services TIC qui peuvent eux-mêmes tomber sous NIS2. Voir aussi notre analyse de la sécurité de la chaîne d'approvisionnement NIS2.
Mesure 5 - Sécurité dans l'acquisition, le développement et la maintenance
Le sous-paragraphe (e) cible les entités qui développent ou exploitent des systèmes d'information, qu'il s'agisse de développements internes ou d'achats de solutions sur étagère. Les exigences couvrent :
- La gestion des vulnérabilités : veille sur les CVE applicables, processus de patch management, délais de correction selon la criticité.
- La sécurité by design dans les projets de développement : revues de code, tests de sécurité applicative (SAST/DAST).
- La divulgation coordonnée des vulnérabilités (CVD) : les entités qui découvrent des vulnérabilités dans leurs systèmes ou dans ceux de leurs fournisseurs doivent suivre un processus coordonné.
Mesure 6 - Évaluation de l'efficacité des mesures
La directive impose un principe de contrôle continu : il ne suffit pas de mettre en place des mesures, il faut mesurer leur efficacité. Cela se traduit par :
- Des audits de sécurité internes ou par un tiers qualifié (prestataire PACS qualifié ANSSI).
- Des tests d'intrusion périodiques sur les périmètres exposés.
- Des indicateurs de performance de la politique de sécurité, reportés à la direction.
- Un processus de revue de la PSSI déclenché par les résultats des audits ou les incidents.
Un opérateur de services numériques (Annexe I) ne peut pas se contenter d'un audit annuel pour satisfaire la mesure 6. Le ReCyF ANSSI recommande un test d'intrusion au moins annuel sur les actifs critiques, couplé à une surveillance continue des journaux et alertes de sécurité. Pour une entité importante (Annexe II), un audit bisannuel et une revue annuelle de la PSSI sont considérés comme un niveau Basique acceptable.
Mesure 7 - Hygiène informatique et formation
L'article 21 §2(g) est souvent perçu comme la mesure "soft" de l'article 21. C'est une erreur d'appréciation. Les contrôles d'hygiène informatique constituent le socle sur lequel reposent toutes les autres mesures. Le règlement délégué 2024/2019 classe la mesure 7 parmi les premières à vérifier lors d'un contrôle.
Les pratiques concernées incluent :
- Gestion des comptes et des mots de passe (politique de complexité, durée de vie, gestionnaire de mots de passe).
- Mise à jour des systèmes et des logiciels.
- Cloisonnement des réseaux et principe du moindre privilège.
- Sensibilisation et formation du personnel à la cybersécurité - y compris les dirigeants (voir formation des dirigeants NIS2).
Mesure 8 - Cryptographie et chiffrement
Le sous-paragraphe (h) impose l'utilisation de la cryptographie et, "le cas échéant", du chiffrement de bout en bout. La prudence s'impose sur l'interprétation de "le cas échéant" : pour les entités essentielles gérant des données sensibles (données de santé, données personnelles critiques, secrets industriels), le chiffrement de bout en bout est pratiquement incontournable.
Concrètement, les obligations couvrent :
- Chiffrement des données en transit (TLS 1.2 minimum, TLS 1.3 recommandé).
- Chiffrement des données au repos pour les données sensibles.
- Gestion rigoureuse des clés cryptographiques (HSM pour les entités essentielles).
- Interdiction des algorithmes cryptographiques obsolètes (MD5, SHA-1, DES, RC4).
L'articulation avec le RGPD est directe : les obligations de chiffrement NIS2 renforcent les mesures techniques imposées par l'article 32 du RGPD.
Mesure 9 - Sécurité des ressources humaines et contrôle d'accès
C'est la mesure la plus dense dans ses implications pratiques. L'article 21 §2(i) réunit plusieurs thématiques distinctes :
- Contrôle d'accès : principe du moindre privilège, revues périodiques des droits, désactivation des comptes dormants.
- Authentification multifactorielle (MFA) : obligatoire pour les accès aux systèmes critiques, les accès distants et les comptes à privilèges. Le règlement d'exécution (UE) 2024/2690 en précise le périmètre obligatoire. Voir notre analyse sur MFA et NIS2.
- Gestion des habilitations : processus d'attribution, de modification et de révocation des accès lors des arrivées, mobilités et départs.
- Sécurité physique : contrôle d'accès aux locaux hébergeant les systèmes critiques.
L'article 21 §2(i) couvre aussi les "solutions de communication vocale et vidéo sécurisées". Les entités qui utilisent des outils de visioconférence grand public (non chiffrés de bout en bout) pour discuter de sujets sensibles sont potentiellement non conformes sur ce point. Cela concerne en particulier les entités des secteurs santé, énergie et administration publique.
Mesure 10 - Sécurité des communications
Le sous-paragraphe (j) clôt la liste avec les exigences relatives aux systèmes de communications d'urgence sécurisées. Pour la plupart des entités, cela se traduit par la capacité à maintenir des communications sécurisées pendant un incident cyber - y compris si les systèmes habituels sont compromis.
Les exigences pratiques incluent :
- Identification de canaux de communication alternatifs (messagerie chiffrée hors réseau principal, téléphones dédiés).
- Sécurisation des communications internes et externes sensibles.
- Documentation des procédures de communication en cas de crise.
Tableau de correspondance : Article 21 x ReCyF x ISO 27001
| Mesure Art. 21 | Pilier ReCyF (ANSSI) | Domaine ISO 27001:2022 | Entité concernée |
|---|---|---|---|
| 1. Politique et risques | Gouvernance | A.5 - Politiques de sécurité | EE + EI |
| 2. Gestion des incidents | Défense | A.5.24 - Planification et préparation | EE + EI |
| 3. Continuité / PCA-PRA | Résilience | A.5.29 - Continuité de la sécurité de l'information | EE + EI |
| 4. Chaîne d'approvisionnement | Protection | A.5.19 à A.5.22 - Relations fournisseurs | EE + EI |
| 5. Sécurité développement | Protection | A.8.25 - Cycle de vie de développement sécurisé | EE prioritaire |
| 6. Évaluation de l'efficacité | Gouvernance | A.5.35 - Revue indépendante | EE + EI |
| 7. Hygiène et formation | Protection | A.6.3 - Sensibilisation et formation | EE + EI |
| 8. Cryptographie | Protection | A.8.24 - Utilisation de la cryptographie | EE prioritaire |
| 9. Accès et MFA | Protection | A.8.2 - Droits d'accès privilégiés | EE + EI |
| 10. Communications sécurisées | Résilience | A.5.29 - Continuité / Communications | EE prioritaire |
EE = Entités Essentielles (Annexe I) | EI = Entités Importantes (Annexe II). Source : directive (UE) 2022/2555, ReCyF ANSSI mars 2026, ISO 27001:2022.
Comment prioriser la mise en conformité article 21 ?
Toutes les entités ne partent pas du même niveau de maturité. La gap analysis NIS2 est l'outil de diagnostic de référence - elle permet de mesurer l'écart entre l'état actuel et les exigences de chaque mesure. Sur la base des retours terrain observés en 2025-2026, voici les priorités les plus communes :
- Mesures 1 et 7 en premier : politique de sécurité et hygiène de base. Ce sont les fondations sans lesquelles les autres mesures sont fragiles.
- Mesure 9 ensuite : le déploiement du MFA est souvent l'action à plus fort impact rapide - notamment sur les accès distants, les VPN et les comptes administrateurs.
- Mesures 2 et 3 en parallèle : gestion des incidents et continuité d'activité. Ces deux mesures nécessitent de définir et tester des procédures - un travail d'organisation plus que de technique pure.
- Mesures 4 et 5 : chaîne d'approvisionnement et sécurité du développement. Ces mesures nécessitent des démarches avec des tiers - délais plus longs, à anticiper.
- Mesures 6, 8 et 10 : évaluation, cryptographie et communications. À intégrer dans un plan pluriannuel avec des jalons clairs.
L'article 21 §3 ouvre une voie de simplification pour les États membres : ils peuvent préciser les exigences techniques et méthodologiques applicables par catégorie d'entité. En France, c'est le ReCyF qui joue ce rôle. La conformité au ReCyF constitue donc une présomption de conformité à l'article 21 - ce qui en fait le référentiel de travail prioritaire pour toute entité française concernée par NIS2.
Sanctions en cas de non-conformité à l'article 21
Le non-respect des obligations de l'article 21 est directement sanctionnable par l'ANSSI, en qualité d'autorité nationale compétente NIS2. Les amendes administratives prévues par la directive vont :
- Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial (le montant le plus élevé).
- Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial.
Au-delà des amendes, l'article 32 §4 prévoit des mesures d'exécution contraignantes : injonctions de mise en conformité, suspension temporaire d'activité pour les entités essentielles, et surtout la responsabilité personnelle des dirigeants si la non-conformité résulte d'un manquement à leurs obligations de supervision (article 20). Pour le détail des sanctions, consultez notre page dédiée aux sanctions NIS2.
Questions fréquentes sur l'article 21 NIS2
L'article 21 NIS2 s'applique-t-il de la même façon aux entités essentielles et importantes ?
Non. Les 10 mesures sont identiques dans leur libellé, mais le niveau d'exigence attendu est proportionnel au statut : entités essentielles (Annexe I) doivent atteindre un niveau de maturité plus élevé. Le ReCyF ANSSI formalise cette gradation avec des niveaux Basique, Standard et Avancé selon la catégorie d'entité.
Quels sont les délais pour mettre en oeuvre les mesures de l'article 21 ?
La directive ne fixe pas de calendrier mesure par mesure. En France, la loi Résilience (attendue mi-2026) définira les délais de mise en conformité par catégorie d'entité. Le ReCyF ANSSI publié en mars 2026 précise les exigences techniques à atteindre. Les entités doivent être conformes dès l'entrée en vigueur de la loi nationale.
La sécurité de la chaîne d'approvisionnement concerne-t-elle aussi les sous-traitants ?
Oui. L'article 21 §2(d) impose d'évaluer et de gérer les risques cyber liés aux fournisseurs et prestataires. Cela implique des clauses contractuelles spécifiques, des audits ou questionnaires de sécurité, et une cartographie des dépendances critiques. Les sous-traitants stratégiques peuvent eux-mêmes tomber sous NIS2 si leur chiffre d'affaires et leur secteur le justifient.
Quelle est la différence entre les obligations de l'article 21 et celles de l'article 23 ?
L'article 21 porte sur les mesures de gestion des risques cyber (politique de sécurité, continuité, chiffrement, MFA, etc.). L'article 23 porte sur la notification des incidents significatifs : alerte précoce dans les 24 heures, notification détaillée dans les 72 heures, rapport final sous 1 mois. Ces deux articles sont complémentaires et tous deux obligatoires.
Comment prouver la conformité aux obligations de l'article 21 ?
L'ANSSI pourra demander des preuves documentaires : politique de sécurité du système d'information (PSSI), résultats d'analyses de risques, plans de continuité, journaux d'audits, registres de tests. Une certification ISO 27001 ou une conformité au ReCyF apporte une présomption de conformité sérieuse, sans être obligatoire dans la directive.
Évaluez votre conformité à l'article 21
Nos partenaires experts réalisent un diagnostic d'éligibilité et une analyse d'écart mesure par mesure selon le ReCyF ANSSI. Résultats en 5 jours ouvrés, avec un plan de remédiation priorisé.
Demander un diagnostic NIS2Pour aller plus loin : Vue complète des obligations NIS2 | ReCyF ANSSI décrypté | Réaliser une gap analysis NIS2 | Calendrier de transposition